21 de noviembre de 2009

Entidades Financieras Latino Americanas tardan demasiado en implementar soluciones a los problemas de seguridad de la banca en línea.

No hay duda que la seguridad en Internet debería ser una de las mayores preocupaciones de las entidades bancarias y financieras de nuestra América Latina. Sin embargo la velocidad de reacción ante los diferentes métodos de usurpación de identidad, las amenazas de seguridad latentes y los crecientes tipos de fraude en línea por parte de dichas entidades es por decirlo de un modo muy amigable, "demasiado lenta".

Existen en las entidades financieras de América Latina ciertos factores que impiden que un sistema de banca en línea se actualice y mejore a la velocidad requerida, en algunos casos haciendo que la ausencia de dichas mejoras cuesten tanto a las entidades como sus usuarios sumas de dinero varias veces superiores a los costos de implementar las soluciones requeridas.

¿Cuáles son estos factores?

Resistencia al cambio:
Es indudable que este factor está presente siempre que se desee hacer un cambio de relativa envergadura en un sistema. Sucede que según las juntas directivas de las entidades, hasta que no se demuestre que el sistema tiene un error no es necesaria la corrección del mismo y mucho menos el cambio. Es decir, según aquellos que se dedican principalmente a hacer dinero con nuestro dinero, hay que esperar a que se genere la estafa o el problema para que se tomen las medidas necesarias. En asuntos de seguridad definitivamente no se puede ser reactivo, hay que ser pro-activo y prevenir.

Personal de sistemas no actualizado:
El personal de sistemas de las entidades financieras de nuestra región en su gran mayoría cumplen con los estándares de lo que los hackers denominan como "code grinders". Este término despectivo es aplicado por los hackers al personal de sistemas que trabaja de 9 am. a 5 pm. y viste con camisa de cuello y corbata, para primordialmente crear rutinas de pago de nómina en RPG en "pantalla verde" u otros "horrores similares". Definitivamente no se pueden combatir las amenazas existentes en la actualidad con las herramientas que se vienen usando en algunas entidades desde hace más de 15 años.

Velocidad de reacción lenta o nula:
¿Se ha preguntado cuanto tiempo tarda una entidad financiera en responder correctamente ante un ataque de phishing? La falta de procesos de respuesta, la lentitud de reacción, los horarios inflexibles y otros factores, hacen que la entidad normalmente empiece a responder ante un posible ataque con un retardo de hasta 72 horas o más en algunos casos. En esos casos el daño mayor ya ha sido causado y probablemente el capital se encuentre para entonces en alguno de los países del otro lado del globo. A esto hay que agregarle el tiempo necesario para colocar los ajustes necesarios en línea que deben pasar por protocolos de validación y puesta en marcha completamente ineficientes para estos casos de emergencias. Las estructuras actuales no se ajustan a la velocidad de respuesta ante un ataque.

Protocolos de control de versiones y puesta en marcha demasiado lentos:
Colocar ajustes en línea en la aplicación que usted normalmente usa es un proceso largo y tedioso. Lógicamente debe ser así para garantizar que la aplicación funcione correctamente. Para explicarlo en forma rápida, los cambios y ajustes normalmente pasan por las etapas de "desarrollo" y "control de calidad" antes de llegar al público o a lo que se conoce como "ambiente de producción" o ambiente definitivo. Cada proceso es controlado por personal diferente, y cada personal tiene su propio tiempo de reacción. No existen procedimientos de emergencia que permitan saltar los controles de código ante ataques como el phishing o el pharming, lo que hace que el tiempo de reacción ante el ataque convierta dicha reacción en inútil.

Bajo presupuesto para las aplicaciones y personal de Banca en línea:
En algunos casos en nuestros países no se ha entendido aún el proceso que está llevando a las entidades a la creación de las oficinas virtuales que hoy en día llamamos "Banca en línea". La gran mayoría de los bancos de Latino-américa, tienen más usuarios registrados en línea que en cualquiera de sus agencias principales, sin embargo la "oficina de servicios virtuales" o "unidad de banca electrónica" es sin temor a equivocarme la que menos personal tiene. Al parecer es el negocio del siglo manejar altos volúmenes de transacciones y dinero con la menor cantidad de gastos posible. Dichas unidades no generan siquiera el 10% de los costos operativos de una agencia promedio. Sin embargo pareciera que las entidades están cometiendo los mismos errores que llevaron a la explosión de la burbuja de la primera ola de Internet. Seguro esta vez no les estallará la burbuja en la cara, pero deberán pagar altas sumas para recuperarse de los golpes recibidos por las amenazas actuales. Vemos todos los días como algunos bancos gastan enormes sumas en publicidad para crear el hábito de cambiar nuestra clave, por no haber dedicado ni un céntimo en crear estructuras y sistemas más eficientes para protegerla.

La idea de que el usuario es responsable de sus actos en Internet:
Las entidades y bancos no están renunciando aún al concepto errado de que "lo que le suceda al usuario en su computador es problema exclusivamente de él". En una buena cantidad de países las cortes están fallando a favor de los usuarios que han sido víctimas de phishing y otro tipo de estafas, con argumentos que explican que las entidades tienen aplicaciones en línea fáciles de copiar tanto visual como operativamente y que estas no protegen al usuario al momento de realizar sus transacciones. Más de el 90% de las interfaces de acceso bancarias en línea no resisten un simple copiado por Internet Explorer, y esta es solo una de la gran cantidad de vulnerabilidades que no permiten al usuario distinguir entre un sitio original y uno fraudulento.

En fin para no alargar este documento, es necesario aclarar que las aplicaciones de banca en línea en nuestra región son manejadas aún como complementos del negocio bancario, y por ejemplo son llevadas como se podría manejar quizás las redes de cajeros o los centros de atención telefónica. No se ha percibido aún el hecho de que como en muchas otras industrias y servicios las aplicaciones en Internet han dejado de ser un medio para convertirse en la industria misma. Es necesaria una revisión a fondo de las políticas aplicadas a la banca en línea en nuestros países y con ella la creación de nuevo personal capacitado, no renuente al cambio, que pueda adaptarse a los nuevos procesos rápidamente y con ello a una nueva manera de hacer las cosas que empieza por cambiar el formato de los horarios de trabajo y se basa principalmente en el culto a una mentalidad creativa y abierta.

En el camino muchas entidades relativamente fuertes se están preocupando porque su gran masa de usuarios no tiene mayor monto de dinero en sus cuentas pero en cambio moviliza mucho. ¡Claro es fácil de explicar! Es preferible un banco pequeño pero con una interfaz en línea más segura para guardar nuestro dinero aunque no tenga la gran red de agencias o cajeros que necesitamos ya que siempre podremos hacer transferencias del dinero necesario a otra cuenta en otro banco cuando necesitemos dichos servicios. Gracias a Internet no necesitamos desplazarnos de una agencia a otra para hacerlo. Sin embargo aunque parezca simple aún no se han dado cuenta de esto.

Para terminar, no está de más recordarle a los empresarios de las entidades bancarias de nuestra zona, que en Internet en pez grande no siempre se come al pequeño, porque solo para empezar, en nuestro navegador web no se percibe el tamaño del pez.




13 de noviembre de 2009

La Ley de Murphy y la Seguridad de Aplicaciones Web.

La seguridad de aplicaciones web no escapa a las leyes de Murphy, por lo que me he permitido basado en algunas interpretaciones de las mismas en otros campos, crear una interpretación específica para esta área tan crucial que está dando tanto de que hablar en la actualidad, y además para que puedan ser tomadas como referencia a la hora de crear aplicaciones en línea y prevenir futuras fallas en las mismas. Yo personalmente creo que el mejor lugar para colocarlas es algunas de las paredes de las oficinas de los desarrolladores y expertos en seguridad de sistemas, para que así puedan tenerlas siempre presentes.

Leyes de Murphy aplicadas a la seguridad de aplicaciones web:


  • Si un aplicación web tiene una vulnerabilidad, esta saldrá a la luz tarde o temprano y lo hará en el peor momento posible.
  • Si una aplicación web tiene varias fallas de seguridad, el atacante descubrirá siempre la más dañina para el sistema.
  • Una vulnerabilidad en la aplicación aunque pareciera aparecer espontáneamente no desaparece de igual forma.
  •  Corregir una vulnerabilidad siempre lleva más tiempo del que uno piensa, incluso si se toma en cuenta este enunciado.
  • No existe una aplicación web completamente segura, siempre aparecerá un usuario inexperto que lo demuestre.
  • Si has logrado cubrir cuatro posibles vulnerabilidades, inmediatamente y espontáneamente aparecerá la quinta.
  • No existe control único de seguridad inviolable, solo hacen falta el tiempo y las herramientas necesarias para demostrarlo.
  • Internet siempre está del lado de la vulnerabilidad y esta a su vez del lado del atacante.
  • Las soluciones “mágicas” de seguridad  se reconocen porque son aquellas que al ser vulneradas dejan al sistema completamente indefenso.
  • Cualquier solución en seguridad de aplicaciones web al ser implantada inmediatamente se vuelve obsoleta.
  • Cualquier vulnerabilidad perjudicará al sistema en orden inversamente proporcional a la importancia que se le otorgue.


Espero las tomen en serio!

Entradas populares