¿Son seguras las operaciones bancarias por Internet?

Mauricio Priego 29/Jun/2011 9
¿Son seguras las operaciones bancarias por Internet?

Todos hemos leído en las noticias sobre diversos fraudes cometidos a través de Internet donde personas honradas y trabajadoras han sido timadas y robadas por gente sin escrúpulos… y con altos conocimientos en tecnología. Continuamente escuchamos de conocidos y amigos sobre compras que aparecen en sus estados de cuenta y que nunca realizaron, si no es que ya lo viviste en carne propia. Y el cine y la televisión no ayudan en darnos consuelo, ya que sobran las historias de cómo jóvenes, muchas veces casi niños, logran penetrar los más seguros sistemas de cómputo del mundo; cómo algún gobierno, mafioso o ser extraterrestre manipulan a su antojo los mismos sistemas, o peor aún, que son las propias computadoras las que deciden tomar el control de las cosas.

Más allá del temor que pudiese alguien sentir por operar sus cuentas bancarias y de inversión a través de Internet, la realidad es que los servicios que ponen los bancos a nuestra disposición, así como los beneficios que pueden obtenerse por su uso, justifican el que se enfrente dicho temor. Y no hay mejor manera de enfrentar cualquier temor que conociendo al enemigo…

¿Cómo puede un delincuente – Hacker, Ciberpirata o Pirata cibernético – lograr tener acceso a tus recursos?

Cuando operas en banca en línea, realmente lo que haces es enlazar una cadena de actores (algunos humanos, otros tecnológicos) que en su conjunto realizan la operación bancaria. Cada uno de estos actores representa un eslabón que, de romperse, pondría al alcance del delincuente tus cuentas de ahorro, de crédito o inversiones.

Conozcamos de cerca a los actores y el nivel de riesgo que representan a tu seguridad:

La Base de Datos del Banco es el lugar donde se guarda tu información personal, las cuentas que tienes con el banco, tus saldos, movimientos y claves de acceso. Si un ladrón robase la bóveda de tu banco, se llevaría el dinero del banco pero tus saldos se mantendrían intactos. En cambio, de robarse la base de datos, son tus saldos los que corren peligro.

Riesgo real: Muy BajoAlrededor del mundo los gobiernos y la ley vigilan y auditan a los bancos ya que ellos son parte de los cimientos del sistema financiero de cada país, invirtiéndose buena parte de los esfuerzos precisamente en garantizar la seguridad y confiabilidad de sus bases de datos. En México el organismo que regula a los bancos siguiendo normas y estándares internacionales es la Comisión Nacional Bancaria y de Valores, siendo posible consultar directamente la Ley en la siguiente liga http://bit.ly/mTFdxI.

El Sistema del Banco es el programa que utilizamos los usuarios de la banca para realizar consultas de nuestros movimientos, descargar estados de cuenta, realizar transferencias o pagos y acceder a otros servicios. Usualmente puedes accederlo en los portales en Internet del propio banco contando el sistema con acceso directo a la Base de Datos del Banco. En este caso el riesgo se encuentra dividido en dos frentes: Los equipos de cómputo (servidores) sobre los que opera el sistema, y el hecho de que, al estar en Internet, cualquiera puede tratar de acceder al portal.

Riesgo real: BajoLa seguridad de los centros de cómputo en los que se encuentran los servidores de los bancos también están reguladas por los diferentes organismos reguladores en cada país (CNBV), por lo que el riesgo de un acceso no autorizado es nuevamente muy bajo. Sin embargo, la página de acceso al sistema, donde te piden tu número de cliente, de cuenta o usuario (login), así como tu clave de acceso (password) sí es vulnerable. Un posible hacker podría hacer un programa, por ejemplo, que de forma automática y constante ponga números de cuenta y claves de acceso aleatorios, hasta lograr atinarle a uno y con ello acceder a los recursos e información del dueño de la cuenta. Debido a ello la gran mayoría de las instituciones financieras han implementados el uso de Token de Seguridad, dispositivos que generan o contienen códigos de acceso aleatorios y que el usuario debe capturar después de sus datos de acceso.

Internet. Para lograr entrar desde nuestra PC, portátil o móvil al Sistema del Banco se requiere de una realmente compleja red de computadoras conectadas entre sí, a veces con cables, otras con tecnologías inalámbricas, a la que llamamos comúnmente Internet. Como en las películas policíacas, es factible que alguien se ponga a “escuchar en la línea”, de forma que conozca la información que enviamos y recibimos desde nuestro equipo, ya sean correos electrónicos, mensajes a Facebook o Twitter… o nuestras cuentas bancarias y claves de acceso. Sin embargo, para lograrlo, es necesario que se conecten a la línea por la que enviamos y recibimos los datos, y que la información consultada sea coherente.

Riesgo real: MedioComo decía hace unos momentos, lo primero que requiere el hacker es poder conectarse a la línea en la que nosotros estamos conectados. A través de los grandes servidores de Internet es bastante complejo por la seguridad que les rodea, no ocurriendo lo mismo con los concentradores y módems que tenemos en nuestras casas y en la mayoría de los cafés y otros lugares públicos con acceso a Internet. Y mientras que si la conexión es por cable se requiere de la conexión física de la computadora del ciber pirata con nuestro módem, en el caso de los equipos inalámbricos, con un radio de alcance de algunas decenas de metros, es posible conectarse desde fuera de la casa, quizá en un coche cruzando la calle. Sin embargo, a todos los módems inalámbricos se les puede configurar una clave de acceso para que sólo quienes la conozcan puedan conectarse, siendo la responsabilidad y la decisión de que esta configuración exista únicamente del propietario del módem.

Ahora bien, hay otra protección adicional. ¿Recuerdan que mencionamos la necesidad del supuesto hacker sobre la homogeneidad de la información? Pues bien, la información transmitida por Internet puede ser encriptada, es decir, convertida en una cadena de caracteres sin sentido y que sólo puede ser interpretada de forma coherente por el sistema al que nos conectamos. Una de las maneras de lograr esto es que el banco implemente protocolos de seguridad, lo cual puede identificarse fácilmente ya que en la barra de dirección del navegador cambia la dirección http://www.tubanco.com a https://www.tubanco.com. ¡Esa letra “S” al final del http marca toda la diferencia!

Toca hablar de la Computadora por la que se conecta el Usuario Bancario. Aquí el principal problema es que el abanico de opciones y circunstancias que rodean la operación bancaria por Internet es tan basto, que se requerirían varios artículos para hablar únicamente de seguridad de los equipos de cómputo de forma completa. Los virus informáticos, prácticas deshonestas como el phishing, programas escondidos en la PC (spywares) que envían nuestra información directamente a otros usuarios de Internet, el compartir el equipo con amigos u otros miembros de la familia, o el uso de cafés Internet o de computadoras públicas, son sólo algunos ejemplos de una amplia gama de riesgos de seguridad a la que estamos expuestos a la hora de realizar operaciones bancarias por Internet.

Riesgo real: Alto a Muy AltoLa computadora por sí sola no representa, claro está, ningún problema. Sin embargo, los virus y demás programas nocivos pueden llegar a tener la capacidad de que el hacker pueda leer lo que hay en el disco de tu equipo y aún lo que escribes sin que te des cuenta, o de enviar esa información a destinatarios por ti desconocidos.

¿Cómo se contagia tu equipo de éstos virus? Al igual que tú: por estar en contacto con alguien enfermo así sea una persona cercana: Correos de amigos, la memoria flash de tu pareja, ligas a páginas web recomendadas por gente de tu confianza. ¿Cómo lo evitas? Haciendo lo mismo que te recomendaría tu doctor: vacunando a tu equipo y siendo prudente. Por otro lado, cuando compartes el equipo de cómputo, no puedes garantizar la prudencia de los demás usuarios y, en caso de equipos públicos (cafés Internet), no puede descartarse el que alguien haya instalado de forma deliberada alguno de éstos programas nocivos para su propio beneficio. Adicionalmente a todo esto, cuanto accedes a los sitios web se guarda información en el equipo que es utilizada por los propios sistemas bancarios (se llaman cookies – galletas) y que, de no ser eliminada, puede ser accedida por los siguientes usuarios… si saben cómo, claro está.

El Usuario Bancario. Finalmente tenemos al eslabón que inicia la cadena y que también es el más débil: Tú mismo. Muchas veces sucede que, al ya estar tan acostumbrados a la tecnología, llegamos a usarla de forma ingenua. Nos sorprendemos que los niños la manejen de forma casi natural, y muchas veces son ellos mismos los que nos enseñan a utilizarla… Pero no olvidemos que son niños, y por lo mismo desconocen – o no miden – los riesgos de muchas cosas que hacen. Por ello decidí escribir este artículo, que aún que reconozco quedó muy largo, considero es necesario para comprender los riesgos de la tecnología, hablando puntualmente de la banca en línea, con el único fin de que a través del conocimiento no nos agarren desprevenidos.

Riesgo real: Muy alto – Si leemos todo lo escrito anteriormente, al final del camino es el propio usuario bancario el que decide si ejecutar o no un programa enviado por correo, seguir una liga en otro, conectarse en redes no seguras o a través de equipos compartidos. Es el propio usuario bancario el que podría no ser prudente al compartir información a través de Internet publicando datos personales en Facebook, Twitter u otras redes sociales. Igualmente es el usuario bancario el que por medios que parecieran alejados de Internet pudiera dar información personal, como es a través de llamadas telefónicas, compartiendo esa misma información con terceros, escribiendo sus contraseñas en un post-it (notas engomadas) y pegándolas en su monitor para que no se le olviden. En fin, el riesgo, en este caso, depende de que la persona adquiera hábitos que le permitan minimizar los riesgos de seguridad, lo cual se logra únicamente conociendo dónde puede ser vulnerable, y siguiendo consejos de seguridad de forma disciplinada.

Kevin Mitnick, uno de los mayores hackers de la historia, condenado a no volver a tocar una computadora, conectarse a Internet ni a utilizar dispositivos inalámbricos, actualmente asesor de seguridad informática en algunas de las más importantes empresas del ramo, lo dijo claramente: “La mayoría de los ataques cibernéticos siempre se originarán en fuentes cercanas a ti, a través de información que tú mismo proporcionaste, y de donde una persona con la suficiente pericia, habilidad y tiempo podrá deducir tus claves de acceso, los lugares donde resguardas tu información más intima y el monto y origen de tus recursos.”

Entonces… ¿Es que acaso lo mejor es no usar la banca en línea? ¿La recomendación es acudir a las sucursales bancarias? ¡¡PARA NADA!!

La Banca en Línea es muy segura… Y si el mayor riesgo está en tu propia persona la recomendación es:

  • Informarte de los riesgos de seguridad existentes para poder tomar los cuidados necesarios (lo cual ya hiciste en buena medida leyendo este artículo)
  • Llevar a cabo de forma persistente y disciplinada actividades que diminuirán el riesgo de que terceros tengan acceso a tu información, datos bancarios y recursos (mejores prácticas)
  • Convertir esas actividades en hábitos.
  • Compartir las mejores prácticas de seguridad en Banca en Línea con tus amigos, conocidos y seres queridos.

Podrás encontrar las mejores prácticas de seguridad para banca en línea en el siguiente artículo: Protegiendo tu dinero en Internet. ¡Hasta entonces!

9 Comentarios »

  1. Flor 01/Dic/2015 en 6:13 pm - Responder

    Buenas tardes

    Tengo una duda ya que he tenido muchos problemas con el cobro de mis remesas que me mandan de estados unidos la última ocasión no me querían pagar mi dinero que por que su página les marcaba error, y bien facil todos se lavan las manos diciendo que es culpa del sistema.
    si ustedes me pudieran orientar de alguna forma de envio de dinero de estados unidos más segura

    Gracias

  2. Adriana cuevas Calvo 19/Feb/2014 en 5:04 pm - Responder

    Estoy ayudando a mi mama q es jubilada del issste a dar seguimiento a 3 envíos q le hicieron d 5000 sin su consentimiento ! La unidad especializada d BBVA le pidió carta reclamatoria e IFE y se envío hoy. El ejecutivo del banco hoy nos comentaba q sólo pido haber sido el envío desde el teléfono q se registró en el banco ( por lo q leí aquí x banca móvil ) hay alguna forma d clonación d esto ? O sólo puede ser una persona q pueda tener acceso a todos sus datos ? Gracias !

    • Mauricio Priego 21/Feb/2014 en 9:02 am - Responder

      Adriana, en realidad se puede hacer adicionalmente por el portal de Internet del banco y a través de los cajeros automáticos. El detalle es que en los tres casos necesitas algo que es propiedad de tu mamá:

      1) Para Banca Móvil, necesitas su celular
      2) Para el portal, su token
      3) Para el cajero, su tarjeta

      Es por ello que difícilmente estos casos proceden… Tristemente lo común es que sean abusos de confianza de personas cercanas.

      ¡Éxito!

  3. lector anonimo 16/Oct/2013 en 9:48 am - Responder

    Buenas, de primero haces muy buenas publicaciones “Mauricio” acto seguido deja te critico de forma constructiva, la respuesta del personal del banco es totalmente acertada, la vulnerabilidad del fallo esta entre los puntos usuario, computadora e internet. No en el portal del banco no se genera este fallo pues este error es un choque por asi decirlo de paquetes desencajados de datos que al momento de quererlos interpretar ej este caso hoogle crhome falla y sale un aviso google chrome no responde y debe cerrarse,o se hace un frezee por motivos de carecimiento de poder en el ordenador por asi decirlo (carecimiento de kemoria ram,procesador antiguo,etc) basandose en los procesos llevados a cabo por el usuario en dicho momento o bn falla externa (un apagon por ejemplo) solucion, cambiar a un navegador mas seguro que creanme es una posible solucion viable para personas que carecen de conocimientos de informatica, no forzar demasiado el ordenador en el momento de hacer uso del portal bancario (cerrar programas para liberar profesos= a mayor estabilidad en ram y procesador) y asi evitar un freeze y de antemano lo mas logico leer y saber que los navegadores son CONFIGURABLES manualmente para un mejor desempeno, como el precargar plugins para reforzar vulnerabilidades coocidas como esta y un sin fin que les podria mencionar y muchas otras que ni siquiera yo se, un saludo y no posteo links de como configurar su navegador, ni que plugins utilizar, sean autosuficientes es la mejor defensa, adquirir conocimientos mediante lectura y estudio no deberia ser causa de aburrimiento, de igual forma aqui se les esta induciendo ya por si solo de abrir este post y ponerse a leer es un buen paso tajante para no ser las victimas de la ignorancia causada por el mal uso de la internet y las redes sociales, pues este blog hay informacion muy interesante, asi deberian de ser la mayoria. Un saludo a todos, espero no tomen a mal mi respuesta ni mucho menos la hago con el afan de molestar a nadie. Cualquier aclaracion de lo antes mencionado usen fuentes alternas googlear o nuscar videostutoriales en youtube por ejemplo.

    • Mauricio Priego 17/Oct/2013 en 4:10 pm - Responder

      Más que molestarme de alguna manera, te agradezco tu respuesta tan completa así como la solución que presentas respecto a qué podemos hacer los propios usuarios resolverlo. Quizá resulte algo técnica para la mayoría, pero como dices, hay que leer y aprender.

      Ahora bien, Internet no es un lugar donde sea sencillo investigar porque hay mucho más contenido que calidad, y para alguien que el tema no es su fuerte le resulta difícil identificar la información veraz. Por ello decidí crear este blog de temas financieros… Viendo que dominas el tema, ¿qué te parecería apoyar a la comunidad a través de un artículo sencillo donde se vea un poco más gráficamente los pasos a seguir para realizar la configuración que sugieres? Con gusto lo publicaría en el blog y así futuros lectores e internautas que estuviesen buscando esa información podrían encontrarla. ¿Qué te parece? ¿Aceptas la invitación?

      Nuevamente agradezco tu participación.
      Éxito en tus proyectos.

  4. Antonio 15/Abr/2013 en 5:03 pm - Responder

    En cierta ocasión realicé una transferencia bancaria a través de Internet y cuando hube acabado mi ordenador se bloqueó y cerré mi conexión con el Banco interrumpiendo mi conexión con Internet. Una vez cerrada la aplicación, volví a conectar nuevamente con el navegador (Google Chrome). Apareció en pantalla el aviso de que había cerrado Google de forma anormal y me daba la opción de recuperar la anterior conexión. Quise comprobar si podría volver a entrar directamente en mi Banco sin necesidad de utilizar contraseña y me llevé la desagradable sorpresa de encontrarme dentro de mi cuenta, pudiendo manejar mis datos como si me hubiese conectado con todas las medidas de seguridad. ¿Es esto normal? Si la conexión con mi Banco la hubiera realizado a través de un ordenador ajeno y después de cerrar dicha conexión de forma irregular (por un apagón, por ejemplo), entiendo que el siguiente usuario del ordenador, podría encontrarse, voluntaria o involuntariamente, dentro de mi cuenta bancaria. Agradecería un comentario sobre esta cuestión. Muchas gracias.

    • Mauricio Priego 16/Abr/2013 en 3:53 pm - Responder

      Antonio, buenas tardes.

      En definitiva es un error de seguridad en la página del banco: Al cerrarse el navegador debiera concluir la sesión para evitar lo que mencionas.
      No pongo el duda el que tu banco se esmere en la seguridad, pero eso no exime que alguno de sus procesos tenga defectos. ¿Le comentaste al banco del problema? El que los clientes les avisemos de esas fallas les sirve para mejorar la seguridad de sus aplicaciones.

      ¡Éxito!

      • Antonio Pacheco 23/Abr/2013 en 12:56 pm - Responder

        Hola, Mauricio. Agradezco mucho tu comentario. Para tu información y en atención a tu amabilidad, te transcribo toda la correspondencia (mi consulta al Banco y su respuesta), en relación con este “asuntillo”, que tiene bemoles…

        Este fue mi correo:

        “He realizado una transferencia a través de “Bancanet”. Al intentar imprimir el justificante, el programa no me ha respondido y tras reintentarlo varias veces y creer bloqueado el ordenador, lo he apagado. He vuelto a entrar en Internet y me ha aparecido en pantalla un mensaje de Google diciendo que la aplicación no se había cerrado correctamente y que podía volver a abrir la pantalla en la que había finalizado anteriormente. Me he llevado una gran sorpresa al comprobar que podía hacerlo: he vuelto a entrar directamente en la pantalla de la transferencia que había realizado y pinchando en otras opciones del menú disponible en “Bancanet”, he recorrido mi cuenta y datos.
        El acceso a “Bancanet” en esta ocasión lo he realizado desde el ordenador de casa, pero no hubiera sido lo mismo si lo hubiese hecho desde mi trabajo o desde cualquier otro ordenador ajeno.
        No entiendo porqué habiendo apagado el ordenador, al arrancarlo pude volver a entrar en “Bancanet” y en mi cuenta sin necesidad de contraseña. Me parece un grave fallo de seguridad del sistema, que no comprendo cómo se ha podido producir. Recalco que pinché en la opción de “desconectarse de “Bancanet””, aunque no puedo asegurar que la orden se llevara a cabo porque, como he dicho, el ordenador se me bloqueó. No obstante, habiendo apagado el equipo, el grave error es que al arrancarlo nuevamente, siguiera conectado a “Bancanet” y dentro de mi cuenta. Les agradecería una explicación, por favor. Gracias. Un cordial saludo.”

        Y esta fue la respuesta de “Bancanet”:

        “Buenos días,

        Tras realizar la consulta en el departamento correspondiente, le podemos decir que lo que le ha pasado es cosa del navegador. Es decir, cuando el programa no se cierra correctamente, el navegador guarda todo lo que tenía en ese momento, para cuando se restablezca de nuevo la conexión pueda volver a mostrar lo que antes de cerrar el programa . en estos casos, nosotros no podemos hacer nada, puesto como le he comentado anteriormente es cosa del navegador.

        Reciba un cordial saludo.

        “Bancanet”

        • Mauricio Priego 24/Abr/2013 en 11:04 pm - Responder

          Antonio, ¡¡Vaya con la respuesta!!

          Es un grave defecto de seguridad y es una pena que quien te atendió en Bancanet se lave tan fácilmente las manos. Gracias por compartirlo para que otros lectores sepan del riesgo.

          … De hecho, voy a intentarlo en mi propio equipo. Si logro reproducir el fallo, lo grabo y lo publico aquí en el blog.

          Te comento qué resulta ;)

Deja un comentario »

Suscribete

Suscribete, es gratis

El proceso de suscripción requiere que confirmes tu dirección de correo. Para ello, por favor busca en tu buzón un correo que tiene como asunto "Feedburner Email Subscriptions" enviado por FeedBurner, dentro del mensaje encontrarás un enlace para activar tu suscripción. Por favor haz clic en él, ¡y listo! Ya estarás suscrito.