No me debería haber sorprendido, pero obviamente, me cuesta aprender algunas cosas de este país. Me sorprendió encontrar un banco en el que los técnicos informáticos no pueden acceder los sistemas remotamente y, por lo tanto, si hay un problema durante el fin de semana, o durante la noche, se tienen que trasladar hasta las oficinas del banco para poder corregirlo.
El encargado de la seguridad digital del banco en cuestión, decretó que nadie entra a los sistemas del banco de manera remota, ni amigos ni enemigos. Me imagino que esta estupidez en algún momento se le debe haber ocurrido también a los encargados de la seguridad física: si nadie entra al banco no hay riesgo de que entre un ladrón
Pero las rarezas parecieran no tener límite. Hace como 30 años, cuando los usuarios utilizábamos a lo sumo un sistema, ya se sabía que la parte más débil de la seguridad de un sistema eran los “passwords” que los usuarios escogíamos. No es de extrañarse que los usuarios escogiéramos palabras y/o números fáciles de recordar, ya que apuntar el “password”, en cualquier lado, es tan estúpido como utilizar la fecha de nacimiento como “password”.
Hoy los encargados de la seguridad en lugares críticos (como bancos) saben que los clientes no nos limitamos a un sistema o un banco. Típicamente un usuario de Internet, hoy en día, tienen docenas de “passwords” para diferentes sistemas en diferentes sitios, incluyendo varios bancos e instituciones financieras. Es por lo tanto, increíblemente estúpido, forzar medidas del tiempo de antes, como obligarnos a cambiar el “password” cada 30 días, o exigir que dicha clave contenga números, mayúsculas y minúsculas, pero sin vocales. Esas medidas producen, sin duda “passwords” difíciles de adivinar, pero también difíciles de recordar, lo que llevará al usuario a apuntarlas, derrotando así el propósito de la seguridad.
Asumir el riesgo. En los países en que se respeta la asimetría de poder entre las instituciones financieras y sus clientes, el riesgo financiero asociado a las transacciones digitales lo asume, casi en su totalidad, la institución. Sumado al deber de asumir el riesgo, las instituciones financieras respetan el espacio cognitivo de sus clientes y, por lo tanto, no intentan obligarlos a cambiar los “passwords” ni a utilizar secuencias imposibles de recodar, en su lugar utilizan tecnologías innovadoras para lograr doble y hasta triple autenticación.
Obligar a todos los clientes de un banco a cambiar su clave de acceso porque existen sospechas de que anda una banda de malhechores detrás de nuestros aguinaldos, me parece una locura, una falta de respeto, y una actitud bastante estúpida. Por supuesto que el ciberespacio está repleto de malhechores, es como el lejano oeste, pero la manera de combatir la delincuencia digital es con tecnología digital, no evitando el ciberespacio, o peor aún, haciendo el ciberespacio tan incómodo como el espacio físico. Obviamente, los delincuentes prefieren que los usuarios le tengan miedo a los medios digitales y sigan utilizando el efectivo y los medios físicos.
Lista de claves. Sistemas de doble y triple autenticación hay muchos. En Costa Rica el primer banco en ofrecer servicios en línea introdujo uno hace más de 10 años que consiste en entregar a los clientes una lista de claves que solo sirven para hacer una transferencia cada una. Recientemente, otro banco introdujo un dispositivo físico que genera claves cada pocos segundos sincronizadas con el servidor del banco. Hay técnicas basadas en palabras memorables en las que el sistema le solicita al usuario solo dos letras de la palabra (por ejemplo la tercera y la quinta). También hay técnicas basadas en fotos, el banco le ofrece al cliente una lista de fotos, el cliente escoge una y le pone un nombre, luego al entrar a sitio del banco, después de ingresar el código de usuario y antes de ingresar la calve secreta, el banco despliega la foto con el nombre asignado por el cliente, si el cliente no ve la foto con su nombre, no ingresa la clave.
Todos los mecanismos anteriores sirven, son efectivos, permiten al cliente mantener un “password” fácil de recordar y al banco mantener a los malhechores lejos (los estimula a irse al tercer mundo a buscar blancos más fáciles). No dudo de que en el país podríamos perfectamente inventar varios mecanismos igual de seguros, pero tal vez más baratos e ingeniosos. ¿Será que los bancos necesitan regulaciones que los obliguen a invertir en seguridad digital creativa?
Artículo publicado en el periódico La Nación
