El talón de Aquiles de la ciberseguridad de las instituciones financieras

En el mes de julio se realizaron las principales cumbres del mundo de la ciberseguridad. En estos eventos se discuten acontecimientos recientes, tendencias y, en particular, se plantea el desafío de hackear toda y cualquier nueva solución de seguridad. ¿El mensaje? 

Menos foco en lo llamativo y vendedor, más atención a los aspectos básicos. 

El 12 de mayo el software malicioso Wannacry paralizó al Sistema de Salud británico (NHS), el tercer mayor empleador del mundo detrás del ejército chino y la compañía de trenes de la India. También cayeron víctimas de este ransomware -que exigía el pago de 300 dólares para recuperar el acceso al PC- empresas de la talla de Telefónica. ¿Qué pasó? ¿Cómo lograron penetrar a organizaciones de ese porte y nivel de recursos destinados a TI?  
De hecho, no se trató de algo particularmente complejo. La vulnerabilidad explotada estaba plenamente identificada y Microsoft había publicado los parches de seguridad requeridos meses atrás. Quienes fueron afectados o bien no habían realizado la actualización de sus sistemas operativos, o no podían hacerlo. El NHS, por ejemplo, tiene invertidos millones de dólares en software específico a medida que no funciona en sistemas operativos posteriores a Windows XP, producto para el que Microsoft ya no ofrecía soporte y este tipo de actualizaciones. 

La infraestructura informática es tan robusta y segura como su eslabón más débil.

La apuesta de los hackers fue precisamente explotar la desidia de usuarios y/o administradores, o la incapacidad de sus víctimas de proteger su operación contra vulnerabilidades de público conocimiento.  
 Por eso en Bankingly destacamos la ventaja de un modelo de suscripción en Microsoft Azure. La infraestructura está más blindada desde el momento que Microsoft aplica todo parche de seguridad en Azure de forma inmediata, para todos sus clientes, sin mediar discrecionalidad por parte de éstos, e incluso lo hace antes de distribuir la actualización a usuarios particulares o corporativos que pueden o no aplicarla eventualmente. A su vez, el soporte lógico (software) que hace uso de esta infraestructura debe necesariamente mantenerse acompasado con los cambios de sistemas operativos, browsers y demás. De no hacerlo se pierden accesos, se reduce la suscripción y -absolutamente clave- se pierde la confianza del usuario que lo lleve a volver regularmente a hacer uso del servicio. Ambos problemas detrás de la difusión de Wannacry desaparecen por diseño. 

El verdadero desafío, el talón de Aquiles en el ciberespacio, no es técnico sino humano: el usuario.

Pero proteger la infraestructura, asegurar la permanente actualización del software, y encriptar las comunicaciones es sólo una parte de la historia.   
El modus operandi del hacker cada vez se orienta menos al ataque sistemático y más a la ingeniería social, porque es al usuario que reconocen como el eslabón más débil del sistema. Históricamente, tanto las instituciones financieras como sus organismos reguladores ya lo han entendido así. Primero se utilizaba usuario y contraseña, luego las contraseñas debieron incluir un mínimo de caracteres, números, letras minúsculas y mayúsculas. Desde hace años ya se exige un segundo factor de autenticación y han proliferado las opciones surgiendo cada vez más el lema “Algo que sé (contraseñay algo que tengo”: 

  • Pregunta de seguridad, pero el apellido materno de mi madre o mi escuela es fácil de investigar. 
  • PIN, pero la gente lo anota para no olvidarlo (incluso algunas instituciones lo entregan pre-impreso para que en caso de extravío sea fácil de entender). Cuando pasa a 6 u 8 dígitos se vuelve una fecha de nacimiento, matrimonio, o similar. Y si lo digo a un tercero o ingreso en un sitio de phishing estoy entregando algo válido hasta que me percate y lo cambie. 
  • Tarjeta de coordenadas, pero a pesar de variar las opciones lo hace en un rango acotado y tiene una logística compleja. 
  • Token (OTP) físico, es dinámico pero mantiene la complejidad y costo logístico. 
  • Token (OTP) por SMS, elimina la logística pero se ha vuelto frecuente el hackeo de empresas telefónicas para routearlo a otro dispositivo. 
  • Token (OTP) por email, elimina el costo de SMS pero el email puede estar comprometido. 
  • Soft-Token (OTP) por app, no aporta a la seguridad en el mismo dispositivo pero dado que primero hay que obtener el dispositivo y salvar sus resguardos de seguridad propios es hoy la mejor opción de OTP. 

Bankingly soporta todas estas alternativas, aunque a nivel de roadmap (hoja de ruta) consideramos que el escenario ideal es el uso de la biometría en dispositivos móviles y soft-token en PCs. Lamentablemente, la mayoría de los dispositivos inteligentes en uso no soportan aún el reconocimiento de la huella dactilar, pero la tecnología está y hacia ahí vamos. 
Lo que queda en evidencia estudiando esa evolución del segundo factor es la búsqueda continua de evitar que la seguridad quede en manos del usuario y, en un segundo orden, lograr eso de una forma más económica. El PIN de hecho puede ser más seguro que cualquier token, la probabilidad de que alguien adivine mi PIN de seis dígitos es exactamente la misma de adivinar un OTP de seis dígitos, pero mi cerebro no puede ser robado o extraviado. El problema es cuando para facilitarme la memoria recurro a algo particular, lo comparto, lo dejo escrito, o uso ese mismo número (o contraseña) en otros sitios de dudosa confiabilidad. 
Un fenómeno más reciente es cómo varios sitios que bloqueaban el recordar contraseña lo han habilitado nuevamente. El comportamiento observado era que al forzar al usuario a recordar usuario y contraseña se incentivaba a que ésta fuese muy débil, o la que por defecto usa en todos lados. La alternativa de recordarla en un determinado browser (por lo tanto equipo) resulta ser mucho más segura porque es más probable que sea específica, más fuerte, y por lo tanto menos vulnerable desde cualquier otro equipo.

No son compatibles, y ahí radica el desafío porque los usuarios digitales contratan más productos y son más rentables.

Lo que se hace cada vez más patente entonces es la contradicción entre el paradigma del usuario como talón de Aquiles y una nueva generación multi-dispositivo que busca lo fácil, lo rápido, y frente a la cual la principal preocupación de un Gerente de Negocios es eliminar la fricción.  
 En Bankingly evaluamos constantemente esa dicotomía entre usabilidad o experiencia de usuario y seguridad. Ante la proliferación de soluciones Fintech de préstamos y medios de pago, reguladas o no, nacionales o internacionales, tampoco las Cooperativas de Ahorro y Crédito pueden abroquelarse detrás de un muro de restricciones diseñadas no para protegerse a sí mismas sino precisamente a ese usuario al que le generan rechazo. Se pierde al cliente en el afán de protegerlo. 
Por más que se intente evadirlo, el problema de fondo es la educación financiera y digital del usuario y su capacidad de identificar mecanismos de ingeniería social orientados a vulnerar su seguridad. Claro que no se trata de quitar controles y apostar exclusivamente a la educación, pero sí a establecer mecanismos de control que luego el usuario, en base a su conocimiento, sus preferencias, y bajo su responsabilidad, pueda optar por cambiarlos o eliminarlos por completo. En definitiva, es su cuenta, sus datos personales y su dinero.