II SEMINARIO Riesgo Operacional en las Actividades Bancaria y Bursátil por medios electrónicos Bogotá D.C., Septiembre 2 de 2010 Nuevos retos en seguridad: Banca Móvil ING. HERBERTO E ORTIZ herberto.ortiz@alinatech.com
Antecedentes La primera ola de banca móvil llego a los mercados globales aproximadamente en 2001, año en que los bancos y otras instituciones financieras comenzaron a ofrecer servicios de banca móvil vía SMS y navegador (WAP/GPRS). Las transacciones no monetarias, como por ejemplo consulta de saldos, fueron las primeras en ingresar en el mercado móvil. Los clientes se acostumbraron poco a poco al canal SMS para el pago de servicios y la realización de transacciones financieras como transferencias de fondos. Sin embargo, la banca basada en navegador, que ofrecía una versión básica de los sitios Web, no logro replicar la experiencia de banca por Internet en los teléfonos móviles.
Entre otras razones para este fracaso, se incluyen las siguientes: Baja velocidad y escaso ancho de banda de las redes celulares, con tasas de descarga de aproximadamente 80 kbps, muy inferiores a las velocidades disponible para Internet. Proliferación de teléfonos móviles poco aptos para el uso de navegadores y diseñados pensando mas en la transmisión de voz que de datos, con pantallas monocromáticas y de baja resolución. Incapacidad de los proveedores de servicios móviles para presentar un entorno de seguridad convincente que justifique la confianza en la transmisión de información financiera.
HECHO: En la actualidad, en la mayor parte de las economías, los consumidores de servicios móviles crecen a una tasa mucho mas rápida que los clientes bancarios: Gartner estima que en el ano 2011 habrá 103,9 millones de usuarios de servicios móviles a nivel mundial, y que el Pacifico Asiático será el área con mayor numero de usuarios
HECHO: Cada día que pasa, se produce una nueva revolución tecnológica en el área de la telefonía celular a fin de ofrecer mucho mas que servicios de voz. Estos dispositivos se encuentran habilitados para ofrecer contenido rico y atractivo a los usuarios. De hecho, en términos de facilidad de uso, los teléfonos compiten con las notebooks y computadoras de escritorio. El iphone es un claro ejemplo de esto. Los bancos de avanzada comenzaron hace tiempo a incentivar a sus clientes de banca por Internet a utilizar sus servicios móviles mediante su iphone o ipod para comprobar con facilidad y total seguridad los saldos de sus cuentas, pagar servicios, transferir fondos o ubicar un cajero automático o centro bancario en su área.
HECHO: Las velocidades de red también han experimentado una importante mejora. Las velocidades de transmisión ahora son comparables con las de las conexiones de Internet de banda ancha alambricas, y alcanzan velocidades de hasta 3,6 Mbps. Replicar e incluso mejorar la experiencia de banca por Internet en el teléfono celular ha dejado de ser una aspiración remota
CARACTERISTICAS DESEABLES DE LAS SOLUCIONES DE BANCA MOVIL La solución debe optimizar los últimos adelantos tecnológicos. Debe ofrecer a los clientes actualizaciones constantes para permitirles permanecer a la vanguardia en términos de facilidad de uso. La transmisión y almacenamiento de datos debe contar con entornos de seguridad comprobados, que incluyan mecanismos de autenticación y autorización. Debe ofrecer funciones apropiadas, que permitan establecer una interfaz con múltiples sistemas host.
CARACTERISTICAS DESEABLES DE LAS SOLUCIONES DE BANCA MOVIL Los servicios deben optimizarse para ofrecer una máxima facilidad de uso y compatibilidad con una amplia variedad de teléfonos móviles a pesar de la complejidad en términos de resoluciones diferentes. Debe ofrecer un entorno con un costo competitivo que permita la exposición a nuevas funciones y el mantenimiento de las funciones existentes a través de todos los canales de acceso del teléfono celular, como 3G, SMS, GPRS y WAP. El modelo de operación debe tener una dependencia mínima con los proveedores de servicios de red.
16,00% 14,00% 12,00% 10,00% 8,00% 6,00% 4,00% 2,00% Europa America Pacifico Asiatico 0,00% Uso de Banca Movil por Regiones Un estudio reciente elaborado por Sybase Inc. indica que los servicios de banca móvil tienen una prevalencia de casi el doble en el Pacifico Asiático, donde un 15,4% de los encuestados informaron haber utilizado un teléfono móvil para comprobar su saldo bancario durante los últimos tres meses, en comparación con tan solo un 8,7% en América y un 7% en Europa, lo que demuestra una disparidad entre la demanda de servicios de banca móvil y la oferta de estos servicios.
ACEPTACION DE BANCA MOVIL Un impulso esencial para la aceptación de la banca móvil en todo el mundo parece ser la tendencia entre los consumidores bancarios de administrar hasta el ultimo centavo de sus finanzas minuto a minuto. Tanto en los Estados Unidos como en Europa, el 40% de los encuestados afirma conocer en todo momento cuanto dinero tiene exactamente en su cuenta bancaria. el 41% de los encuestados del punto anterior, consulta los saldos de sus cuentas diariamente. Los servicios de banca móvil dan respuesta a esta necesidad casi obsesiva, pues ofrecen a los consumidores de servicios financieros la posibilidad de consultar los saldos de sus cuentas, transferir fondos y realizar pagos o validar transacciones en todo momento y lugar
La banca móvil es la mejor opción para que los proveedores de servicios financieros puedan llegar a personas sin adecuado acceso a servicios bancarios debido a tres aspectos principales: 1. Penetración En la mayor parte de las economías, el uso de tecnología móvil esta creciendo a una tasa mucho mayor que los servicios bancarios, dado que el numero de personas con teléfonos celulares es superior al de las personas que tienen cuentas bancarias. La alta penetración de la telefonía móvil permite ofrecer servicios financieros de forma rápida y económica a personas sin acceso a servicios bancarios, algo que ninguna otra tecnología puede ofrecer. La banca móvil es considerada un servicio cada vez mas practico, rápido, simple y seguro.
2. Costo En la prestación de servicios bancarios, donde los márgenes son bajos-- en especial en el caso de servicios a personas sin acceso a servicios bancarios, es indispensable para los proveedores de servicios financieros mantener bajos costos. Los costos mas altos provienen de crear y administrar sucursales y redes de cajeros automáticos.. 3. Infraestructura La banca móvil utiliza la infraestructura de comunicaciones existente con la que cuentan las personas sin acceso a servicios bancarios. Por lo tanto, los bancos no tienen que invertir tiempo, dinero y esfuerzos en desarrollar una nueva infraestructura. La banca móvil ofrece una proximidad física muy superior a la de Internet o los cajeros automáticos.
La billetera móvil: Es literalmente una billetera incorporada a su celular. Se trata de un software inteligente que se ejecuta en su teléfono móvil y puede utilizarse no solo para realizar servicios bancarios sencillos sino también para almacenar información acerca de sus tarjetas de crédito y debito, carnets de socio y cupones de regalos. Su finalidad es almacenar información personal, como detalles del pasaporte y licencia de conducir. Al igual que la billetera tradicional, la billetera portátil también puede transportar "efectivo", al permitir la realización de transferencias desde su tarjeta de debito o crédito. La billetera puede utilizarse para efectuar transacciones en una terminal POS en reemplazo de las tarjetas plásticas. El software proporciona actualizaciones automáticas de su historial de transacciones y extractos bancarios.
La billetera móvil: Retos de Seguridad Pero, como siempre, tendremos el miedo de que nos saquen plata del bolsillo. En ocasiones, las dudas relativas a la seguridad de guardar información confidencial en el teléfono celular resultan imposibles de evitar. Al igual que ese temor se mitigo con los años respecto del uso de Internet, en los próximos años los adelantos tecnológicos deben orientarse a los abundantes riesgos relativos al uso de la billetera móvil.
LA SIGUIENTE GENERACION DE ATAQUES A DISPOSITIVOS MOVILES Durante años se han realizado terribles predicciones por parte de los expertos de la industria acerca de la inminente oleada de malware para móviles; virus y troyanos que específicamente se centran en teléfonos inteligentes y PDAs, y que generan estragos en los dispositivos móviles. Pero nunca estas amenazas de malware para móviles se materializó. Ha habido un virus para móviles aquí y allá. Pero para la mayoría de los casos los atacantes han decidido renunciar a ese tipo de ataques, y en su lugar se han centrado en técnicas furtivas que les dan ilimitado - e inadvertido - control del dispositivo.
LA SIGUIENTE GENERACION DE ATAQUES A DISPOSITIVOS MOVILES Troyanos bancarios dirigidos a plataformas como el iphone, Blackberry y Windows Mobile han aparecido en los últimos meses, así como falsas aplicaciones de banca móvil que son ofrecidas en las tiendas de programas. Estas aplicaciones maliciosas tiene la apariencia de las aplicaciones bancarias legítimas generados por los grandes bancos internacionales, y están diseñadas para capturar las credenciales de los usuarios de banca en línea.
Las tiendas de la aplicación, cómo todo, tienen cosas buenas y malas. Todo está en un lugar, eso es bueno. Pero lo negativo es que tienes un único punto de distribución en caso de amenazas potenciales, Si logro pasar una sola pared, puedo obtener una gran cantidad de descargas muy rápidamente. Cómo los usuarios pueden distinguir las aplicaciones peligrosas de las seguras en la tienda de aplicaciones?
Las empresas, como RIM, Apple y Google, que mantienen las tiendas de aplicaciones, no garantizan la seguridad o la calidad de ellas, por lo que los usuarios las descargan e instalan bajo su propio riesgo. "Los dueños de las tiendas reconocen que tiene que reforzar la seguridad, pero que no quieren frenar el número de aplicaciones que venden.
El desarrollo de aplicaciones móviles maliciosas puede convertirse en el vector de ataque más popular y lucrativo para los cibercriminales en los próximos años. La convergencia de las poderosas plataformas de computación móvil, tales como el iphone, Android y BlackBerry con la creciente popularidad de las tiendas de aplicaciones, y los teléfonos móviles como sistemas de pago, hace que estos ataques sean atractivos para los atacantes cualificados.
Ramificación Virtual de la Banca que significa esto? que la banca, tal como las ramas de un árbol, tenderá a expandir su presencia online para estar presente en cada rincón del mundo virtual donde sus clientes se encuentren. Sin duda esto represente grandes oportunidades y desafíos para la banca y para las empresas proveedoras de tecnologías de información y de soluciones de seguridad.
El perfil del cliente bancario Web 2.0, esta formado principalmente por: hombres entre los 25 y los 34 años con un 53% dispuesto a utilizar herramientas Web 2.0 El 33% del primer grupo cambiaría a otro banco si le ofrecieran estas herramientas, mientras sólo un 21% del grupo de 18 a 24 años lo haría. Según el estudio, los hombres presentan una mayor disposición para administrar sus finanzas personales utilizando herramientas Web 2.0: un 55% de los hombres lo harían, mientras las mujeres que lo harían representarían un 45% solamente. La seguridad en la Web 2.0 es uno de los tópicos que afectaran la lealtad de los clientes en todas las industrias, con los servicios financieros liderando la marcha
Una buena estrategia para la protección en Web 2.0 incluirá: Control de Aplicaciones Implementar controles granulares de seguridad para Web 2.0, redes sociales, y aplicaciones en Internet. Cumplimiento Ingresar y guardar archivos para cumplir con requisitos regulatorios o de descubrimiento electrónico. Filtrado Web Monitoree y controle el uso de la web por parte de los empleados. Prevención de spyware, rootkits y gusanos en el gateway Control del Ancho de Banda Controle el uso de aplicaciones que demandan alto ancho de banda como compartir archivos y videos Virtualización de Navegador Web Provee un modo dual de navegador lo que le permite a los usuarios separar los datos corporativos de la Internet
Una buena estrategia para la protección en Web 2.0 incluirá: Capacidades de Autoaprendizaje Analice el comportamiento del usuario y las políticas preconfiguradas, alertando a los usuarios cuando puede haber datos sensibles en riesgo La seguridad en el mundo Web 2.0 es compleja y ha dejado a las empresas con el desafío de cómo gestionar esta generación de vectores de amenazas. Será primordial para las organizaciones implementar soluciones enfocadas en mejor seguridad, gestión sencilla, que sean suficientemente flexibles para evolucionar con las cambiantes necesidades de seguridad del negocio.
ING. HERBERTO E. ORTIZ ROSA herberto.ortiz@gmail.com herberto.ortiz@alinatech.com