La interrupción de las operaciones de la empresa, el robo de propiedad intelectual o la filtración de información crucial, son solo algunos de los ejemplos de las mayores amenazas de seguridad cibernética. Nos reunimos con Pawel Bulat, un experto en la industria de Comarch, quien comparte sus puntos de vista sobre cómo mantener la banca en línea segura y sólida.
¿Qué tan probable es que un banco sea atacado por hackers que desean acceder, alterar y robar datos comerciales confidenciales?
Muy probable. Y los métodos para hacerlo se vuelven más sofisticados. Por ejemplo, con las vulnerabilidades de Spectre y Meltdown descubiertas el año pasado en la arquitectura del procesador X86.
Sorprendieron al mundo informático, principalmente porque le permitieron al atacante robar datos críticos mediante la pérdida de memoria del kernel al espacio del usuario. El caso resultó ser aún más grave porque se podía realizar un ataque desde Javascript, es decir, un navegador web, y casi todos los dispositivos electrónicos en el mercado hoy en día estaban expuestos: desde teléfonos inteligentes y computadoras portátiles, hasta computadoras y servidores.
¿Qué podemos aprender con base en lo anterior?
En primer lugar, es vital para todas las empresas comprobar regularmente la seguridad de su hardware y software para eliminar posibles amenazas, y en segundo lugar, los dispositivos de importancia estratégica en la banca, y más allá, deben basarse en sistemas dedicados, tales como tokens criptográficos. Aumentan la seguridad de las transacciones mucho más que los dispositivos diseñados para uso universal, como los teléfonos inteligentes. Los tokens también nos protegen de forma efectiva contra ataques remotos, de los que podemos no estar conscientes durante un período de tiempo más prolongado.
¿Y qué es el token?
Es básicamente una especie de unidad USB que genera firmas digitales, utilizada para la autenticación segura y la autorización de transacciones ...
¿Hay alguna diferencia entre estas dos últimas?
Por supuesto, ya que son dos elementos clave de la seguridad informática; la autenticación confirma la identidad del usuario, mientras que la autorización otorga al usuario acceso a un recurso determinado en momentos específicos y por razones específicas. Entonces, volviendo a el token en sí, simplemente, verifica tus transferencias bancarias, para que puedas estar seguro de que el dinero que envías va a la cuenta bancaria correcta, no a la que controla un ladrón cibernético.
Hablando de dinero, en Comarch, ustedes fabrican sus propias herramientas de protección de transacciones. ¿Cómo trabajan?
Así es, existen dos clases: la primera es tPro ECC, que es un token USB del que acabo de hablarles, utilizado para firmar transferencias, es nuestro propio hardware propietario, hecho 100% en Europa. El segundo es tPro Mobile, una versión de la solución ajustada para dispositivos móviles.
En Comarch, a comienzos de 2012, nos pusimos manos a la obra en un concepto de dispositivo cuyo objetivo principal era crear un canal de comunicación seguro con el banco y encontrar una forma igualmente segura de mostrar los detalles de las transacciones.
La idea de nuestro dispositivo era muy simple. El usuario envía una orden de transferencia al banco, el banco la devuelve en forma cifrada a través de un canal seguro al dispositivo asignado por el cliente, y este último puede descifrar y mostrar los detalles de la orden. Después de revisarlos, el usuario decide si los datos coinciden con los transferidos inicialmente al banco. Si es así, se confirma la transferencia.
Al igual que enviar una carta al banco con una firma manuscrita ...
... y que el banco lo devuelva en una caja de seguridad, de la que solo usted conoce el código. Al recibir el buzón, lo abre con su código único para asegurarse de que el número de cuenta y la cantidad se retiren, y confirme o cancele la transacción. Cualquier intento de violar la caja de depósito en el camino genera la alerta y es inmediatamente detectable.
Suena sólido.
Mejor aún, nuestro token no tiene un sistema operativo, por lo que no puede ser afectado por ningún virus. También requiere la interacción persona-máquina: hay un botón tipo pulsador incorporado que debes presionar y soltar para generar una firma. Esto significa que incluso si le roban sus credenciales, no serán buenos para un ladrón cibernético, ya que el ladrón no tendrá forma de autorizar la transacción. Finalmente, el token viene con un sistema dedicado que admite la criptografía de curvas elípticas.
Haz más detalles sobre eso.
En pocas palabras, las curvas elípticas, utilizadas actualmente para, por ejemplo, las transferencias de Bitcoin, le brindan un alto nivel de seguridad y operaciones rápidas como autorización, autenticación o generación de claves.
Veo. ¿Hay algún otro diferenciador de Comarch?
Comarch ha priorizado las soluciones de seguridad de la información a partir de su primer proyecto de TI a mediados de los años noventa. El objetivo de garantizar que los datos sean lo más seguros posible es lo que buscamos desde que se inicia la fase de diseño del software.
Pero para nosotros, construir hardware y software es una cosa, la otra gira en torno a proyectos de consultoría cuyo objetivo es verificar si la seguridad de TI es sólida. Somos una ventana única para proteger sus datos confidenciales.
En otras palabras, asumimos la responsabilidad de extremo a extremo, desde el diseño y la implementación de la solución hasta el mantenimiento, gracias a lo cual nuestros clientes pueden estar seguros de que pase lo que pase, estamos ahí para ayudarlo.
Pawel Bulat, Project Manager en Comarch
Pawel es un experto en seguridad cibernética con más de una década de experiencia en la industria de la banca en línea.
Comarch se enorgullece de ser una de las casas de software líderes en Europa con más de 6000 empleados en todo el mundo y numerosos proyectos exitosos realizados para las marcas internacionales más grandes. Con 20 años de experiencia en la industria, Comarch Financial Services, un sector comercial dentro de Comarch Capital Group, se especializa en el desarrollo de software sofisticado y sistemas de TI para las principales instituciones financieras en banca, seguros y mercados de capital.