 |
Seguridad en la Banca Electrónica.En principio debo decir que este documento no es mío, es decir, pertenece a NCR, pero como no lo he encontrado en su WEB aquí está. También tengo que decir que es un cuadernillo que se repartio en el ExpoInternet 97 y está escrito por Julián Inza, y esa es su dirección de correo por si deseas contactar con el. IntroducciónLos sistemas de Banca Electrónica de las entidades financieras vienen utilizando hasta la fecha esquemas de seguridad basados en usuario/clave para acceder a los servicios de la entidad por parte del cliente. Además incluyen un sistema propietario de comunicaciones que permite mantener los intercambios de datos bajo control. Si se lleva a cabo una adecuada política de custodia de claves por parte de los clientes, no hay grandes motivos para preocuparse en cambiar el sistema. Por otro lado, los procedimientos administrativos de las entidades permiten detectar y resolver cualquier incidencia que se produzca. Sin embargo, la llegada de sistemas de comunicaciones abiertos, basados en los protocolos TCP/lP, proporciona un medio universal y económico de comunicaciones, puesto a disposición de las Entidades Financieras para que éstas lo utilicen como infraestructura que permite hacer llegar los servicios financieros a sus clientes. Y con estas redes llega también la preocupación por la seguridad, ante el registro de casos en los que se produce el acceso no autorizado a ciertas instalaciones o al contenido de determinada información que se transmitía por este medio. Además el problema de la Autentificación y Acreditación de los usuarios debe plantearse desde una nueva óptica que garantice el buen uso de la información, sin riesgos para la entidad o para sus clientes. Afortunadamente, existe ya el nivel de tecnología adecuado para dar satisfacción a las necesidades de las entidades, sin compromisos, y con una amplia gama de posibilidades. Firma ElectrónicaLa mejor solución para validar los accesos o instrucciones de los clientes de la entidad es, desde un punto de vista teórico, la firma electrónica, basada en criptografía de clave pública. Del mismo que hoy se utiliza la firma manuscrita, como elemento de vinculación contractual, la firma electrónica tiene además de su principales propiedades, la de garantizar que el documento que se firma no ha sufrido modificaciones. Pero la correcta implementación de esquemas de autentificación basados en criptografía de clave pública exige una adecuada combinación de hardware y software, para la que existe una panoplia de alternativas y productos, y sobre las que deben tomarse algunas decisiones previas al diseño final de la solución. Además, entre las soluciones posibles, se encuentran algunas que, sin hacer uso de la criptografía de clave pública, permiten un nivel de seguridad que se puede considerar adecuado y que, en algunas ocasiones, es de uso más sencillo que otras alternativas más seguras. En este estudio se da un breve repaso a las alternativas de autentificación más prometedoras, y se plantea un marco teórico respecto al uso de la criptografía de clave pública y de la firma electrónica. Se estudia su uso en soluciones propietarias de banca electrónica, así como su uso en soluciones abiertas (servicios basados en World Wide Web con criptografía SSL). Como complemento, se adjuntan algunas hojas informativas de productos existentes que se pueden incluir en una solución final. Soluciones Propietarias de Banca ElectrónicaPara el desarrollo de los Servicios de Banca Electrónica es normal plantearse en su diseño la funcionalidad de la que se quiere dotar al servicio desde el punto de vista del usuario y de su gestión. Por ello la forma tradicional de enfocar un proyecto de Banca Electrónica ha sido la de hacer un desarrollo a medida que tuviera en cuenta las características del host y el entorno competitivo, respecto a funcionalidad en el que se movían este tipo de aplicaciones. Por otro lado, los clientes son cada vez más exigentes y requieren la máxima funcionalidad de un sistema que además pretenden que permita utilizar el mismo ordenador para acceder en sus cuentas en varios bancos. En los casos en que la solución es propietaria existe un gran control sobre su funcionalidad, y existe libertad de elección de protocolo de comunicaciones. Con las ventajas proporcionadas por Infovia, e Intemet, debería optarse por el uso de protocolo TCP/IP. Para la autentificación puede utilizarse un esquema de usuario/password, con validación local y/o remota, y para el cifrado puede utilizarse DES. Los esquemas de validación de claves más robustos y que tienen la ventaja de que pueden utilizarse en Banca Telefónica, son los de calculadoras de clave. Existen varios modelos y suministradores. Los más populares son SecurID y digiPass. Existen modelos con generador de tonos que pueden ser utilizados en forma semiautomática en Banca Telefónica. El hecho de tener el control completo de la aplicación permite incluir modelos robustos con combinación de criptografía de clave pública (básicamente RSA) y criptografía de clave simétrica (con DES, o mejor, con RC4 o Triple-DES). Para las claves RSA normalmente se utilizarán tamaños de clave de 1024 bits, y para las simétricas, sus tamaños estándar |
