Sistema Biométrico
Anuncio
2011 Sistema Biométrico Banco Pichincha Danyana Baquerizo - Tania Huilcapi 22/05/2011 ANTECEDENTES Desde hace algún tiempo el número de denuncias por perjudicados de fraudes informáticos en sus cuentas bancarias ha aumentado en las fiscalías del país. Según Ecuavisa, solo en Pichincha se investigan 697 casos de fraude informático. A la cabeza de las innovaciones están los bancos Pichincha, de Guayaquil, Bolivariano y Produbanco. Las cuatro instituciones implementaron el sistema de control de acceso basado en una tarjeta con coordenadas (e-key) que contienen una nueva clave que no reemplaza a la principal y sirve como refuerzo de seguridad. También realizan un ethical hacking (auditoría informática). Compañías extranjeras simulan un ataque virtual para verificar las seguridades del banco. Se identifican las fallas y se aplican los correctivos. Lamentablemente, una vez más, la idiosincrasia de los usuarios permitía que los datos de estas tarjetas sean divulgados al verse atacados por técnicas de ingeniería social en su mayoría. Igualmente este sistema no era compatible con ciertas versiones o tipos de navegadores, lo que complicaba aun más su eficiencia. Ante las amenazas de programas que atacan el hardware de los computadores, registrando las claves que se digitan, se han incorporado teclados virtuales y matriculación de cuentas. Esta última guarda todas las cuentas con las que se realizarán transacciones para que no se pueda desviar dinero sin la aprobación previa del titular de la cuenta. Al cliente se le notifica de cualquier transferencia a su correo electrónico y en un mensaje de texto al celular. El Banco Pichincha utiliza, desde el 16 de febrero, un sistema biométrico. El programa hace una lectura del tiempo promedio que tarda un cliente en realizar una transacción virtual. Si el tiempo es mayor al habitual del ahorrista, el sistema se bloquea impidiendo que se transfiera dinero. ¿Qué es el Sistema Biométrico? Es una solución de seguridad implementada por el Banco de Pichincha para el ingreso a su Banca Electrónica que consiste en la validación de la Identidad que certifica que la persona que escribe su usuario y contraseña es cliente original. El Sistema de Ingreso Biométrico construye, evoluciona y almacena un patrón personal en la forma en la que el usuario ingresa los datos en su computador además de otras características de comportamiento y entorno (Denominado Patrón de Comportamiento). Es como crear una nueva huella o una firma única y exclusiva de cada cliente. Este sistema contempla seguridades adicionales mediante el uso de preguntas secretas y figuras secretas las cuales garantizan aún más el acceso a la Banca Electrónica. Adicionalmente tiene un sistema de alertas mediante correo electrónico y mensajes SMS que le informarán cuando existan intentos errados de ingreso a su Banca Electrónica SISTEMA BIOMETRICO BANCO PICHINCHA Necesidad de aplicación y posible impacto El número de incidencias de seguridad en el Banco Pichincha es alto. Esto se debe a que la mayoría de usuarios de la banca electrónica no conocen o no practican estrategias de seguridad informática básicas como: Tener un antivirus instalado y actualizado Usar software actualizado, en especial los navegadores No instalar programas de dudosa procedencia o no verificados Manejar claves diferentes para cada servicio Crear claves de más de 12 caracteres que contengan letras, números y símbolos Encriptar bases de datos de claves o de información sensible Entre otras Si a esto se le suma que muchas personas tenían el descuido de ingresar a sus cuentas bancarias a través de equipos públicos, el panorama no era alentador. Afortunadamente, el sistema de control de acceso basado en una tarjeta con coordenadas (e-key). Como activar y usar el nuevo sistema biométrico El proceso para activar este sistema es tiene muchas opciones por configurar. Esto es debido a que al tratarse de un sistema biométrico basado en la conducta, se debe crear un perfil inicial del usuario basado en sus gustos y elecciones. El banco ofrece un manual bastante funcional de cómo se debe activar el servicio. El proceso es básicamente el siguiente: Ingrese al portal del Banco Pichincha y diríjase al control de su banca virtual En la nueva pantalla, seleccione la opción para crear una nueva cuenta Ingrese la clave de su tarjeta de debito (Si no tiene una, no podrá activar el servicio) Indique su cedula de identidad, número de teléfono y responda al menos tres preguntas predeterminadas; cree una nueva pregunta y seleccione un dibujo de su elección (Recomiendo tomar un pantallazo de esta información pues si la olvida, no podrá acceder a su cuenta. Igualmente no olvide el borrar este archivo cuando ya no lo vaya a usar) Elija un nombre de usuario y una contraseña de mínimo 12 caracteres Reciba el correo de verificación que le informa sobre la activación del sistema Después de que haya ingresado exitosamente al sistema por al menos 10 ocasiones, podrá modificar sus preguntas o su clave. Posibles errores e inconvenientes que presenta el sistema A continuación cito algunos posibles problemas que identifique al realizar el proceso de activación. Igualmente comento sobre varias características que pudiesen resultar molestas: La no posibilidad de elegir qué sistema de control de acceso usar Proceso largo y que puede ser confuso para usuarios inexpertos Las contraseñas no aceptan símbolos (Un grave riesgo, más que todo cuando hablamos de cuentas bancarias y dinero) La plataforma no acepta el copiar y pegar información (Usuarios avanzados prefieren copiar contraseñas de una base de datos encriptada y pegarlas directamente en los campos del formulario web para minimizar el riesgo de que un keylogger robe información sensible) Existen muchas opciones que el usuario debe recordar para lograr tener acceso. PHISHING ¿Qué es el Phishing? Esta modalidad de fraude consiste en utilizar diversos métodos (e-mails, páginas web, chat, etc.) para direccionar a la víctima a una página web falsa y convencerla de que está navegando en la página real del Banco. Se utiliza para obtener información confidencial del usuario y sus cuentas, como los números de su tarjeta de crédito o débito, números de cédula o pasaportes, claves secretas, contraseñas, coordenadas e-Key, direcciones, teléfonos, etc., es decir cualquier información que le sirva al delincuente para realizar el robo o estafa. La página web fraudulenta tiene colores, logos y formatos similares a la del Banco lo cual puede confundir a los clientes y usuarios. ¿De dónde viene? El Phishing es un mecanismo utilizado a nivel mundial por diversos hackers que son casi imposibles de rastrear pues migran de país en país creando las páginas falsas. Los ataques se realizan a diario a varios clientes de bancos de todo el mundo. Mucha de esta información los hackers la obtienen y la venden en el mercado de cada país lo cual hace más difícil rastrear a los delincuentes. ¿Cómo protegernos? El mejor mecanismo de defensa contra estos ataques es la educación. Es conocer cómo funciona el método de fraude para no caer en la trampa de los delincuentes y evitar de esta manera entregar información personal y confidencial. A nivel tecnológico están en desarrollo varios software para minimizar los riesgos de este tipo de fraudes. Hay otras opciones como doble clave, cambio de clave frecuente, notificaciones al celular, etc. sin embargo cuando se llega a entregar toda su información al delincuente las probabilidades de fraude son altas y casi imposibles de evitar. ¿Qué debemos recomendar a los clien tes, familiares y amigos? Nunca deben atender o responder a mensajes recibidos por mail o por chat donde les soliciten información confidencial como son: el número de cédula, la clave de tarjeta Xperta, la clave de Banca Electrónica, las coordenadas de Tarjeta e-Key, y demás información personal y financiera. Esta información es confidencial y debe ser utilizada únicamente en los canales de acceso del Banco. Tampoco proporcione información de manera verbal a parientes, amigos, compañeros de trabajo. No utilizar los enlaces incorporados en e-mails o páginas web de terceros. Estos enlaces o links también pueden contener virus o archivos maliciosos que pueden afectar el funcionamiento del equipo del cliente. Ante cualquier duda de la veracidad de los datos pedidos o autenticidad de las páginas visitadas, deben reportar de inmediato al Banco llamando a Servicio del Pichincha al 02-2-999999. nuestro correo electrónico [email protected] respecto a cualquier novedad o inquietud. Recuerde que Banco Pichincha no solicita en ningún momento el ingreso masivo de la clave electrónica ni las coordenadas de la tarjeta e-Key. El sistema le solicitará una sola coordenada de su tarjeta e-Key por cada transacción que realice. Banco Pichincha nunca solicita copias de la tarjeta e-Key mediante ningún medio, sea correo electrónico, chat o carta. Banco Pichincha NUNCA solicita el ingreso de varias coordenadas e-key por Internet. Solo pide 1 por cada transacción. Jamás entregue sus CLAVES DE ACCESO NI DE E-KEY por PAGINA WEB, correo electrónico, mensajes de celular, Messenger, teléfono u otro. Las claves son secretas. Para garantizar la seguridad de sus transacciones a través de Banca Electrónica le presentamos una serie de recomendaciones que le permitirán operar con la máxima confianza. Antes de ingresar a la página inicial del detalle de sus cuentas (posición consolidada) tenga en cuenta las siguientes recomendaciones: 1. Al ingresar a banca electrónica personas la dirección (URL) que tendrá que aparecer es pichincha.com. e iniciará siempre con https:// tome en cuenta la “S” del sitio de seguridad 2. Al extremo derecho a la dirección existe la imagen de un candado, lo que garantiza la seguridad del sitio a transaccionar. Al dar clic en este tendrá información del certificado de la actualización de la página, tenga en cuenta que la fecha de validez este vigente. 3. Una vez que haya ingresado a banca electrónica personas podrá visualizar si la dirección de la página en la que va a transaccionar es correcta, presionando F11. 4. Luego de ingresar su cédula y clave virtual asegúrese de que la pantalla del detalle de sus cuentas (posición consolidada) posea las siguientes partes: * Dirección Internexo Banco Pichincha * Mensaje de Alerta de Seguridad * Fecha y hora * Nombre Titular de Cuenta VIRUS INFORMÁTICOS Existen bandas organizadas que a través de correos electrónicos y otros medios buscan confundir a los clientes y acceder a sus datos personales. Uno de los mecanismos utilizados recientemente opera a través de la instalación de un VIRUS en el computador del usuario o cliente. Los VIRUS son programas informáticos que se instalan sin conocimiento del usuario en máquinas que no tienen su antivirus actualizado. Se transmiten por medio del correo electrónico, Internet, Messenger o del acceso a links en páginas web no seguras. Este VIRUS hace que el Internet Explorer abra una página fraudulenta, similar a la página real del Banco, donde solicita al cliente el ingreso de varias coordenadas de su tarjeta e-Key. Dicha página web no es de Banco Pichincha, es un sitio web falso que busca engañar al usuario y obtener de esta manera su información confidencial. Para no ser víctima de este mecanismo le solicitamos aplicar las siguientes recomendaciones. 1. Instale en su equipo un antivirus que se ejecute cada vez que arranque su computador. Ejecute un barrido periódico del antivirus en su computador. 2. Actualice su antivirus con las últimas definiciones. 3. Nunca abra archivos sospechosos adjuntos a un correo electrónico o enviados por Messenger. 4. Preste especial atención cuando realice descargas de programas, y en caso de duda no permita esta descarga en aquellos sitios que no son de su plena confianza. 5. Existen diversos archivos que pueden estar infectados con virus, desconfíe de aquellos cuyas extensiones sean de tipo .exe, .com, cmd y .bat. 6. No contribuya a la difusión de virus mediante el reenvío de correos electrónicos con archivos adjuntos infectados. 7. Si sospecha que su equipo está infectado y desea conocer como limpiarlo, haga clic aquí. TARJETA E-KEY Recuerde que nuestro sistema de Banca Electrónica NUNCA le solicita el ingreso de DOS o más coordenadas de su Tarjeta e-Key de una sola vez. Sólo solicita UNA coordenada por cada transacción que realiza. OTRAS RECOMENDACIONES DE SEGURIDAD POR INTERNET: 1. Banco Pichincha NUNCA se contactará con usted (por medio del teléfono, chat o e-mail) para pedir sus claves electrónicas, ni las coordenadas de la Tarjeta e-Key, ni la clave de su tarjeta Xperta. 2. Nunca entregue su Tarjeta e-Key a terceros (familiares, amigos, personal del Banco, policías, etc.). Es personal y debe ser utilizada únicamente por usted. 3. Bajo ninguna circunstancia debe sacar copias de su Tarjeta e-key, escanearla, tomarle fotografías y mucho menos entregar esa información a terceras personas. 4. Reporte inmediatamente la pérdida o robo de su Tarjeta e-Key a nuestro teléfono 02-2 999 999 o en cualquier Balcón de Servicios de nuestras Agencias. 5. Asegúrese de escribir usted mismo la dirección www.pichincha.com o llamar exclusivamente al teléfono oficial de Banco Pichincha 02-2 999 999. 6. Nunca abra vínculos o links a páginas web desconocidas. 7. Recuerde que la dirección de Banca Electrónica comienza con https://..., las páginas fraudulentas siempre empiezan con http://.