Banca en línea, abierta o móvil: cómo lograr un manejo seguro de tu dinero

Siguiente
James Shepperd

La tecnología financiera ha existido entre los consumidores desde 1918, cuando la Reserva Federal de los Estados Unidos implementó la Red de Cables de la Reserva Federal que consistía, esencialmente, en enviar dinero virtual vía telegrama. Setenta y siete años después, la primera cuenta de banco digital, ofrecida por el banco Wells Fargo en los Estados Unidos, se hacía realidad en 1995.

Ese empujón hacia la banca digital o virtual fue una clara señal de que la digitalización había alcanzado a las finanzas personales al crear una plataforma de autoservicio. Desde ahí, el comercio digital y la banca virtual empezaron a crecer exponencialmente. En 1998, por ejemplo, vimos nacer un servicio innovador que hoy en día utilizamos a diario: las transferencias bancarias. Estas fueron lanzadas por Confinity, hoy conocido como PayPal.

En paralelo (y desafortunadamente muy capaces de seguir el ritmo de estas innovaciones) las ciber amenazas avanzaron también. Mientras las bancas agregaban nuevos protocolos de seguridad, las tácticas, técnicas y procedimientos utilizados para atacar instituciones financieras y transacciones digitales maduraron a la vez. Un caso concreto: en 1994, Vladimir Levin hackeó exitosamente a Citibank lo que le dio acceso a USD 10 millones de cuentas corporativas que estaban conectadas a internet.

Mientras que el trabajo de Levin, ejecutado un año después del lanzamiento del online banking, terminó en fracaso, el legado de aquellos que fueron exitosos en sus ataques todavía nos acecha. A pesar de los avances tecnológicos, hacer que las finanzas sean seguras es un trabajo difícil; el fracaso es certero. Casi 25 años después, tanto la seguridad financiera como la cibernética están constantemente ocupadas tratando de luchar contra las amenazas tamaño iceberg con problemas de seguridad que se ven chicos en la superficie pero esconden graves problemas en el fondo.

Online, abiertos y más opciones con las que puedes contar

Para permitir la conveniencia necesaria, la banca online requería que los desarrolladores de aplicaciones de los bancos tuvieran mejores métodos de acceso seguro, transmisión y almacenamiento de datos. En gran parte eso es lo que tenemos hoy: un sistema maduro con múltiples salvaguardas. Sin embargo, en la actualidad, la escala y la complejidad de la superficie de amenazas en torno a las finanzas digitales y la tecnología financiera eclipsan la banca en línea tradicional, aunque sea moderna.

Dado que los bancos de todo el mundo ofrecen online banking como estándar, se ha prestado una atención considerable a proporcionar un acceso seguro para los usuarios. Generalmente, se requiere un nombre de usuario y contraseña y, con suerte, algún tipo de autenticación multifactorial. Los enfoques populares generalmente involucran protección con contraseña, un dispositivo de autenticación de hardware, autenticación basada en SMS o autenticación en la aplicación.

ESET ha ayudado a la protección del consumidor con productos como ESET Smart Security Premium, proveyendo la función de doble autentificación y un explorador seguro donde las credenciales del consumidor y sus sesiones bancarias son protegidas. Además, tecnología anti-pshishing y la posibilidad de encriptar el disco complete también contribuye a elevar el esfuerzo y costo de los ciberciminales que buscan ir tras las credenciales bancarias y otros datos valiosos personales y financieros.

Amenazas a la banca virtual

Ya sea nativo al portal web de tu banco o parte de tu producto de seguridad elegido, las tecnologías mencionadas previamente reflejan el hecho de que para los atacantes los datos de transacciones en línea son altamente valiosos. Dentro de la banca en línea, el robo directo del efectivo de los clientes generalmente comienza con un correo electrónico de phishing que los engaña para que hagan clic en un enlace malicioso o descarguen en sus dispositivos lo que parece un archivo adjunto inofensivo. En América Latina se puede encontrar un semillero de estos troyanos bancarios. Los archivos adjuntos maliciosos a menudo arrojan troyanos que intentan acceder y vaciar las cuentas bancarias de las víctimas.

El robo de datos es cada vez más común, habilitando a los maliciosos atacantes a estudiar la conducta del usuario, sus hábitos financieros, línea de tiempo de transacción, balances y deudas. Toda esa información es oro para cualquier persona (ya sean publicistas inescrupulosos y marketineros o criminales directamente apuntando a los usuarios). Los datos permiten a los ladrones adoptar un enfoque personalizado, apuntando a grandes sumas de dinero y manteniendo el sigilo. Si bien el público en general debe tener cuidado, los empresarios y emprendedores, a menudo atacados por ataques de compromiso de correo electrónico empresarial, deben ser muy cautelosos.

Con respecto a la banca en línea, especialmente móvil o solo en línea, debe confirmar que cualquier proveedor que esté considerando esté asegurado. En los EE. UU., Eso correspondería a la Corporación Federal de Seguro de Depósitos (FDIC), y en Europa, al Esquema Europeo de Seguro de Depósitos (EDIS).

Banca móvil, malware para Android y troyanos

Dado que los bancos tradicionales se volvieron móviles (a través de Apple y Android) alrededor de 2010, los desarrolladores de aplicaciones ajenos a ellos siguieron su ejemplo, buscando brindar muchas de las mismas comodidades para los usuarios. Millones de usuarios han adoptado un enfoque de "ya que parece útil, yo también lo intentaré" para descargar aplicaciones de tecnología financiera. De cerca, los cibercriminales han seguido el rastro del dinero y los datos personales en el pasado poblando incluso tiendas de aplicaciones bien administradas como Google Play con aplicaciones maliciosas dirigidas a las credenciales bancarias de los usuarios.

En el 2019, Google creó la Google App Defense Alliance, una alianza para dar más seguridad a la tienda de Google Play. Hoy en día se han esfumado las aplicaciones maliciosas disfrazadas de horóscopos y linternas. Los encuentros recientes con las apps bancarias son más complejos, troyanos con propósitos más profundos o falsas aplicaciones apuntando a tus datos bancarios, billeteras de criptomonedas y credenciales necesarias para tomar tu dispositivo, robar tus contraseñas y doble autentificación o secuestrarlos para ransomware.

¿La mejor defensa? Utilizar una app de seguridad informática como ESET Mobile Security con la función de Protección de Pagos integrada. Solo utilizar tiendas de apps seguras y tomar tiempo para evaluar la necesidad y riesgo de agregar nuevas aplicaciones a tu dispositivo.

 

Banca abierta + Fintech: ¿Quiénes son bienvenidos a la fiesta?

Muchos usuarios se quejan de que las aplicaciones tradicionales de online banking son lentas e inconvenientes. Al abordar esta brecha, los desarrolladores de aplicaciones de terceros han agregado una serie de soluciones a través de interfaces de programación de aplicaciones (API) que permiten que las aplicaciones ajenas a los bancos se comuniquen con la infraestructura financiera existente. Estos han sacudido el status quo, introduciendo posibilidades más allá de la gestión de cuentas corrientes, abriendo camino en transacciones digitales, seguros y comercio de criptomonedas y acciones.

Con estos desarrollos se han producido cambios significativos en la regulación y la necesidad de seguridad. Esto ha llegado a través de la Directiva de Servicios de Pago (PSD2) de la Comisión Europea (CE), que impulsó a los bancos de la UE y otras instituciones financieras hacia una mayor competencia e innovación. Introducida en 2015, PSD2 vio a la CE estableciendo formas seguras de brindar acceso a su información financiera a proveedores de servicios financieros externos a través de API, lo que esencialmente les permite acceso directo y legal a los sistemas bancarios tradicionales y los datos de los clientes.

La seguridad en torno al enfoque de banca abierta se vuelve más evidente cuando se compara con la regulación en los Estados Unidos, que no cuenta con esfuerzos similares. Las preocupaciones a ambos lados del Atlántico giran en torno a dónde trazar la línea entre accesibilidad, conveniencia y seguridad. En Europa, aplicaciones como "George" de Erste Group permiten a terceros ofrecer servicios y tarifas competitivas, creadas a partir de datos agregados del consumidor más el titular de la cuenta, directamente en los paneles de control de los clientes. Visto a través de George, se aborda al menos uno de los objetivos de PSD2 (empoderamiento de los titulares de cuentas).

La forma en que estos riesgos técnicos se reflejan en los cambios en el comportamiento de los usuarios legítimos, a través de un acceso mayor y rápido a los datos y las actualizaciones, es otra gran pregunta sobre cómo esto puede instigar decisiones de usuario más riesgosas. Al observar las tendencias recientes en torno a las criptomonedas y el comercio electrónico, parece claro que tener más datos impulsa el interés del consumidor y la actividad de las transacciones. Y, dado que ambos tipos de actividades parecen conllevar más riesgos cibernéticos y financieros que la banca diaria, también puede ser útil que los titulares de cuentas sean un poco conservadores al revisar las ofertas habilitadas por las iniciativas de banca abierta.

Solo el tiempo dirá si Europa alcanza un estándar más alto de seguridad más rápidamente al adoptar un enfoque frontal hacia este nuevo y valiente mundo de tecnología financiera. Sin embargo, lo que queda inmediatamente claro es que hoy en día, la educación financiera requiere conocimientos de ciberseguridad.

Fintech: una democracia de riesgos

Más allá de dónde o cuándo podamos estar utilizando servicios de banking, el COVID-19 ha acelerado el consumo, e inclusive el comercio y adopción de aplicaciones desarrolladas por terceros, aplicaciones con el poder real de tanto ayudar como atacar a los usuarios.

En un fuerte paralelismo con los esfuerzos legislados de la banca abierta, son numerosas otras rutas para fomentar la interoperabilidad entre los proveedores de aplicaciones de terceros y los entornos de tecnología informática de otras instituciones financieras establecidas. En términos generales, podemos llamar a esto la democratización de las finanzas, que a pesar de no tener pautas como PSD2, sigue siendo una fuerza en los EE. UU., donde las aplicaciones centradas en las finanzas personales y la inversión están de moda.

Esta serie Fintech ha analizado varias aplicaciones de terceros que atienden el interés de los usuarios en la elaboración de presupuestos, el comercio de criptomonedas, las billeteras digitales y el comercio electrónico con más profundidad. Pero claramente, las mejores prácticas de seguridad y el sentido común dictan que la democratización que arrasa las finanzas no se trata solo de elegir aplicaciones; se trata de configurar su mentalidad de seguridad y de ser ingenioso cuando se le presenten datos en rápida sucesión. Después de todo, la novedad de ingresar a estos entornos puede llevar a decisiones menos consideradas. Eso presenta claros riesgos.

¿La tecnología impulsa a los titulares de cuentas a "jugar" con su dinero, a asumir riesgos digitales que no habrían asumido si hubieran hecho las cosas a la antigua? Una vez más, si bien muchos de estos consejos pueden ser de naturaleza más financiera, comunica que, hoy en día, la educación financiera requiere conocimientos de ciberseguridad.

Más información sobre Fintech:

Los peligros de las billeteras de criptomonedas y cómo evitarlos-Parte 1

Los peligros de las billeteras de criptomonedas y cómo evitarlos-Parte 2

FinTech: los riesgos de digitalizar tus finanzas en la era COVIDiana

Comercio electrónico: guía para el principiante ciberseguro

Fintech: ¿Sabes dónde están tus datos?