El año que está a punto de terminar ha visto un crecimiento exponencial de los fraudes electrónicos relacionados con los servicios bancarios por internet. Miles de millones de colones han sido saqueados de cuentas de muchos clientes y en la gran mayoría de los casos, los reclamos de los afectados han caído en los oídos sordos de los bancos. Estos alegan la imposibilidad de diferenciar si quien accede a las cuentas es su dueño o un impostor que, de alguna manera, se apropió de las claves de acceso.
Está claro que la mayoría de los usuarios no son expertos en seguridad informática, por el contrario, la mayoría deben ser inexpertos en el tema y, por lo tanto, fáciles víctimas potenciales de los pillos electrónicos. En ese contexto, las medidas de la mayoría de los bancos se han limitado a campañas de información a los usuarios sobre los riesgos y la forma de minimizarlos. Estas medidas, aunque necesarias, son totalmente insuficientes para proteger el patrimonio de los clientes.
Ahora no es suficiente con cumplir a rajatabla la recomendación de los bancos de no informar a nadie sobre nuestras palabras claves de acceso, ni de utilizar páginas falsas que piden que actualicemos la información de nuestras cuentas. Los ciberdelincuentes van un paso adelante y ahora son capaces de colocar “keyloggers” en nuestras computadoras y así obtener la información necesaria para robarnos, sin que los usuarios nos percatemos de ello. En mi caso mantengo un programa antivirus, otro anti espías, una pared de fuego y un “Anti Rootkit”, además de activar la opción anti-pishing de mi navegador, pero a pesar de ello, no me siento totalmente seguro.
Lo que los clientes necesitamos son opciones que realmente nos protejan, incluso de nuestra propia ignorancia sobre las medidas de protección que se deben mantener. En este aspecto la mayoría de los bancos son pasivos y no ofrecen opciones de protección más allá de la simple clave de acceso. Pareciera que como ellos no asumen los costos de los delitos electrónicos, no les interesa desarrollar medidas adicionales de seguridad para sus clientes. No son proactivos en los temas de seguridad, por el contrario, esperan a que se produzcan los desastres para reaccionar.
Hay dos notables excepciones que demuestran la posibilidad de protección adicional, incluso contra clientes descuidados. Uno es el BAC Token del BAC San José, un adminículo que pone una medida de seguridad adicional, una clave de seis dígitos que se genera de forma aleatoria cada 60 segundos, por lo que ni el propio usuario conoce, con anticipación, la totalidad de la información necesaria para acceder a su cuenta. Por otra parte, para ser vulnerable, este sistema requeriría que el delincuente tuviera acceso físico al artilugio que el Banco le suministra al cliente o, en su defecto, a las bases de datos del propio Banco. El sistema tiene un pequeño costo mensual para el cliente.
El otro ejemplo es el que implementó el Banco de Costa Rica con el nombre de “Clave Dinámica”, que permite vincular la cuenta a una tarjeta con cincuenta números de dos dígitos, de los cuales se deben ingresar tres que corresponden al mismo número de pares de coordenadas generadas al azar. El número de combinaciones, si no infinito, es extremadamente grande. De nuevo, con este sistema, el cliente tampoco conoce anticipadamente toda la información necesaria para completar sus transacciones, lo que lo protege, aún de sí mismo. El sistema es gratuito.
Estos dos ejemplos demuestran que las instituciones bancarias pueden ser proactivas en la adopción de medidas de seguridad y protección de las cuentas de sus clientes, ofreciéndoles opciones más rigurosas, a costo nulo o reducido para el usuario. Sin embargo, hasta ahora, los Bancos que las ofrecen siguen siendo una pequeña minoría.