Análisis de la seguridad en los sistemas de banca electrónicos y propuesta de soluciones

Resumen

La actual explosión de servicios de banca por Internet que se viene produciendo a lo largo de los últimos años se ha topado desde el principio con el problema de la seguridad. Todos los sistemas de autentificación usados actualmente en banca electrónica están básicamente diseñados para trabajar con seguridad extremo a extremo, situación que no se da en la mayoría de los casos debido a la vulnerabilidad de los ordenadores de los clientes. El sistema más empleado (y el más fácil de atacar) es el uso de claves de acceso estáticas (passwords). Sin embargo, existen otros sistemas como los basados en el uso de claves dinámicas que cambian de una operación a otra (One-Time-Passwords), los sistemas de firma electrónica y los mecanismos de autentificación mediante desafío y respuesta, pero estos sistemas son también vulnerables frente a ataques llevados a cabo en el propio ordenador. Con el fin de demostrar la inseguridad existente en los ordenadores de los usuarios de estos servicios, se han desarrollado y probado varios ataques mediante caballos de Troya que permiten al atacante acceder a las cuentas de las víctimas haciéndose pasar por éstas. Una vez demostrada la existencia de problemas de seguridad en los sistemas actuales de autentificación en el lado del cliente se propone como solución el uso, por parte de los clientes, de un dispositivo hardware para la generación de la firma electrónica de los datos de entrada tal que permite al usuario visualizar los datos antes de proceder a su firma. Este dispositivo dispone de un teclado y un display además de un microprocesador encargado del control de los distintos elementos así como de la generación de la firma electrónica. La recepción los datos a firmar se realiza a través del monitor del ordenador, dejando en manos del usuario el paso de la firma al ordenador. Esto significa que no es necesario hacer uso de hardware adicional, facilitando su uso y permitiendo la