Por Brian Orsak
[email protected]
A medida que las instituciones financieras lanzan programas de banca móvil para ampliar sus servicios online, pueden estar generando nuevas oportunidades para ladrones, lavadores de dinero y financistas del terrorismo, dicen abogados especializados en temas de privacidad y consultores en seguridad de la información.
En los últimos dos meses, Citibank, Bank of America y Barclays presentaron programas que permiten a sus clientes realizar operaciones tales como transferencias de saldos y pago de facturas utilizando teléfonos celulares. Los bancos que agregan estos servicios están compitiendo para atender a más de 59 millones de consumidores online, de acuerdo con la firma Javelin Strategy & Research, de Pleasanton, California.
Pero a medida que los servicios de banca móvil proliferan, los delincuentes buscarán cada vez más la forma de explotar los puntos débiles en los aparatos telefónicos y las plataformas asociadas, dice Joseph Rosenbaum, abogado especializado en temas de privacidad de la firma Reed Smith, de Londres.
“Aumentará la cantidad de desafíos tecnológicos sobre cómo asegurar esas transacciones”, dijo Rosenbaum. “Los ladrones siempre tienden a estar un paso adelante de todo el mundo”.
Los aparatos móviles presentan muchos de los mismos riesgos que presentan las computadoras portátiles o laptops, dice Bryan Glancey, oficial jefe de tecnología de Mobile Armor, con sede en St. Louis, estado de Missouri, dedicada a prestar servicios de seguridad para aparatos inalámbricos.
De la misma forma en que las laptops tienen información protegida que puede perderse o ser robada, de la misma forma puede perderse la información almacenada en aparatos como los teléfonos inteligentes y las Palm Pilots, cuya tasa de extravío es del 10 por ciento anual, dice Glancey. Los bancos y otras instituciones financieras están obligados de acuerdo con la Ley Gramm Leach Bililey a proteger la información de identificación personal de los consumidores.
Después de que se diera a conocer información sobre una gran cantidad de casos de perfil alto en los cuales la información fue expuesta a través de aparatos móviles, las instituciones financieras pueden tener más en cuenta las posibles responsabilidades, dijo Glancey. En un caso, un ex empleado de Morgan Stanley vendió su Blackberry en Ebay.com sin darse cuenta que todavía tenía cientos de e-mails e información personal de más de 1.000 individuos, según un informe de la publicación Wired.com.
Hackeo y código malicioso
También existe la posibilidad de aparatos accedan en forma remota a otros aparatos, o que virus similares al Trojan, que parecen ser programas seguros pero instalan códigos malignos en el aparato, se difundan entre los aparatos a través de mensajes o e-mails, dijo. Un delito nuevo es el “bluesnarfing”, un método por el cual puede robarse la información de los aparatos utilizando redes inalámbricas de corto alcance como Bluetooth.
Los servicios que conectan las cuentas de tarjetas de crédito con teléfonos celulares, mediante el cual el teléfono puede ser leído a través de un lector inalámbrico que no requiere contacto directo, son un tema de especial preocupación, dijo.
Visa, MasterCard y American Express, ofrecen tarjetas de crédito “sin contacto” que procesan transacciones utilizando un sistema de frecuencias de radio. En marzo los operadores de teléfonos móviles Nokia, Samsung y LG Electronics firmaron un acuerdo con MasterCard para permitir a los consumidores australianos convertir sus teléfonos móviles en los denominados teléfono billetera, autorizándolos a través de lectores inalámbricos.
Dado que los lectores de tarjetas pueden tomar señales que existan en los alrededores, y así realizar la lectura de tarjetas sin contacto, los ladrones tratarán de acceder de forma encubierta a la información almacenada en las tarjetas, dijo Rosenbaum, agregando que el robo de información personal de los teléfonos móviles será más difícil de rastrear que los robos realizados a través de redes de computadoras. A diferencia del mundo conectado con cables, ese robo no puede ser vinculado con un IP, o protocolo de Internet, dijo.
“Lo que vamos a ver es la inclusión de más transacciones en aparatos más sofisticados”, dijo Rosenbaum, lo que presentará nuevos riesgos que no están “totalmente contemplados”.
Riesgos de lavado de dinero
Los programas que permiten enviar remesas a través de teléfonos celulares, como aquel lanzado el año pasado por Citigroup y Vodafone, también incrementarán los temas de cumplimiento antilavado de dinero para los bancos, según Gregory Baldwin, abogado de la firma Holland & Knight, de Miami.
Dado que los teléfonos celulares, especialmente aquellos que utilizan tarjetas prepagas, tienen pocas verificaciones sobre la identidad del usuario, las remesas móviles pueden brindar una vía a los lavadores de dinero para transferir fondos rápidamente, a bajo costo, y de manera anónima sin los controles de lavado de dinero existentes en las instalaciones de las compañías de servicios de transferencias.
Aunque esos programas posiblemente no convoquen a los lavadores de dinero en gran escala, porque la mayoría seguirá prefiriendo utilizar los servicios de remesa subterráneos, la cantidad de transacciones móviles aumentará la carga de cumplimiento.
“¿Dificultará esto el CSC? ¿Dificultará el monitoreo? Creo que sí, porque no se sabe quién está utilizando el sistema”, dijo Baldwin.
Aunque todavía pocos han adoptado las remesas móviles, los lavadores de dinero y las organizaciones terroristas posiblemente cada vez más explotarán lo que ellos ven como un “hueco” en la diligencia debida requerida a las instituciones financieras, dijo John Wood, oficial ejecutivo jefe de Playfair Group, una compañía que ofrece soluciones de cumplimiento ALD/LSB.
“Si quisieran, podrían conducir un camión directo hacia ello”, dijo Wood. “Si no tapan el hueco, esto aumentará y será más difícil de parar”.
Las instituciones financieras también tendrán que competir por los usuarios más jóvenes, algunos de los cuales son menores de edad, que tienen un mayor acceso a los servicios financieros disponibles en los teléfonos celulares, dijo Rosenbaum.
Los adolescentes que tienen acceso a la banca móvil posiblemente serán menos responsables con la información financiera que los adultos, y por lo tanto serán más vulnerables frente al fraude y al robo de identidad, dijo.
“No es una amenaza seria”
Pero Rachel Kin, asociada de investigación de Javelin Research, dice que no existen amenazas serias a la seguridad de la banca móvil. Kim dice que se han identificado alrededor de 400 virus dirigidos a los aparatos móviles, comparados con los 240.000 dirigidos a las computadoras personales.
Dado que muchos aparatos móviles actualmente en uso son relativamente simples, y funcionan a través de varias plataformas competidoras en lugar de utilizar una sola, la red universal, como Internet, “la banca móvil actualmente es más segura que la banca online”, dijo Kim.
Para brindar servicios de banca móvil, las instituciones financieras se asocian con varios operadores de servicios móviles que ofrecen servicios que operan con protocolos diferentes, a menudo incompatibles. El programa del Bank of America ofrece servicios que utilizan el programa de aplicación inalámbrico, denominado WAP. El programa del Citibank está disponible sólo para los clientes de Verizon, AT&T y Sprint mientras que lo ofrecido por Wachovia estará disponible para los teléfonos inteligentes que utilizan el sistema operativo de Microsoft Windows.
Es más, los programas de banca móvil de los bancos ya incluyen suficientes medidas de seguridad, como la capacidad de cambiar información a un teléfono remoto, dijo.
Citibank, que lanzó su programa el 2 de abril, protege la información mediante la encriptación y una función de desactivación que puede ser activada si el aparato es robado, pero no permite la eliminación o borrado de la información de manera remota, de acuerdo con un vocero del banco.
De hecho, el mayor problema para la industria bancaria al lanzar los programas móviles es asegurar a los consumidores que su información estará segura, dijo Kim.
De acuerdo con un informe de Javelin Research publicado en abril, el 16 por ciento de los 2.230 consumidores encuestados dijo que deseaban utilizar los servicios bancarios móviles al menos una vez. El 69 por ciento de los consumidores estaría preocupado por la seguridad en el supuesto de extravío o robo del teléfono, según el informe de Javelin Strategy & Research.
Bruce Scheneier, cofundador de BT Counterpane, una compañía dedicada a la seguridad de la información con sede en Mountain View, California, dice que los bancos no toman en cuenta seriamente a la seguridad de la información porque no hay un incentivo financiero para hacerlo. A medida que los bancos y otras instituciones financieras obtengan más ganancias permitiendo que se realicen transacciones de forma conveniente en lugar de forma segura, existen menos posibilidades de que mejoren las medidas de seguridad, dijo Schneier, autor del libro “Beyond Fear: Thinking Sensibly about Security in an Uncertain World.
“A los bancos no les importa porque no son realmente responsables”, dijo Schneier, agregando que no se resolverán los problemas de seguridad hasta que los legisladores no presionen a las instituciones financieras. “Las compañías no son organizaciones caritativas públicas, por lo que si no tienen una solución económica, nunca tendrán una solución”.
Si bien la banca móvil presentará nuevos matices al desafío de la protección de la identidad de los consumidores, el nivel de seguridad será similar al experimentado actualmente en la banca online – pobre – dijo Schneier.
