Protección de la identidad, prioridad de comité de investigaciones sobre servicios financieros
26 June, 2013
category: Seguridad lógica
El Consejo Coordinador del Sector de Servicios Financieros, un grupo industrial que trabaja para proteger a las compañías de servicios financieros frente a ataques informáticos, ha convertido la protección a la identidad en la primera prioridad de su más reciente agenda de investigaciones.
El consejo está considerando dos aspectos de la protección de la identidad: la investigación de la identidad durante la inscripción, y la autenticación cuando posteriormente se accede a los servicios, explica Bob Blakley, director de innovación de seguridad en Citi y co-presidente del comité de investigación y desarrollo del Consejo.
“Tenemos una serie de problemas con los procesos y la documentación para establecer la identidad”, observa Blakley, “muchas identidades se establecen en línea y eso limita la habilidad para examinar información de identidad de fuentes autorizadas, como son los certificados de nacimiento y otros documentos”.
Si esto se conjuga con el hecho de que algunos registros autorizados son vulnerables al robo y al fraude, puede resultar difícil asegurarse de que un individuo es quien dice ser.
El consejo ha estado trabajando en una prueba piloto con el Departamento de Seguridad Interna de EEUU con vistas a mejorar el proceso de investigación de identidad durante la creación de cuentas, señala Dan Schutzer, co-presidente del comité de investigación y desarrollo del consejo y director tecnológico de BITS, la división de política sobre tecnología de la Mesa Redonda de Servicios Financieros. Los ensayos incluyen la coordinación con los emisores estatales de licencias de conducir, con el propósito de asegurarse que la información proporcionada coincida con la que está registrada.
En lo referido a autenticación, hay una serie de temas que están siendo sometidos a revisión, apunta Blakley. Los problemas relativos a nombres de usuario y contraseñas están bien documentados y las preguntas basadas en conocimiento – por ejemplo, preguntar cuál es la película favorita – pueden descubrirse e inferirse en base al medio social. Son más efectivas las contraseñas de un solo uso y los mensajes de texto, pero también pueden burlarse mediante las modalidades de ataques informáticos con suplantación de identidad (man in the middle) y mediante ciertos tipos de troyanos (man in the browser).
“Lo que estamos pidiendo es que se preste atención a la forma en que se establece la identidad cuando el usuario se inscribe, para lograr un alto grado de seguridad, y cómo se autentifica la identidad cuando inicia la sesión, sin que esas medidas sean traumáticas para el usuario”, añade Blakley.
El consejo tiene planes de colaborar con la comunidad de investigación para encontrar casos de uso que sean prometedores, explica Schutzer. Si una tecnología resulta particularmente promisoria, el consejo ayudará a realizar las pruebas piloto.
“Cualquiera de estas investigaciones, así como la investigación específicamente referida a la identidad, tiene como objetivo fortalecer nuestra capacidad para proteger a los clientes”, expone Blakley, “La idea general es autentificar al individuo de un modo que sea solamente él quien decida qué hacer con su dinero”, precisa Blakley.
Además de la protección a la identidad, el consejo también aborda los siguientes temas:
- Análisis de seguridad e inteligencia;
- Protocolos de las transacciones;
- Gestión de riesgos;
- Comportamiento humano;
- Medidas proactivas;
- Aseguramiento de la tecnología de software;
- Ensayo de aplicaciones financieras;
- Entrenamiento; y
- Arquitectura de ecosistema de Internet.