Es hora de que los bancos reconsideren cómo protegen la información de los clientes


Jack Wallen cree que los bancos y las compañías de tarjetas de crédito deben comenzar a considerar strategies radicales para aumentar su seguridad. De hecho, llega a compartir tal idea.

Seguridad de la banca electrónica y delitos en Internet

Imagen: Getty Illustrations or photos / iStockphoto

¿Cuántas veces le han robado la información de su cuenta bancaria o el número de su tarjeta de crédito, solo para que sus cuentas se agoten? Cuando eso sucede (después de que el pánico finalmente desaparece), no solo tiene que trabajar con el banco para recuperar sus fondos, sino también pasar por todos los obstáculos cuando los servicios suscritos comienzan a enviarle alertas de que su pago no se realizó.

No es solo la posible pérdida de dinero, es un inconveniente.

Le puede pasar a cualquiera: a mí, a mis amigos, a mis familiares, a ti, a tus amigos, a tus familiares. Nadie está a salvo de tal pérdida.

Recientemente mantuve conversaciones con empleados bancarios y de tarjetas de crédito, todos los cuales pidieron permanecer en el anonimato, por temor a las repercusiones de los empleadores, y me abrieron los ojos sobre cómo funcionan estas entidades.

En resumen, los bancos y las compañías de tarjetas de crédito realmente no se preocupan por poner demasiado esfuerzo en asegurar las cuentas de los clientes.

Eso es una locura, ¿verdad?

VER: Política de protección contra robo de identidad (TechRepublic Quality)

La cuestión es que los bancos y las empresas de tarjetas de crédito saben que tienen una purple de seguridad para evitar que se caigan al suelo. Esa red de seguridad es un seguro contra el fraude. Cuando se piratea la cuenta de un cliente de un banco o le roban el número de tarjeta, la institución está bastante segura de que recuperará su dinero, es decir, el del cliente.

Pero espera, las revelaciones son aún más profundas.

Estas mismas instituciones también admiten (no al público) que los piratas informáticos simplemente tienen más recursos que ellos. Los bancos y las compañías de tarjetas de crédito entienden que es solo cuestión de tiempo antes de que se vulnere la cuenta de un cliente estas instituciones se ocupan de esto a diario. Estas empresas también comprenden la inutilidad de invertir demasiada inversión en evitar que los piratas informáticos hagan lo suyo. Después de todo, en el momento en que un banco invierte millones para proteger esas cuentas de los que no lo hacen, los que no lo hacen descubrirán cómo sortear los nuevos métodos y protocolos de seguridad. Desde el punto de vista del banco, eso es dinero desperdiciado.

Es ese punto de vista casi nihilista el que causa una frustración sin fin a los clientes, pero no tiene por qué ser así.

Una posible solucion

El otro día, un amigo y yo estábamos teniendo una conversación sobre esto mismo. De esa conversación surgió una concept, una que creo que tiene mérito. Mencioné la autenticación de dos factores (2FA), que mi amigo comenzó a usar después de que le di la conferencia de seguridad estándar hace un par de años.

Cuando mencioné que la única forma realmente buena de 2FA era la que requería el uso de una herramienta de autenticación, como Authy o Google Authenticator, y que SMS 2FA no era realmente un buen medio para asegurar una cuenta, se me ocurrió una plan. .

Piense en esto: con las cuentas habilitadas para 2FA, debe tener un PIN aleatorio de seis dígitos para autenticar su cuenta. Funciona bien y agrega otra capa de seguridad a su cuenta.

Esa fue la idea detrás del código CVV con tarjetas de crédito, solo que ese número no es aleatorio. De hecho, el número CVV es permanente y, en muchos casos, le lee ese código a los proveedores. Por ejemplo, digamos que llama a un restaurante y pide comida. Quieres pagar por teléfono y tienes que dar la siguiente información:

  • Número de tarjeta

  • Fecha de vencimiento de la tarjeta

  • Codigo CVV

¿Adivina qué? La persona a la que le acaba de dar esa información ahora tiene toda la información que necesita para usar su tarjeta.

Ahora, visualize que el código CVV fue reemplazado por 2FA. Debería utilizar la aplicación asociada con la institución crediticia de la tarjeta o su banco, que incluiría una herramienta 2FA para generar un código CVV aleatorio para la tarjeta. El código CVV sería válido de dos a cinco minutos, el tiempo suficiente para que se complete la transacción. Tan pronto como se realiza la compra, el código deja de ser válido.

Esa es la versión más simple de mi solución.

Hagámoslo aún más desafiante.

Uno de los mayores problemas que enfrentan los consumidores modernos es el robo de un número de tarjeta de crédito. Una vez que eso sucede, debe obtener una nueva tarjeta y comenzar de nuevo, todo mientras espera la próxima instancia de robo.

Sin embargo, imagina que el número asociado a tu cuenta también es aleatorio. Cada vez que realiza una compra, inserta la tarjeta en el lector del minorista. Esa tarjeta se comunicaría con su banco, a través del chip de la tarjeta, y se le asignaría un número aleatorio para esa transacción.

Ahora, supongamos que realiza una compra en línea o por teléfono. Para eso, se le pedirá que use la aplicación bancaria asociada con la tarjeta. Esa aplicación bancaria luego le asignaría una cadena aleatoria de caracteres (porque tendríamos que usar tanto números como alfanuméricos, para evitar quedarnos sin números aleatorios) que se usarán para la transacción. Una vez que se utilizó ese número aleatorio, dejó de ser válido. Efectivamente, no habría ningún número codificado asignado a su tarjeta de crédito o tarjeta bancaria.

Por supuesto, este método causa problemas. Por ejemplo, ¿qué hace con los servicios de suscripción, como Netflix? Para eso, la infraestructura tendría que crearse de manera que los servicios de suscripción usen ese número aleatorio único para conectar el servicio a la cuenta del cliente. Después de eso, el token guardado en la cuenta se usaría para generar un número aleatorio para el pago mensual. Ese token estaría asociado con ese servicio y solo sería válido para su uso.

Me doy cuenta de que este tipo de solución requeriría un cambio masivo en la infraestructura que los bancos y las compañías de tarjetas de crédito utilizan actualmente, pero dado lo desenfrenado que es el robo en estas industrias, creo que se justifica un cambio tan radical. Incluso si mis strategies no son factibles para estas instituciones, espero que al menos puedan hacer que esas empresas piensen en la dirección correcta: proteger a los consumidores.

Es hora de que los bancos y los prestamistas dejen de apoyarse en los seguros contra el fraude como medio de seguridad. Con el talento de desarrolladores y seguridad que se encuentra en esas industrias, no hay absolutamente ninguna razón por la que no puedan implementar una infraestructura que cambie el juego que finalmente les brinde a los consumidores un descanso muy necesario de tener que preocuparse siempre de que sus cuentas sean pirateadas y -Dinero ganado robado.

Vamos bancos y tarjetas de crédito, hazlo mejor.

Suscríbase a Cómo hacer que la tecnología funcione en YouTube de TechRepublic para obtener los últimos consejos tecnológicos para profesionales de negocios de Jack Wallen.

Ver también



Enlace a la noticia original