PassMark en la banca por Internet de Santander

Recientemente Santander comenzó a liberar una actualización en su banca por Internet llamada Supernet. La actualización se enfoca específicamente en el modelo de seguridad que utiliza para proporcionar acceso a los usuarios a su cuenta. De qué trata este nuevo modelo de seguridad? Originalmente con las credenciales fortalecidas que nos solicitan ahora los bancos para acceder a nuestras cuentas + los tokens que nos proporcionan para teclear el número que nos arroja + algún número de cuenta, número de cliente, num de tarjeta, etc etc etc, lo que los bancos quieren lograr es garantizar que el usuario correcto, en este caso nosotros, estamos accediendo a nuestra cuenta y no que cualquier otra persona, un hacker por ejemplo, pueda acceder a nuestra cuenta, es decir, esos mecanismos garantizan hasta cierto punto que el cliente o usuario es quien dice ser. Pero, quien nos garantiza a nosotros que la aplicación es a la que realmente queremos acceder ? No por el hecho de que en nuestra barra de direcciones aparezca el dominio completo y correcto de la aplicación implica que es la aplicación real del banco. Existen ataques como el pharming o algunos tipos de Man In the Middle que podrían falsificar la aplicación y enviarla al usuario aparentando ser la aplicación real cuando realmente es otra preparada específicamente para obtener nuestros datos confidenciales. Bueno, esa actualización de seguridad que se liberó es precisamente para garantizar, hasta cierto punto, eso.

Este método de seguridad surgió hace ya varios años e irónicamente se supuso que no iba a dar los resultados esperados ya que tiende a ser muy sencillo (sin tanta criptografía o mecanismos complejos de por medio). Se le llamó PassMark y poco a poco las instituciones bancarias lo fueron adoptando hasta ahora llegar a México.

La actualización que está liberando Santander está bajo una campaña que, para no dar tanta información o dar tantas explicaciones, te invita a personalizar tu cuenta.
Supernet

Esta personalización te permitirá seleccionar una imagen de una base de datos de imágenes la próxima vez que inicies cuenta en Santander así como definir una frase de bienvenida y respuesta a una pregunta clave.

¿ Cómo funciona ?
Los datos anteriores sólo se definen una vez, la siguiente vez que accedas a tu cuenta. Una vez definidos esos datos serán almacenados y asociados directamente al código de cliente que es único para el banco y es el primer dato que el banco te solicita para ingresar a supernet.
La siguiente vez que desees acceder a la cuenta debes ingresar tu número de cliente con el cual se buscarán los datos que previamente guardaste (imagen y frase de bienvenida para ingresar). La aplicación te presentará esos datos los cuales debes identificar como los datos que tú previamente definiste. Si esos datos no coinciden, es decir, si la aplicación te muestra otra imagen que no es la que seleccionaste o algún otro mensaje de bienvenida que no es el que definiste deberas abandonar inmediatamente la aplicación. Al no identificarlos como tus datos lo más probable es que estes accediendo a una aplicación falsificada (sí, aunque la barra de direcciones indique la URL correcta y completa).
PassMark_supernet

Los datos mostrados en la imagen no son reales obviamente


Una vez que identificaste los datos puedes continuar con tu procedimiento para ingresar de forma normal.

Como ven es un método sencillo pero incrementa considerablemente la seguridad para el usuario siempre y cuando el usuario siga las indicaciones, es decir, verifique que los datos que se muestran son los que él previamente definió.

Para romper esa seguridad un atacante tendría que acceder hasta la base de datos para poder extraer los datos asociados con cierto usuario. Y como esos ataques usualmente se enfocan a grandes cantidades de usuarios se vuelve en extremo complejo obtener los datos asociados con cada usuario objetivo.

Existen otros métodos para corromper ese mecanismo de seguridad pero implica poder acceder de alguna forma más “intrusiva” a los equipos de los usuarios.

  1. Esto ya lo viene haciendo Scotiabank desde finales del año pasado o inicios de este año.

  2. Alberto Gonzalez

    Ey! En efecto. Varios bancos lo han adoptado. Aún así, faltan los principales.

Leave a Comment


7 − six =


NOTE - You can use these HTML tags and attributes:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>