Llegamos a ustedes gracias a:



Conversando con...

Bryan Rozo y Pedro Lara de Gemalto Latinoamérica

'Lo que hacemos': Factor de seguridad propuesto

[06/08/2012] Hace unos días estuvo de paso por Lima Bryan Rozo, gerente de Soluciones de E-Banking para la Región Andina de Gemalto. Con él mantuvimos una interesante conversación sobre la forma en que los bancos afrontan la seguridad en sus transacciones en línea. Junto a él, Pedro Lara, solutions sales manager e-banking para Gemalto Latinoamérica, explicó lo que actualmente se usa en el mercado, pero también lo que se podría usar.
Bryan Rozo, gerente de Soluciones de E-Banking para la Región Andina de Gemalto; y Pedro Lara, solutions sales manager e-banking para Gemalto Latinoamérica.
Además de la consabida contraseña existen otros factores de seguridad que se pueden usar en el entorno bancario en línea. Uno de los factores que se pueden utilizar -y que de hecho es la novedad de Gemalto- es lo que hacemos. Este factor de seguridad se resume en un nuevo dispositivo que la firma de seguridad ofrece como una forma adicional de evitar los fraudes.
¿Cuál es la evolución del software de seguridad bancario en la región?
Rozo: Hoy día sabemos que la mayoría de los países de la región incursionaron en un primer nivel de transacciones en línea, es decir, la banca electrónica a través de la PC. Pero hoy sabemos que las tendencias que hay en el mercado están apuntando hacia canales más móviles, que puedan tener mayor accesibilidad y mayor rapidez a los clientes de los bancos, además de una gama diversa de servicios.
Definitivamente, para los bancos es atractivo poder primero focalizar los canales con mayor potencialidad a través de los cuales puedan ganar más mercado y, segundo, que esos canales sean lo suficientemente seguros y confiables para los clientes.
Nosotros, a través de la Ezio Suite, ofrecemos una propuesta orientada a proporcionar a nuestros clientes, los bancos, la plataforma necesaria y suficiente para ofrecer esos canales diferentes a sus clientes de manera segura.
El concepto se desarrolla a través de una plataforma de autenticación multicanal, un Authentication Center, con el cual los bancos se hacen de una infraestructura de seguridad que los lleva del nivel básico que han tenido hasta hoy -banca en línea por Internet- hacia lo que sería un modelo más estandarizado que les permita tener flexibilidad, continuidad de negocios con diferentes dispositivos, diferentes formas de autenticación y diferentes niveles de autenticación y seguridad, dependiendo de los diferentes niveles de riesgo que haya en cada una de las diferentes transacciones que puedan ofrecer en los diferentes canales hacia sus diferentes segmentos de clientes.
Y, obviamente, para poder soportar esa gama inmensa de niveles de autenticación, contamos con el Authentication Basket, que sería la canasta de dispositivos donde el banco, a través de la misma plataforma, va a tener la flexibilidad de poder elegir de acuerdo a las necesidades de seguridad entre múltiples dispositivos y múltiples métodos de autenticación.
¿Como funciona el Authentication Center?
Rozo: Va a funcionar con diferentes dispositivos para autenticar en diferentes canales. Hablemos por ejemplo del comercio electrónico. Detrás de estos sistemas hay otro que es el portal de banca en línea. Entonces, al hablar de racionalización es importante tener un sistema de autenticación que pueda ofrecer el servicio de autenticación tanto para el canal de comercio electrónico como para el canal de banca por Internet, y que a su vez, si el banco lo requiere, por iniciativas de negocio o mitigación de fraude, puedan pasar por esta plataforma de seguridad otros canales, como los ATM, o los IVR (banca telefónica), o banca móvil.
Pero la forma en que uno se va a identificar con cada uno de estos canales va a ser diferente.
Rozo: de las grandes virtudes que tiene la solución es que le puede permitir a la institución financiera que todos los canales de comunicación con los usuarios puedan manejar un solo método de autenticación hacia adentro. Eso quiere decir que el usuario podrá entrar al core financiero con una sola clave a través de todos los canales que pueda manejar el banco. Esa es una de las cosas que vemos que es importante para que el mercado pueda evolucionar y que además sea seguro.
Lara: De cara hacia los usuarios también se tienen una serie de dispositivos pero también de factores. Nosotros hablamos de un segundo factor de autenticación, siendo generalmente el primero la contraseña -que todos usan. Pero podríamos agregar en el sistema centralizado un tercer factor de autenticación, que podría ser la biometría. Y ahora estamos promocionando un factor de autenticación adicional, que no se basa en lo que uno sabe (contraseña) o lo que uno es (biometría), sino lo que uno hace, es decir, un mecanismo físico que requiere la presencia del usuario.
Rozo: Básicamente, el dispositivo del que Pedro está hablando es una especie de USB pero que en realidad es un token, es algo totalmente transparente para el usuario. Cuando éste conecta el token a una computadora se abre un navegador -que es seguro porque viene dentro del token y no utiliza el de la máquina- que crea un canal seguro entre la máquina y el banco. Pero además, para usar el token se tiene que presionar un botón en él, a eso nos referíamos con lo que haces como factor de autenticación de la presencia del usuario.
Lara: Esto autentica que es una persona la que ha puesto el dispositivo y que no es un malware que lo está emulando. Entonces, aquí lo que estamos haciendo es certificar que quien está haciendo la operación es la persona dueña de esa cuenta.
¿Se puede utilizar otros factores?
Lara: Además de este factor hay otros factores. También podemos tomar en cuenta la autenticación basada en el riesgo, es decir, dependiendo del comportamiento del usuario, de lo que uno hace. En este caso lo que podemos usar, lo que ofrece Gemalto, es una firma dinámica en donde tomas diferentes elementos de la transacción para que el banco decida qué le pide al usuario.
Por ejemplo, en el caso de una transferencia de un monto bajo, el banco -de acuerdo a sus reglas de negocio- puede definir que solo le va a solicitar la cuenta de destino y el monto a transferir, pero si en determinado momento rebaza una cierta cantidad, no solo le va a pedir la cuenta de destino y el monto sino otros datos. Entonces las opciones pueden ser múltiples. Al final, eso le da un dinamismo a la transacción que puede ser definido en tiempo real dependiendo del riesgo, un riesgo que también puede ser definido en tiempo real dependiendo del comportamiento del usuario y de su historial. Es decir, son dinámicos los factores que se utilizan en la autenticación.
En general, Gemalto está trabajando en ofrecer un buen balance entre la seguridad y la facilidad de uso de la tecnología para autenticar.
Jose Amtonio Trujillo, CIO Perú