Romina Campos

junio 28, 2016

La falsa seguridad de los teclados virtuales

Blog

Como usuarios de Banca Digital en Latinoamérica nos hemos visto enfrentados al uso de teclados virtuales para el ingreso de nuestras claves y pines en forma opcional u obligatoria. Nadie discute que a nivel de experiencia de uso la misma dista mucho de ser positiva, pero típicamente estamos dispuestos como usuarios a sacrificar la conveniencia en aras de la seguridad. Desgraciadamente la ecuación no cierra ya que los teclados virtuales no sólo no cumplen con el cometido de proteger nuestras credenciales, sino que, lo que es quizás peor, nos brindan una falsa sensación de seguridad.

Los teclados virtuales nacieron como una defensa frente al robo de credenciales a raíz de programas (malware) o piezas de hardware conocidos como “keyloggers” , los cuales  almacenan los textos que ingresamos en una computadora a través del teclado y luego envían dicha información a terceros. Al sustituir el ingreso con el teclado por un click del mouse en un punto de la pantalla se pretendió evitar la fuga de información. Por desgracia, como en toda  guerra, la victoria es temporal frente a una escalada tecnológica, y los keyloggers evolucionaron capturando las coordenadas de la pantalla donde se seleccionan las letras del teclado, frente a lo cual nacieron los teclados virtuales con posiciones al azar de las letras. La victoria tendría corta duración una vez más, al aparecer keyloggers que realizan capturas de pantalla totales o ajustadas al área donde hacemos click, con lo cual desaparece cualquier protección que nos pudieran brindar los teclados virtuales.

Hoy en día quedan aún muchas instituciones financieras que recomiendan o imponen el uso de teclados virtuales al operar en terminales no seguras (como por ejemplo un equipo compartido o un cybercafé). Este consejo que fue de dudoso provecho en algún momento, en el contexto actual es directamente peligroso. Frente al uso de un sistema bancario únicamente con autenticación de clave/pin en un equipo potencialmente comprometido por malware la única respuesta sensata es no ingresar. Es cierto que algunos teclados virtuales detienen a algunos keyloggers, ahora bien, ¿dormiría Ud. tranquilo con una cerradura que a veces funciona y a veces no? Es preferible admitir que estamos viviendo en una casa con una puerta abierta y buscar alternativas.

Entonces, ¿qué podemos hacer?

El uso de antivirus es la primer línea de defensa ante la instalación de keyloggers. Los celulares como canal para el ingreso son una alternativa más segura frente a un equipo no confiable, pero es sólo cuestión de tiempo para que el malware y virus también proliferen en esa plataforma.

Queda entonces el desafío planteado para que las instituciones financieras sustituyan los mecanismos débiles de protección, como el teclado virtual, en favor de soluciones de autenticación más robustas del tipo de doble/triple factor o nuevas alternativas. Esta tendencia puede verse ya hace años en los principales bancos del hemisferio norte (HSBC, Capital One, Wells Fargo, CitiBank, JP Morgan Chase por nombrar algunos), es tiempo ahora de que América Latina acompañe.

Publicar comentario