LA CRIPTOGRAFÍA EN LA SEGURIDAD BANCARIA

Claudia Romero, Alexandra Fonseca, Mónica NavarroEstudiantes Ingeniería de Sistemas - UNAD

claoeusse52@gmail.com, al52fon683@unadvirtual.edu.co,mo52nav256@unadvirtual.edu.co

Resumen

Debido a la masificación de las herramientas tecnológicas y su uso en elcomercio electrónico, se ha generado una avalancha de información importanteque viaja por las redes. Esta información generalmente representa dinero ydebido a que en su forma estándar, el viaje de la información es plano, esdecir, no tiene ningún nivel de seguridad, es fácil de identificar, lo que lleva a unriesgo de seguridad altísimo.

Por eso es necesario tener adecuaciones que permitan seguir utilizando estosmedios, pero de manera segura.

La criptografía se convirtió en una aliada de la tecnología, al permitir proteger lainformación que viaja en la red, haciendo que sea posible realizartransacciones bancarias con total confianza, que la información llegará a sudestino igual a la enviada y que esta no podrá ser descifrada en el camino.

Así, la criptografía permite ser una herramienta más de la ingeniería, que daapoyo o otras áreas y procesos de la vida.

1. COMERCIO ELECTRONICO Y LA SEGURIDAD

El comercio electrónico se define como el intercambio de información entre dosentidades y del cual se genera una relación comercial, utilizando técnicas EDI(Intercambio Electrónico de Datos). Su principal característica es la de losbeneficios que ofrecen de comunicación en tiempo real, pero es necesario quecumpla los requisitos técnicos y jurídicos de seguridad.

Este tipo de comercio está regulado por normas nacionales e internacionales,que permiten disminuir los riesgos de pérdida o modificación de la información.

- Ley 527 De 1999. Por medio de la cual se define y reglamenta el acceso yuso de los mensajes de datos, del comercio electrónico y de las firmasdigitales, y se establecen las entidades de certificación y se dictan otrasdisposiciones.1

1 Tomado de:http://www.secretariasenado.gov.co/senado/basedoc/ley/1999/ley_0527_1999.html

Las entidades bancarias para agilizar y mejorar el servicio a los clientes, hanhecho uso de los avances tecnológicos, dándole la posibilidad a los usuarios derealizar todo tipo de transacciones desde un computador, sin que tengan quedesplazarse a las oficinas del banco, con grandes cantidades de dinero.

En todas las transacciones bancarias existen riesgos, pero al hacer uso de latecnología y teniendo en cuenta que esta información puede ser accesibledesde internet, estos riesgos se incrementan haciendo que puedan serexpuestos a ataques maliciosos de hacker, virus, robos de información,destrucción de datos y fraudes.

Aunque a través de la evolución de las comunicaciones, se han mejorado lossistemas de seguridad, la percepción de los usuarios respecto a la seguridadde la información aun no es lo suficiente para llegar al nivel de otros países, endonde el porcentaje del uso de las herramientas de comercio electrónico esmayor.

En Colombia hemos mejorado los niveles de seguridad, por un lado aplicandolas buenas prácticas aprendidas por la experiencia de otros países y por otrolado por los ataques recibidos en las entidades financieras, como por ejemplolos ataques de phishing, de los que fue víctima la entidad Bancolombia2 y delos cuales varios usuarios se vieron afectados.

2. LA ENCRIPTACIÓN

La palabra criptografía 3 es un término genérico que describe todas las técnicasque permiten cifrar mensajes o hacerlos ininteligibles sin recurrir a una acciónespecífica. El verbo asociado es cifrar.

La criptografía es el método más utilizado por las empresas o entidadesbancarias, debido a la necesidad de mantener segura la informacióncorrespondiente a las transacciones realizadas por los clientes y su informaciónde acceso; debido a su lenguaje por método de cifrado que facilita elocultamiento de la información real, la criptografía es la herramienta perfectacomo método de seguridad, seguramente cuando lo griegos generaron esteinvento no se imaginaron la trascendencia de la criptografía y la evolución através de la tecnología, pues su evolución tecnológica se ha apoyado en lasmatemáticas para lograr ser más compleja y casi imposible descifrar elcontenido de la información transmitida.

Las características más importantes de la criptografía es la seguridad, esta essu característica principal.

2 Consultado en: http://m.eltiempo.com/economia/empresas/bancolombia-responde-ante-los-problemas-de-sus-servicios-en-linea/9112360/13 Tomado de: http://www.slideshare.net/guestf4c748/criptografia-3442463.

Otra característica principal es la integridad, dado que a pesar de cifrar lainformación la misma se conserva cuando y se identifica cuando llega a sudestino.

La criptografía se ocupa de:

Confidencialidad. Garantiza que la información está accesible únicamente apersonal autorizado. Para conseguirlo utiliza códigos y técnicas de cifrado.

No repudio: Proporciona protección frente a que alguna de las entidadesimplicadas en la comunicación, pueda negar haber participado en toda o partede la comunicación. Para conseguirlo se puede usar por ejemplo firma digital.

Integridad: Garantiza la corrección y completitud de la información. Paraconseguirlo puede usar por ejemplo funciones hash criptográficas MDC,protocolos de compromiso de bit, o protocolos de notarización electrónica.

Autenticación: Proporciona mecanismos que permiten verificar la identidad delcomunicante. Para conseguirlo puede usar por ejemplo función hashcriptográfica MAC o protocolo de conocimiento cero.

Un sistema criptográfico es seguro respecto a una tarea si un adversario concapacidades especiales no puede romper esa seguridad, es decir, el atacanteno puede realizar esa tarea específica.

La criptografía se usa no sólo para proteger la confidencialidad de los datos,sino también para garantizar su integridad y autenticidad.

La mayor ventaja de la criptografía es que la distribución de claves es más fácily segura ya que la clave que se distribuye es la pública manteniéndose laprivada para el uso exclusivo del propietario

La aparición de las Tecnologías de la Información y la Comunicación y el usomasivo de las comunicaciones digitales han producido un número creciente deproblemas de seguridad. Las transacciones que se realizan a través de la redpueden ser interceptadas. La seguridad de esta información debe garantizarse,la mejor forma es la de aplicar la Criptografía.

3. EL PROBLEMA Y LA SOLUCION

En la Organización Mundial de Cobranzas e Inmobiliaria se cuenta con lagerencia Financiera, dentro de la cual se tiene conformada el área de Gestiónde Pagos y Tesorería. Esta jefatura es la encargada analizar, controlar yejecutar la causación y verificación de facturas, la realización de los pagos y elregistro de los ingresos de la compañía.

El proceso de pagos y recaudos implica la realización de transaccionesfinanciaras como son: pagos de recaudos de arriendos a los propietarios de losinmuebles, recaudos y pagos de la compra y venta de inmuebles, pagos de

servicios públicos y administraciones de los inmuebles propios o en custodia,pago a los proveedores de servicios para el mantenimiento de los inmuebles,pago de los costos administrativos y comerciales derivados del funcionamientode la empresa, entre otros. Este tipo de movimientos se realizan en diferentesentidades financieras o en las cajas de cada uno de las sucursales de lacompañía.

Aunque dentro del área, existen procesos y controles, como la aplicación desegregación de funciones para la realización de las actividades que hoy haceque el proceso funcione, en la última revisión realizada por el área de auditoríainterna de la empresa encontró que, debido al aumento de las transacciones ymontos que está realizando la empresa los controles que se ejercenactualmente no son suficientes y pueden existir riesgos en la perdida de dineroo de información financiera clave que requiere mayor seguridad; por lo cualellos entregaron en el informe una recomendación para mejorar el proceso.

En el informe de auditoría entregado a la jefatura del área de Gestión de Pagosy Tesorería, en la revisión del proceso de pagos y recaudos de dineros, seregistra un punto el cual se enfoca en la seguridad de las transacciones querealiza la empresa de manera electrónica con las diferentes entidadesfinanciera con las que se tiene relación. En este punto se evalúa la cantidad detransacciones que realiza Tesorería, los montos y los medios por los cuales losejecuta, encontrando que:

- Se realizan pagos utilizando las páginas de los bancos o por serviciosPSE.

- Se envían archivos planos a las entidades bancarias para el pago oconsignación automática de dineros a los clientes, proveedores yempleados de la empresa.

- Se realizan trasferencias de dinero por medios electrónicos a cuentas declientes y agrupaciones de vivienda.

Se espera mitigar los riesgos hacia la información el cual se está presentandoen estos momentos en la empresa.

Reducir el riesgo al realizar transacciones, las cuales cesen sus operaciones.¿Qué se busca?:

Mantener la confidencialidad de la información. Asegurar la integridad y confiabilidad de los datos. Asegurar la disponibilidad de los datos. Asegurar el cumplimiento de las leyes de seguridad nacionales y de las

directivas y reglas de privacidad.

Para poder realizar la implementación de un método de encriptación a losarchivos que se intercambian con los bancos, se debe realizar la siguientesactividades:

1. Verificación del estado actual de los sistema de la empresa y de los bancos.1.1. Identificación del sistema que genera los archivos planos.

1.2. Identificar los métodos de generación.1.3. Identificar posibles formas de encriptación en el sistema actual.1.4. Identificar los protocolos de encriptación utilizados por los diferentesbancos con los que se intercambian archivos.1.5. Identificar la estructura de los archivos.2. Búsqueda y selección del proveedor del sistema de encriptación.3. Definir el protocolo estándar que va a implementarse con todos los bancos.4. Realizar la implementación de software y hardware necesarios.6. Realización de prueba en ambientes de calidad, con verificación yaprobación de todas las áreas involucradas en el proceso, incluyendo el avaltanto de auditoría como de los bancos.7. Certificación de las llaves con la entidad certificadora correspondiente.8. Capacitación del nuevo proceso a los usuarios funcionales del área.9. Comunicación y alienación de las fechas de salida en vivo, tanto al interiorde la empresa como con los bancos.10. Migración o puesta en productivo de los protocolos de encriptación.11. Seguimiento post implementación.

4. Conclusiones

Las herramientas tecnológicas cada día hacen que las tareas y procesos sepuedan hacer de una manera más ágil, pero así mismo se deben tomar lasmedidas necesarias para que estas sean seguras, tanto para los prestadoresde servicios o vendedores, como para los usuarios.

Existen dos formas de generar claves cifradas, unas es la asimétrica y otra lasimétricas, siendo la asimétrica de mayor ventaja, debido a que permiteestablecer comunicación sin haber acordado previamente un clave secreta.

Hay dos formas de generar comunicación web por http ó por https, la httpspermite establecer comunicación en forma segura, a través de la cual sesolicita la clave publica del servidor, permitiendo establecer comunicación deforma simétrica.

Con la firma electrónica se consiguen dos de las características de seguridad;seguridad y autenticación.

Referencias

[1] Administración de empresas, “Riesgos y seguridad en Datos”,http://cursoadministracion1.blogspot.com/2008/07/riesgos-y-seguridad-en-datos.html

[2] Seguridad Informática...Criptografía, http://www.taringa.net/posts/info/4030740/Seguridad-Informatica___Criptografia.html

[3] http://redici.org/podcast/137-edicion060

[4] www.iec.csic.es/gonzalo/descargas/AplicacionesCriptografiaEFS.pdf

[5] http://www.seguridadenlared.org/es/index25esp.html

[6] http://m.eltiempo.com/economia/empresas/bancolombia-responde-ante-los-problemas-de-sus-servicios-en-linea/9112360/1