La semana pasada leí una reseña sobre un dispositivo para asegurar las transacciones bancarias que me gustó. El dispositivo en cuestión es un llavero USB cuyo cometido básico es establecer un canal de comunicación seguro entre el propio dispositivo y el banco, a través del cual se visualizan y validan manualmente las transacciones que realicemos, si realmente la información visualizada se corresponde con la transacción que queremos realizar.
Me gusta el planteamiento por varios motivos. El primero de ellos es que coincido con el planteamiento de partida, que supone la utilización, en el extremo del usuario, de un recurso proporcionado por la entidad bancaria que permite garantizar la seguridad de las transacciones. El hecho de que sea la entidad bancaria la que trate de garantizar la seguridad extremo a extremo me parece algo fundamental, ya que supone un incremento en la responsabilidad que el banco está dispuesto a asumir en términos de la seguridad global del servicio proporcionado.
El segundo motivo es que este planteamiento sigue la premisa de que la forma de garantizar esa seguridad extremo a extremo sea mediante el uso de un elemento seguro "per se" y que proporciona toda la funcionalidad necesaria para esa seguridad. En este caso estamos ante un dispositivo hardware externo, pero el mismo planteamiento sería válido con otro tipo de módulo de usuario que fuese capaz de ofrecer las mismas garantías: ser un entorno cerrado y sólo accesible en un extremo por el canal de comunicaciones seguro y en el otro por el usuario. Esto supone, sencillamente, que sea el propio interfaz de usuario el que incorpore todas las funcionalidades de seguridad precisas y que además dicha interfaz sea cerrada al resto de elementos que intervienen en la comunicación, ya que en este caso el equipo de usuario es un simple elemento de comunicación sobre el que opera el dispositivo.
Y el tercero de los motivos es que este planteamiento supone una nueva forma de afrontar este tipo de problemas. Se puede estar o no de acuerdo en si la mejor forma de asegurar una transacción electrónica es validarla manualmente, pero al menos supone una forma distinta de afrontar este problema. Además, en este caso tenemos la ventaja de que no es necesario utilizar un canal de comunicación alternativo como puede ser la telefonía móvil para llevar a cabo esta tarea de validación, lo cual creo que favorece la penetración de esta solución.
En definitiva, un dispositivo interesante. A diferencia del autor del post no tengo muy claro el futuro de su implantación generalizada, aunque al menos espero que sirva de inspiración a los diseñadores de soluciones de seguridad en este tipo de entornos para empezar a pensar en otro tipo de soluciones que realmente sean capaces de resolver de forma más efectiva todas las problemáticas que deben resolver este tipo de soluciones.
Suscribirse a:
Enviar comentarios (Atom)
No hay comentarios:
Publicar un comentario