RSA, LA DIVISIÓN DE SEGURIDAD DE EMC PRESENTA SU CUARTO INFORME ANUAL

16 de febrero del 2007 | por José María Serralde Díaz

· Los usuarios de banca en línea, dispuestos a utilizar sistemas de autentificación más fuertes.

RSA, la división de Seguridad de EMC, ha presentado su cuarto informe anual “Fraudes en Línea al Consumidor en Instituciones Financieras”, en el que se trata de constatar la confianza, actitud y hábitos del usuario de la banca en línea. Dicho estudio ha sido realizado durante el mes de diciembre de 2006 y se ha basado en una encuesta entre 1.678 adultos, titulares de al menos una cuenta bancaria, de ocho países (Estados Unidos, Reino Unido, Alemania, Francia, España, Australia, Singapur e India)

El objetivo del estudio es saber la opinión de los usuarios sobre ataques en línea, tales como phishing, vishing (este término es una combinación de phishing con Voz/ IP) o keylogging (diagnóstico utilizado en el desarrollo de software que se encarga de registrar las pulsaciones que se realizan sobre el teclado. También en este estudio se ha querido conocer los esfuerzos de las instituciones financieras a la hora de reforzar la autenticación de dicho canal de banca en línea.

Resultados clave de estudio

• El 91% de los titulares de cuentas bancarias encuestados están dispuestos a utilizar un nuevo método de autenticación más allá del estandarizado método de “usuario y contraseña”, si sus bancos decidieran implementar una seguridad más fuerte, y el 73% comentaron que querrían que su banco utilizara la autenticación basada en el riesgo.

• Sobre la pregunta de si los bancos deberían reemplazar el sistema de “usuario y contraseña” por algún método de autenticación más fuerte para la banca en línea, el 69% creía que sí era necesario.

• También el 58% pensaba que las entidades financieras deberían desarrollar un sistema de autenticación fuerte para la banca telefónica.

• 82 % de titulares de cuentas bancarias querrían que sus bancos monitorizaran transacciones tanto en banca en línea como banca telefónica para detectar actividades o comportamientos irregulares, del mismo modo que hoy día se hace con las transacciones de las tarjetas de crédito.

• Algo menos del 70% de los encuestados está familiarizado con el término phishing

Además de todo ello, la confianza en la banca en línea sigue cayendo. El 82% de los titulares de cuentas son menos propensos a responder un correo electrónico de su banco debido a las estafas de phishing, que han sufrido un importante incremento, situándose por encima del 79% durante 2005 frente al 70% en el 2004. Como resultado, más de la mitad de los encuestados no se darían de alta o no usarían los servicios de banca en línea.
Por otro lado, el 44 % ha mostrado una mayor preocupación ante el incremento de otro tipo de ataques, además del phishing, tales como los Troyanos o los keyloggers, durante los últimos seis meses.

Para Christopher Young, Vicepresidente y Director General de Soluciones de Consumo en RSA, “2006 ha sido un año muy agitado para las instituciones financieras en cuanto al incremento de ataques a la seguridad de la banca en línea. Este estudio afirma que el mercado está moviéndose hacia la dirección correcta, con más del 90% de usuarios dispuestos a utilizar un método de seguridad más fuerte cuando ésta sea implementada, y esto es algo que los bancos deberían tener en cuenta cuando buscan acelerar los procesos de su negocio”, a lo que añade, “prevemos que en 2007 se evolucionará en cuanto a seguridad en la banca en línea, aunque en un contexto donde el panorama de amenazas está en pleno desarrollo, nos llevará sin duda a la necesidad de añadir también sistemas para otro tipo de canales remotos, haciendo hincapié en la banca telefónica”.

Los usuarios prefieren una autenticación fuerte…

De dicho estudio se desprende que el 69% de los titulares de cuentas bancarias piensan que sus bancos deberían usar algún método más fuerte que el conocido “usuario y contraseña”. Más de la mitad, el 58% querría que sus bancos también emplearan sistemas de autenticación para la banca telefónica.

De este modo, el 91% estaría dispuesto a utilizar un nuevo método de autenticación si su banco ofreciera una seguridad más fuerte: el 43% estaría dispuesto y activamente se daría de alta en dicho nuevo servicio y el 48%, algo dispuestos si tuvieran tiempo y fuera un proceso simple.

…pero las opiniones varían en cuanto a preferencias en el método de autenticación

Cuando se les presentaron varias opciones de autenticación, incluidos dispositivos “tokens”, imágenes personalizadas y autenticación basada en el riesgo, la mayoría de los usuarios, el 73% prefería que sus bancos utilizaran este último.

La autenticación basada en el riesgo implica una evaluación de la identidad del usuario basado en diversos factores incluyendo la ubicación de conexión al sistema, dirección de Internet y comportamiento de la transacción, que puede ser complementada con llamadas telefónicas o preguntas secretas para poder llevar a cabo operaciones concretas que, según estos análisis realizados, pueden ser consideradas “anormales” para un usuario en particular. La autenticación basada en el riesgo está diseñada para ofrecer una seguridad fuerte con un mínimo impacto en la experiencia del usuario, un concepto que causó muy buena aceptación entre los encuestados.

A escala mundial, el 40 % aseguró que les gustaría usar un dispositivo “token” para autenticarse. Los usuarios encuestados en países europeos y Asia-Pacífico, como España, Alemania, Singapur e India entre la 46%-50% se inclinaban más por este tipo de tecnología de “tokens”.

Además, casi la mitad de los usuarios, el 49%, estaban de acuerdo en que, asumiendo que su banco decidiera usar “tokens” para la autenticación en línea, ellos apreciarían mucho el hecho de que ellos pudieran utilizar el mismo token para conectarse a otros sitios web además de la página de su banco.

En cuanto a imágenes personalizadas de autenticación en la banca en línea, el 56% contestó que les gustaría dicho método, y el 53% piensa que este método le proporcionaría mayor sensación de seguridad.

Este método implica que las imágenes personalizadas son elegidas por los usuarios y se utilizan para verificar que ellos están realmente en el sitio legítimo de su banco y uno en una página fraudulenta.

La mayoría de los usuarios ignoran métodos adicionales de seguridad que pueden utilizar

A pesar de que la mayoría de los encuestados afirma querer mas seguridad y que estarían dispuestos a utilizarla, el 39% de los mismos eran conscientes de que su entidad bancaria dispone de algún método de seguridad adicional tales como imágenes personalizadas, autenticación basado en el riesgo o dispositivos de autenticación OTP (one-time-password.

Para Christopher Young, “el acuerdo general solía ser que la seguridad es algo que debería ser gestionado de manera silenciosa, y que los usuarios confiaran en sus instituciones financieras para mantener a salvo toda su información y sus activos. Sin embargo, como la conciencia del robo de identidad y los fraudes en línea crecen, la gente quiere sentirse tranquila y sentirse protegida. Nuestra experiencia ante los resultados de nuestros estudios nos lleva a afirmar que el informar a los usuarios sobre las nuevas medidas de seguridad implantadas, incluso si ellas son invisibles al usuario, es aconsejable y estaría considerado positivamente por los clientes. Mientras la mayoría de los usuarios no quieren complicarse con la seguridad, ellos quieren saber que están protegidos y, como estamos viendo, estarían dispuestos a implicarse en las nuevas medidas de seguridad.”

Los usuarios esperan de sus bancos una monitorización de su actividad bancaria

Según el estudio, el 82 % de los titulares de cuentas les gustaría que sus bancos monitorizaran sus transacciones tanto en banca en línea como en banca telefónica en caso de haber signos de actividad irregular. Así, el 51% piensa que los bancos deberían ponerse en contacto con ellos en caso de actividades sospechosas. Mientras que en los usuarios británicos este porcentaje alcanza el 93%, en Francia solo lo piensa el 70% de los usuarios.

La confianza en la red cae y se incrementan las preocupaciones por nuevas amenazas. Así como las instituciones trabajan por incrementar su negocio a través de la captación de usuarios en línea introduciendo nuevas características y funcionalidades, el estudio desvela que la seguridad debe dirigirse a conservar la confianza en Internet y aumentar la confidencialidad del usuario.

Y es que 4 de cada 5 usuarios ha manifestado que, como resultado directo de las estafas por phishing, cada vez están menos dispuestos a responder un correo electrónico de su banco. Además, mas de la mitad de los encuestados, un 52%, aseguró ser menos proclive a darse de alta en los servicios de banca en línea o no usarlos en absoluto como consecuencia de estos ataques.

El estudio realizado por RSA ha sido realizado por Infosurv, compañía de estudios de mercado en línea.




Comments are closed.