Seguridad, Java y Banco Nacional: Algunas aclaraciones

Luego de leer el artículo de La Nación referente a la seguridad en Java y de cómo el Banco Nacional tiene un sistema de Internet Banking que obliga a usar applets (escritos en Java), logré conversar con el periodista encargado de la nota para aclarar algunos conceptos. Esta nota la escribo para ampliar al público dichas aclaraciones.

1. El peligro que mencionan las notas internacionales se refiere a una versión particular de Java, la 7 antes de su parche número 11. Otras versiones pueden tener otros fallos, pero es importante recalcarlo dado que no es Java en general que tiene ese problema.

2. El problema es muy simple. En Java se pueden hacer muchas cosas, entre ellas pequeños programas, que se ejecutan desde los navegadores internet, conocidos como Applets. Estos programas pueden venir firmados digitalmente (lo que le permite saber al usuario quién los escribió). La versión de Java 7 previa al parche 11 (anterior a 7.11), contiene un error que permite a un applet tener la potestad de ejecutar programas con un nivel de privilegios alto (como si fuera un super usuario), y por ende un atacante podría ejecutar cosas en la computadora de la víctima. Para que eso pueda ocurrir, el usuario debe entrar en una página que tenga un applet malicioso hecho a propósito para atacar a la víctima y permitir que éste se ejecute. Aclaremos los miedos basados en esta información.

3. No es cierto que con sólo tener Java en la computadora ya nos pueden atacar. El java se puede configurar para que no ejecute nada sin permiso, y entonces puedo navegar sin problemas y cuando algún applet quiera ejecutarse soy yo el que le da permiso o no (claro, darle permiso a cualquier applet es como dejar entrar a cualquiera a la casa, hay que tener cuidado).

4. No es cierto que por usar (o durante su uso) la aplicación de Banco Nacional se esté en peligro. El applet del Banco Nacional, a menos que sea cambiado por un hacker, no contiene código malicioso que ataque nuestros equipos. Y los hackers no pueden, mientras se tiene una sesión en el navegador con el banco, cambiar el applet. Lo que sí pueden hacer los hackers es engañar a la persona para que vaya a una página duplicada haciéndole creer que es la del banco y en esa página falsa poner un applet malicioso. Claro está, el hacker puede hacer esto mismo duplicando cualquier otra página, inclusive no bancarias. En este caso, el usuario debe tener cuidado de no caer en el engaño.

5. Otra cosa que puede hace un hacker es intentar violentar la seguridad del banco mismo y reemplazar el applet oficial con uno malicioso. Esto es muy difícil y si lo logra, se puede detectar por la firma del applet. Ahora, si el Banco no tiene su propio applet firmado digitalmente con un certificado respaldado por una autoridad certificadora reconocida, entonces es difícil para el usuario detectar si el applet es válido o no y es mejor no utilizarlo.

6. Cuando un applet no está firmado por una autoridad certificadora (sea que no esté firmado, el certificado esté vencido o haya sido “autofirmado”) el navegador usualmente preguntará antes de ejecutarlo. El consejo es entonces nunca permitir la ejecución de un applet con problemas de firmado. Aun si está firmado, es siempre bueno verificar quién está firmando y que lo que se firma sea legítimo.

7. Los applets están siendo usados en otras páginas en el país, no solo la del Banco Nacional.

8. Un usuario precavido podría apagar el java en el navegador siguiendo las instrucciones y en el momento que lo vaya a necesitar, activarlo solo para entrar el sitio que lo requiere. Luego lo desactivaría de nuevo.

9. En general, un usuario precavido no deberá entrar en sitios dudosos ni que ofrezcan software gratuito ni compartido, dado que muchos de esos ofrecimientos son caballos de troya. Si se entra a alguno de esos sitios, tratar de no aceptar nada, ni permitir ejecución de nada, no cerrar ningún popup que aparezca. Es mejor cerrar todo el navegador sin hacer click a nada, incluso si hay que apagar la computadora de golpe.

10. Finalmente, si aun a pesar de todos los cuidados, se sufre un ataque, los antivirus y detectores de malware entran a hacer su trabajo y pueden detectarlo. Claro está, es preferible prevenir un ataque que detectar uno en progreso. Lo importante es crear una cultura de concientización seguridad informática en el país, porque no son solo las instituciones sino también el usuario, los responsables de navegar seguros.

Espero estos consejos ayuden y que haya quedado claro el problema. Quedo a su disposición si tienen alguna consulta de este y otro tema sobre seguridad.

 

William Martínez Pomares

6 thoughts on “Seguridad, Java y Banco Nacional: Algunas aclaraciones”

  1. Me parece una excelente aclaración, sinceramente siento que en Costa Rica los periodistas son muy “alarmistas” y a veces generan un articulo sin investigar a fondo el tema, como Arquitecto de Tecnología se que no es sencillo hablar de Tecnologia, pero por eso uno debe ser muy cuidadoso. Don William el detalle del articulo mas el lenguaje popular utilizado para abordar el tema queda claro para los usuarios y para los Tecnicos.

  2. Gracias por el comentario Elyinn. Lo importante es que la gente conozca y se culturalice. No es necesario ser experto, pero si la gente conociera el concepto de certificado tanto como el de hashtag en twitter, tendríamos más capacidad de defendernos. Y no es conocer sobre las matemáticas del certificado, pero sí como reconocerlo, donde ver el nombre y quien lo firma, etc.

    Sobre los periodistas, el de la nota me atendió muy amablemente y agradeció las aclaraciones. Es más, hablamos bastantillo sobre el tema porque estaba interesado en entender y usar los conceptos correctos.

  3. De cualquier manera sigue siendo el peor sistema de ingreso de cuaqluiera de los bancos que yo uso. Lo del OTP debería de ser opcional o reemplazarse por una de esas tarjetas de códigos, y el ingreso debería de habilitarlo uno por una página normal sin JAVA si así lo desea. Si la gente fuera tan cuidadosa como el representante del banco indica no sería necesaria tanta complejidad en el ingreso al sitio.

  4. Don Alonso.
    Solo por clarificar y evitar que algún otro lector se confunda: en el caso del Nacional, el ingreso requiere que el password, al menos los números, sean digitados usando el teclado virtual, que es el applet de Java. Es una medida para evitar los Keyloggers (aunque estos ahora están muy avanzados). Eso no es OTP, por aquello.

    El OTP (One Time Password) es el “token” famoso, el aparatito que genera un número de token aleatorio cada X segundos sincronizado con el banco. Esta es una medida adicional de seguridad. Por aquello, no tiene nada que ver con Java.

    Las tarjetas de códigos son otro mecanismo, menos seguro que el OTP y propenso a ser copiado, que por cierto se utiliza un tanto mal en el país.

    Por cierto, muchos sitios también usan Firma digital, y en ciertos navegadores eso implica usar Java. Así que no es este banco el único que usa Java, y la firma digital es necesaria.

    Concuerdo que la seguridad debe ser acorde con el bien protegido. Varios bancos están implementando esto mal: ponen muchas trabas solo para entrar cuando se puede tener control a profundidad. Yo debería poder entrar, si quiero, con un mínimo de usuario password, pero eso no me daría oportunidad más que ver mis saldos y ya. Si quiero pagar cosas, entonces debería pasar por otro control más fuerte (tarjeta de códigos, OTP) y si quiero ya traspasar dinero o realizar inversiones, algo más fuerte como Firma Digital. El OTP y la firma digital también son candidatos para fortalecer la entrada si el hecho de conocer mis saldos o transacciones es muy valioso para mi. Y eso debería ser opción del usuario.

    Una arquitectura de seguridad eficiente, permite al usuario trabajar y se fortalece dependiendo de lo que el usuario quiera hacer.

  5. Por primera vez desde que salió la nota sensacionalista de la Nación que ha perdido su credibilidad, alguien pone un comentario con contenido que realmente tiene sentido, sin especulaciones o amarillismo excelente nota muchas gracias por su objetividad.

Deja un comentario