Acabo de recibir una carta de uno de los bancos con los que Sonoratec, mi empresa, trabaja. En ella me anuncian eufóricamente que acaban de incorporar un nuevo sistema de seguridad basado en un SMS al móvil en el momento de la firma electrónica.

Esto me recuerda también a la práctica similar de una Caja de Ahorros con la que trabajo a nivel privado y que te envía un SMS con un código para poder hacer login, adeás de combinar el SMS con el uso de una tarjeta de claves.

Internet en el suelo patrio se está convirtiendo en un terreno plagado de soluciones variopintas y yo diría pintorescas para resolver el tan cacareado problema de la seguridad. Imagino que Internet también es terreno abonado para mitos y sustos como todos los terrenos nuevos, al que añadimos la gran capacidad de difusión de la actualidad para magnificar el asunto.

Lo malo es que esas prácticas pintorescas pueden causar un importante daño al medio porque complican la vida a los que verdaremente obtenemos cierto rendimiento a su uso y dudo mucho que aporte seguridad real o, incluso, que aporte imagen de seguridad al usuario desconfiado. Quizá los bancos, con el nivel de recursos que tienen, deberían ser más exigentes en la investigación de este tipo de soluciones.

En definitiva, para analizar los casos que me motivan a escribir esto, estas son las premisas que de las que parto:

  • El uso de la banca online ayuda bastante a reducir costes asociados a desplazamientos a las oficinas y, sobre todo, al tiempo dedicado a las gestiones.
  • También ofrece flexibilidad en la gestión: inmediatez, deslocalización y aspectos similares.
  • La seguridad está íntimamente relacionada con el buen uso de la información de acceso que, en cierto modo, estamos acostumbrados a realizar.

Y mis conclusiones, rápidas y de andar por casa son:

  • El uso del dichoso SMS para cada firma electrónica entorpece la gestión de los pagos hasta límites insospechados. Yo tengo cinco empleados y es incómodo firmar cinco veces, una para cada transferencia. Como tenga que recibir cinco códigos también, acabaré yendo a la oficina para que un empleado haga las transferencias. Y si tuviera veinte empleados, ni me lo cuestionaría.
  • Como empresario de una empresa pequeña y dinámica me muevo bastante, por motivos personales y profesionales, y también trabajo a deshoras (un mal endémico de la Pyme). El asunto del SMS me fuerza a varias limitaciones:
    • Disponer de cobertura en mi teléfono móvil (algo que incluso hoy en día no es tan baladí).
    • Tener el móvil con batería (otra cosa que también, a veces, es un lujo).
    • No estar en el extranjero o, si estoy, que pueda recibir SMS a través del acuerdo de Roaming.
    • No estar utilizando mi móvil para, precisamente, conectarme con Internet (porque suele pasar que este se bloquea o que la conexión se pierde).
  • Desde el punto de vista de la seguridad, ¿cual es el aporte real? ¿evitar que se hagan transferencias con tu firma digital de modo fraudulento? ¿Y si el que te robó la clave, también te ha robado el móvil o la tarjeta SIM? (algo más fácil de robar muchas veces que la propia clave).

Para mí, este tipo de soluciones es equivalente a que, tras pagar con tarjeta en un restaurante, el camarero te viniera para pedirte un código que te envíe tu entidad por el móvil y, así, validar el pago.

Claro, que en este último caso el comercio recoje tu firma y puede que ese sea el problema que se pretende solucionar: cubrir las espaldas de la entidad bancaria y no precisamente mejorar la seguridad del usuario final. ¿Quien sabe?.

Deja un comentario