"El ataque a RSA es transversal para todo el mundo y eso incluye Latinoamérica, donde la penetración de mercado de la empresa es de casi 90%", dice el director regional de Seguridad de Soluciones Orión, quien cree que los usuarios bancarios deben tomar medidas ante eventuales ataques.
Santiago. La reciente vulneración de datos que sufrió RSA Security, la división de seguridad de la firma de almacenamiento de datos EMC, encendió las alarmas de todos sus clientes a nivel mundial, luego que esta semana la empresa confirmara que piratas informáticos ocuparon los datos robados para atacar a los servidores de la red del contratista de defensa Lockheed-Martin, el principal proveedor de armas del Pentágono y la principal firma que brinda servicios de tecnologías de la información al gobierno de Estados Unidos.
RSA Security, que provee sistemas de autentificación para acceso a redes de organizaciones como bancos, inició una investigación para determinar el impacto del ataque a Lockheed-Martin, uno de sus principales clientes. El CEO de la empresa, Art Coviello, aseguró en una carta publicada en la web de la compañía que "ciertas características del ataque contra RSA indican que el principal motivo del autor era posiblemente obtener un elemento de información de seguridad que pudiese utilizar para atacar secretos de defensa y otros relacionados (propiedad intelectual)".
Sin embargo, los riesgos ante eventuales ataques informáticos no sólo deben preocupar a organizaciones vinculadas a los gobiernos o la defensa. Los bancos y casas comerciales que operan con tokens SecureID de RSA, también deben encender sus alarmas, pues implican peligros para los datos financieros de sus usuarios finales.
Así lo asegura Jaime Briggs, director regional de Seguridad de Soluciones Orión, quien cree que "cualquiera de los usuarios en Chile y Latinoamérica es un potencial blanco de ataque". Y es que si bien los piratas informáticos que vulneraron los generadores de códigos del sistema de RSA de autentificación hasta el momento, según la información que se conoce, sólo han atacado a Lockheed-Martin, bien podrían poner sus ojos en los bancos regionales y realizar fraudes comerciales.
Esta situación, no obstante, el chileno Banco de Crédito e Inversiones (BCI), institución que opera con la tecnología de RSA, asegura que no sucederá. "Nuestros clientes pueden estar tranquilos porque en BCI hemos validado las configuraciones de seguridad de RSA y, con ello, podemos tener la seguridad de que ofrecemos un servicio confiable y seguro", dice Pablo Cousiño, gerente de Innovación de BCI.
Pero al parecer la vulneración de datos que sufrió RSA sería más compleja de lo que aparenta y sí pondría en serio riesgo la seguridad informática de miles de clientes bancarios en toda la región. Por lo mismo, la propia multinacional estadounidense ofreció reemplazar millones de las llaves electrónicas SecurID potencialmente comprometidas.
Briggs, que tiene responsabilidad en Soluciones Orión para los mercados de Argentina, Chile, Colombia y Perú, va más lejos y recomienda a los usuarios finales proteger y robustecer fuertemente sus claves bancarias, pues si piratas informáticos ya manejan la información de los tokens SecureID, les será mucho más fácil vulnerar los siguientes niveles de seguridad de los bancos.
Además, Briggs cree que estas instituciones deben invertir en cambiar sus sistemas de seguridad y pasar a plataformas de multialgoritmos, pues la solución de RSA ya fue hackeada por lo que estaría "viciada". "Existen tecnologías de autentificación que no solamente ocupan el algoritmo de RSA, sino que ocupan diferentes algoritmos (multialgoritmo)", dice el director regional de Seguridad de Soluciones Orion, empresa que también participa del mercado de autentificación. "Aquello implica que el banco debe cambiar los tokens a todos sus usuarios. Es la forma más responsable de enfrentar este tema", agrega Briggs.
Otra alternativa de seguridad para los bancos, son las tarjetas de coordenadas que varias entidades ocupan, pero que sin embargo, también encuentran resistencia en algunos especialistas por la facilidad con que se pueden copiar.
Cabe recordar que las llaves electrónicas como los tokens SecureID de RSA, son utilizadas para confirmar en dos pasos la identidad de una persona que intenta acceder a un sistema informático. Están diseñadas para frustrar a los piratas informáticos que podrían usar virus que graban las teclas que se teclean en el computador para capturar claves, ya que generan constantemente nuevas claves para entrar en el sistema.
El SecurID genera nuevas series de dígitos minuto a minuto que el usuario debe teclear junto con un número secreto antes para poder acceder a la red. Si el usuario no mete la serie antes de que expire, entonces se le niega el acceso. Este sistema sin embargo, no es utilizado por todas las organizaciones, que ven en tarjetas con combinaciones de alfabeto y números, una mejor solución de seguridad de datos.