La posibilidad de que Heartbleed haya puesto al descubierto los datos de tarjetas de crédito y cuentas bancarias de millones de clientes en sustransacciones y operaciones de banca electrónica han provocado una lógica inquietud. A pesar de que, según las investigaciones, ningún hacker se habría percatado en este tiempo del fallo, no deja de preocupar que esta información altamente confidencial haya podido estar comprometida durante, al menos, los dos últimos años.
ADICAE, la Asociación de Usuarios de Bancos, Cajas y Seguros considera que se habrían visto afectados, según sus primeras valoraciones, los sistemas de banca online de Banco Sabadell, Openbank y Caja 3, aunque la lista no está cerrada. Un portavoz de la asociación ha comentado a Teinteresa.es que están todavía analizando y procesando de forma pormenorizada toda la información para poder emitir un informe completo de los riesgos que haya podido generar el fallo informático. Al mismo tiempo, consideran “alarmante” que las entidades “no hayan cancelado el acceso a sus servicios de banca online en el mismo momento en el que han sido conscientes de ser víctimas de este fallo de seguridad”.
También algunos expertos en seguridad informática han lamentado que las entidades no hubiesen trasladado ninguna explicación a sus usuarios. «No he visto a ningún banco ni a ninguna organización española haciendo público estos días si eran vulnerables o no, y poniéndolo en conocimiento de sus clientes», lamenta Yago Jesús, experto en seguridad
informática,»Me hubiese parecido correcto que hubiesen informado a sus clientes de que en todo este tiempo han sido vulnerables. En EEUU, sí se ha hecho. Nos llevan años de delantera», afirma. Jesús es colaborador habitual en equipos de seguridad de grandes empresas, entre otras, también del sector bancario.
La banca, por su parte, ha restado importancia a HeartBleed, asegurando que todo está bajo control. Desde Banco Sabadell, se reconocen «perplejos» por las informaciones que los sitúan como una de las entidades afectadas y niegan que la seguridad de sus operaciones esté en riesgo. Javier Serrano, responsable de Seguridad Informática de esta entidad, cuestiona la forma en que se ha determinado qué webs están afectadas, un sistema denominado Heartbleed test. «sabemos que estos portales están dando información que es ambigua», ha afirmado a Teinteresa.es. «No estamos afectados, y así lo hemos contrastado con expertos de varias empresas de seguridad acreditadas«, dice Serrano.
«Varias barreras de seguridad»
«Nuestro sistema no se basa en una única medida de seguridad, disponemos de varias barreras y nuestros clientes pueden estar tranquilos«, dice este experto. Las entidades bancarias suelen disponer, como apunta, de varios mecanismos para reforzar la seguridad en sus transacciones. «Junto con barreras visibles como son contraseñas, pin, claves múltiples… existen también otros mecanismos que están en el interior de los sistemas y que analizan el comportamiento de las transacciones. Si una de ellas tiene un comportamiento que no es habitual o se dirige desde una dirección que no es conocida, se detecta. Existen sistemas de detección de intrusos, y varias herramientas para garantizar la seguridad».
Preguntado por los riesgos de la banca electrónica, se remite a un estudio realizado en Banco Sabadell según el cual «resulta más segura la banca online que las transacciones tradicionales. Es más inseguro sacar el dinero de una oficina e ir con él por la calle, que operar a través de Internet»
En opinión de este experto, el fallo «se ha magnificado. Existe, y obviamente hay portales de Internet que lo tienen. Pero se ha creado mucha confusión». Asegura que las informaciones sobre alertas de seguridad, algunas de las cuales no se hacen públicas, forman parte del día a día de su trabajo.
También fuentes de BBVA confirman a este periódico que desde la entidad se han verificado los servidores y “todos son seguros, no están afectados”. Desde esta entidad, afirman que “se ha creado una sensación de que todos los servidores de banca electrónica son vulnerables» y consideran que « se trata de una falsa alarma”. Por ello, no ven necesario un cambio de claves o contraseñas, como han aconsejado los expertos.
Por su parte, desde Caja 3, una de las que, según ADICAE, también habrían resultado afectadas, se lanza igualmente un mensaje de tranquilidad. “Hay dobles sistemas de seguridad y en ningún caso ha habido riesgo para nuestros clientes”, han asegurado a Teinteresa.es fuentes de esta entidad.