Los bancos que defienden su derecho a la seguridad no comprenden el punto sobre la confianza del consumidor.

Banks defending security fail to understand consumer trust.

Con las cifras del mercado que indican que los ataques de ciberseguridad están aumentando en volumen y sofisticación, no es sorprendente que las empresas busquen formas de proteger mejor sus activos. Los bancos, en particular, quieren fosos más grandes ya que tienen más que perder.

Sin embargo, las defensas fortificadas inevitablemente significan que los usuarios legítimos tendrán que profundizar más para acceder a los servicios. El resultado es un debate perenne sobre encontrar el equilibrio adecuado entre seguridad y usabilidad. 

También: 4 formas de evitar hacer clic en enlaces maliciosos que todos en línea deberían conocer

Y parece que un banco en Singapur podría necesitar abordar ese equilibrio después de introducir una función de seguridad que dejó frustrados a varios de sus clientes. 

OCBC lanzó la semana pasada una función que bloquea el acceso a sus servicios bancarios digitales si se detectan aplicaciones móviles que no se han descargado de tiendas de aplicaciones no oficiales, como Google Play Store y Huawei AppGallery, en el dispositivo del usuario. 

Citando la necesidad de proteger a los clientes contra el malware, el banco dijo que esta “mejora” permite que su aplicación identifique aplicaciones errantes en el dispositivo del cliente. La función de seguridad también verifica la configuración de permisos de las aplicaciones en comparación con lo que el banco considera que presenta riesgos potenciales o que son comúnmente utilizados por aplicaciones con malware. 

También: Esta nueva función de seguridad de la aplicación bancaria molesta a los clientes

Cuando se detectan aplicaciones que no cumplen ambos criterios, los clientes no podrán iniciar sesión en su cuenta a través de la aplicación móvil de OCBC o el sitio de banca en línea hasta que desinstalen o eliminen las aplicaciones “maliciosas”. 

Este alto nivel de seguridad sonaba genial, hasta que comenzaron a surgir quejas. Los clientes se encontraron bloqueados, incluso cuando las aplicaciones señaladas por la nueva función de seguridad del banco realmente habían sido descargadas de tiendas de aplicaciones oficiales. Estas aplicaciones incluían Microsoft Authenticator, LG ThinQ, CCleaner y Trend Micro. Incluso aplicaciones que fueron aprobadas por las propias aplicaciones antivirus móviles de los clientes fueron etiquetadas como riesgosas por la función de seguridad de OCBC. 

Los clientes afectados dijeron que la solución recomendada por el banco de eliminar y reinstalar las aplicaciones específicas desde tiendas de aplicaciones oficiales no funcionaba. 

En la mayoría de los casos, la respuesta de OCBC fue estándar: la nueva función de seguridad es parte de los esfuerzos para combatir el fraude y “proteger a nuestros clientes” de aplicaciones maliciosas sospechosas. “Nos disculpamos por cualquier inconveniente causado”, dijo varias veces a los clientes indignados en su página de Facebook. “Le pedimos paciencia ya que esta función tiene como objetivo proteger a los clientes de estafas de malware”.

También: Los mejores servicios de VPN (y consejos para elegir el adecuado para ti)

Esta situación parece ser un caso en el que la seguridad ha triunfado sobre la usabilidad. Me sentí aliviado, después de leer las anécdotas de los clientes agraviados de OCBC, de haber elegido otro banco. Pero luego el regulador de la industria, la Autoridad Monetaria de Singapur (MAS), se pronunció en apoyo de la función de seguridad del banco. 

“Las medidas de seguridad implicarán cierto grado de inconveniencia adicional para los clientes, pero son necesarias para mantener la seguridad y la confianza en la banca digital”, dijo MAS. “Junto con un público vigilante y perspicaz, las medidas de seguridad sólidas nos ayudarán a fortalecer nuestra defensa contra las estafas”.

Ante el papel de animador del regulador, ahora anticipo que los otros dos bancos locales importantes, incluido el mío, seguirán el ejemplo en un futuro muy cercano y lanzarán una función de seguridad similar. 

Tal vez OCBC esté pagando penitencia por protagonizar los scams de phishing del año pasado, o tal vez perdió un juego de piedra, papel o tijera y fue elegido como el primer banco en lanzar la función de seguridad, y por lo tanto, tuvo que soportar la ira de los clientes.

También: Cómo proteger y asegurar tu gestor de contraseñas

Sea cual sea el caso, el lanzamiento confuso de OCBC deja mucho que desear y plantea preguntas que toda la industria, incluido su regulador, deberá abordar de manera colectiva. 

Confianza del consumidor y responsabilidad compartida

En primer lugar, aclaremos una cosa. Esto no es simplemente una cuestión de privacidad, sino de confianza del usuario. Cuando las cosas no funcionan como se supone que deben funcionar, la confianza se erosionará. 

Los clientes del OCBC fueron asegurados de que solo debían usar aplicaciones de tiendas de aplicaciones oficiales y que así estarían bien. Pero resultó que este enfoque resultó problemático.

También: 8 hábitos de trabajadores remotos altamente seguros

Se les dijo a los clientes: “Oh, entonces el problema son los ajustes de permisos de tu aplicación”. Sin embargo, el banco se ha mantenido en secreto sobre los detalles de cuáles son estos ajustes de permisos, presumiblemente para que los delincuentes no sepan cómo evitar estas señales.

En general, la falta de información y transparencia hace que los usuarios se pregunten qué es lo que está tan mal en las aplicaciones, aplicaciones que descargaron de tiendas oficiales y que fueron desarrolladas por empresas legítimas. ¿Significa esto que empresas como Microsoft, LG y Trend Micro están lanzando aplicaciones que contienen riesgos de seguridad, según el OCBC?

Y si ese no es el caso, ¿significa esto que las aplicaciones están siendo identificadas erróneamente por una “mejora” de seguridad de un gran banco? ¿Una mejora de seguridad que debería haber sido revisada y probada rigurosamente antes de ser lanzada al público?

Entonces, ¿cuánta confianza deberían tener los consumidores en una función de seguridad que no puede distinguir correctamente entre aplicaciones legítimas y aquellas que representan riesgos reales?

También: Estos expertos están corriendo para proteger la IA de los hackers

Para empeorar las cosas, se les dice a los usuarios que sus decisiones sobre cómo desean operar sus dispositivos no son válidas. En otras palabras, esta mejora de seguridad implica “elimina tus aplicaciones problemáticas o no podrás usar las nuestras”.

Entonces, cuando las empresas sobrescriben la decisión de un cliente sobre cómo desean que sus dispositivos estén seguros, ¿los hace completamente responsables cuando se produce una violación? Creo que potencialmente debería ser así, ya que el cliente tiene poco poder de decisión sobre las aplicaciones, incluidas las herramientas antivirus, que pueden tener en su teléfono si desean seguir accediendo a su cuenta bancaria.

Recientemente tuve una conversación similar con personas de la industria, durante la cual mencioné una molestia personal con respecto a los permisos de las aplicaciones y la incapacidad o falta de voluntad de las organizaciones para explicar por qué necesitan acceso a funciones innecesarias para facilitar sus servicios.

Se me sugirió entonces que la falta de transparencia podría ser compensada con la seguridad de que estas empresas, en su propio interés, no querrían desarrollar una aplicación que pusiera en riesgo a sus clientes, dañando así su propia reputación de marca.

Yo argumentaría que esta postura no debería eximir a los clientes de asumir la responsabilidad de su propia postura de seguridad.

De hecho, el gobierno de Singapur, tal vez para deleite de las empresas, ha enfatizado repetidamente la necesidad de que los consumidores asuman la responsabilidad compartida en la protección de su higiene cibernética.

“La lucha continua contra las estafas requiere un enfoque de ecosistema, con todas las partes interesadas desempeñando su papel en mantenerse vigilantes y protegerse contra las estafas”, dijo MAS. El regulador está trabajando en un marco de responsabilidad que, según dice, dejará claro los roles y responsabilidades de las instituciones financieras, las empresas de telecomunicaciones y los clientes para estar en guardia contra las estafas en línea.

También: 5 pasos sencillos para mantener seguro tu teléfono inteligente

Si se les hace responsables y se les exige responsabilidad por su higiene en línea, ¿no deberían tener entonces el derecho de tomar sus propias decisiones sobre cómo pueden protegerse mejor?

¿Y no debería haber más transparencia y acceso a información sobre cómo las organizaciones con las que los consumidores realizan transacciones están asegurando sus servicios?

Por el bien de sus clientes (y de mi cordura), espero que los otros bancos que seguirán los pasos del OCBC hayan tomado nota y estén trabajando para garantizar que eviten un lanzamiento igualmente problemático.

Por ejemplo, ¿podría el OCBC haber mitigado algunos de los problemas ofreciendo a los clientes una “lista blanca” personal a la que puedan incluir aplicaciones inicialmente señaladas por la función de seguridad del banco? Estas aplicaciones podrían ser revisadas y evaluadas según las políticas de seguridad y agregadas a la lista blanca solo después de haberse determinado que son seguras.

Los bancos podrían establecer un límite de, digamos, tres aplicaciones en la lista blanca, para que los clientes estén motivados a priorizar las aplicaciones que son absolutamente necesarias y los bancos puedan administrar los recursos necesarios para facilitar este enfoque. También pueden utilizar herramientas de inteligencia artificial para automatizar algunos procesos y optimizar el ciclo de evaluación de la aplicación, así como mantener un repositorio de aplicaciones aprobadas, lo que reduce aún más el esfuerzo necesario para mantener la lista blanca.

Y si aún no lo están haciendo, los bancos deberían estar en contacto con los principales desarrolladores de aplicaciones, incluidos los proveedores de software antivirus, para conocer cómo sus ajustes de permisos pueden o no pasar su lista de verificación de seguridad. Esto asumiendo que ellos también eligen no revelar los detalles detrás de los permisos de la aplicación que consideran riesgosos.

También: Deja de usar tu código de acceso de 4 dígitos del iPhone en público. Haz esto en su lugar

Sobre todo, la pregunta clave que todos los bancos querrán hacerse es si están preparados para asumir toda la responsabilidad en caso de una violación de seguridad, si deciden sobrescribir las elecciones de seguridad de sus clientes.