No es de extrañar que haya personas que desconfíen del intento de hacer desaparecer el dinero físico. Tiene que haber un back up, y algunos sistemas de ciberseguridad no lo tienen. La banca no es infalible siempre.
Postbank, la división bancaria de la oficina de correos de Sudáfrica, ha perdido 3.2 millones de dólares por transacciones fraudulentas y tendrá que reemplazar 12 millones de tarjetas para sus clientes, después de que algunos empleados conchabados imprimieran y se llevaran a casa la Key Master o llave maestra del banco.
La llave maestra es un código de 36 dígitos (clave de cifrado) que permite a su titular descifrar las operaciones del banco e incluso acceder y modificar los sistemas bancarios. También se utiliza para generar claves para tarjetas de clientes.
El incidente, según el periódico Sunday Times de Sudáfrica, tuvo lugar en diciembre de 2018 en el antiguo centro de datos de la ciudad de Pretoria. El banco sospecha de varios empleados, tras haber realizado una auditoría interna de seguridad. Auditoría que ha revelado que dichos trabajadores usaron la clave para acceder a las cuentas y realizar más de 25.000 transacciones, con lo que obtuvieron unas ganancias ilícitas de más de 3.2 millones de dólares delos saldos de los clientes. Ahora, además de haber devuelto el dinero a sus legítimos poseedores, el banco tendrá que reemplazar todas las tarjetas de clientes generadas con la clave maestra, lo que le supondrá un gasto aproximado de 60 millones de dólares.
Hay dos tipos de tarjetas, unas las de débito y crédito normales, y otras que son las que utiliza el sistema sudafricano para recibir beneficios fiscales del Gobierno, y la mayoría pertenece a esta última categoría, según ha publicado Sunday Times.
"Según el informe, parece que los empleados corruptos han tenido acceso a la clave maestra de host (HMK) o claves de nivel inferior. El HMK (Host Master Key) es la llave que protege todas las claves, que, en una arquitectura de mainframe, podrían acceder a los pines del cajero automático, códigos de acceso a la banca doméstica, datos de clientes, tarjetas de crédito, etc.", ha manifestado hoy al sitioZDNet el investigador de seguridad de Bank Security, una cuenta de Twitter dedicada al fraude bancario.
"El acceso a este tipo de datos depende de la arquitectura, los servidores y las configuraciones de la base de datos. Esta clave es utilizada por mainframes o servidores que tienen acceso a las diferentes aplicaciones internas y bases de datos con los datos almacenados del cliente. La forma en que esta clave y todas las demás claves de nivel inferior se intercambian con sistemas de terceros tiene implementaciones diferentes que varían de un banco a otro", ha manifestado el investigador.
Afirman que es la primera vez que se ha robado la llave maestra de un banco, al menos con este grado de divulgación
El incidente de Postbank es único, ya que las claves maestras del banco son el secreto más sensible de un banco y se guardan en consecuencia, y rara vez se ven comprometidas, y mucho menos robadas. Para que nos hagamos una idea, si el sistema fuera IBM, según fuentes consultadas por Escudo Digital, habría que poner la consola Trusted Key Management a una temperatura de menos veinte grados y solo se dispondría de un minuto para , ya que la multinacional informática que da servicio a los mejores bancos del mundo, tiene previsto este tipo de ataques.
"En general, según las mejores prácticas, la clave HMK se administra en servidores dedicados (con SO dedicado) y está altamente protegida contra el acceso físico (acceso simultáneo de credenciales múltiples y centro de datos restringido/separado)", han manifestado los Bank Security a ZDNet. Abajo, el hilo en la cuenta de Twitter de Security Net:
"Además, una sola persona no tiene acceso a la clave completa, sino que se divide entre varios gerentes o VIP confiables, y la clave sólo se puede reconstruir si todos son corruptos, En general, las personas y la clave se cambian periódicamente con precisión para evitar este tipo de fraude o problema, como en el caso de PostBank", ha manifestado elexperto."Hasta donde sé - añade -, la gestión de estas claves se deja a los bancos individuales y los procesos internos que regulan el cambio periódico y la seguridad son decididos por el banco individual y no por una regulación definida".