Saltar al contenido

¿Es seguro el acceso a los datos financieros en público?

¿Es seguro acceder a aplicaciones financieras como QuickBooks Online, Xero o banca online usando la Wi-Fi de Starbucks, el aeropuerto, la biblioteca u otros métodos públicos? 

En una reciente reunión de redes de contadores y contables tuvimos una discusión sobre la seguridad de usar Wi-Fi público mientras se trabaja en un portátil, tableta o teléfono móvil. Un colega en la reunión planteó que tener una red segura es importante cuando se accede a sitios no seguros, pero si se utiliza Wi-Fi público para acceder a un sitio web seguro SSL, uno que comienza con «https:» y tiene un icono de candado en la barra de URL, entonces la seguridad de la red es superflua ya que el sitio en sí es seguro.

Este punto de vista sonaba como lo contrario de lo que he escuchado de los expertos en seguridad que hablan en conferencias, como Randy Johnston del Grupo de Gestión de la Red, así que me puse en contacto con Randy para solicitar su opinión. Me dijo que no cree que sea seguro usar el WiFi público, incluso cuando se accede a un sitio web https.

¿Es seguro el acceso a los datos financieros en público?
¿Es seguro el acceso a los datos financieros en público?

También me habló de algo llamado Pineapple MiFi (disponible por 199 dólares), un dispositivo portátil de enchufe que los malos actores usan como punto de acceso intermedio. Si te conectas a un WiFi gratuito, todo el tráfico se transmitirá a través de la Piña y el nefasto propietario podrá ahora capturar y filtrar datos, UIDs y contraseñas.

Encontré esta descripción del producto en Internet: «El principal punto de acceso pícaro y el kit de herramientas WiFi pentest para operaciones de acceso cercano. Los ataques pasivos y activos analizan los dispositivos vulnerables y mal configurados». Randy señaló que también hay un software que puede ser usado para interceptar y comandar una laptop.

Para hacer su punto, mi colega me dirigió a este enlace en el sitio web de la FTC (Comisión Federal de Comercio) de los EE.UU: Consejos para usar las redes públicas de Wi-Fi. El sitio de la FTC tiene un excelente video usando un lenguaje fácil de entender sobre encriptación, redes públicas y sitios web seguros. Aquí es donde mi colega aprendió que estás seguro si estás en un sitio web https: porque esos sitios web encriptan tu información antes de ser enviada. Sin embargo, el artículo también advierte, » Si utilizas una red no segura para acceder a un sitio web no encriptado, los extraños que utilicen esa red pueden secuestrar tu cuenta «.

Mejores prácticas

Entonces, ¿cuál es la respuesta correcta? Los puntos de acceso Wi-Fi gratuitos a menudo no son seguros. La FTC sugiere lo siguiente: 

La encriptación es la clave para mantener su información segura en línea. ¿Cómo puedes estar seguro de que tu información está encriptada? 

  1. No asuma que una red pública utiliza la encriptación (de hecho, la mayoría no lo hace). Si la red le pide que proporcione una contraseña WPA o WPA2, sabe que utiliza el cifrado. 
  2. La segunda forma de proteger su información es enviarla a través de un sitio web seguro. Un sitio seguro encriptará su información, incluso si la red no lo hace. Si la dirección web comienza con https:/ entonces tu información es encriptada antes de ser enviada. La S significa «seguro». Busca https:/ en todas las páginas que visites, no sólo en la página de inicio de sesión. Si utiliza una red no segura para iniciar sesión en un sitio web no encriptado, los extraños que utilicen esa red pueden secuestrar su cuenta. 

Así que considera esto: tal vez estás trabajando en Starbucks, usando el Wi-Fi gratuito, pero sólo accediendo a https: sitios para hacer tu trabajo, como QBO o banca online. Asumiendo que nadie en Starbucks tiene un MiFi de piña, podrías estar seguro. Pero si al final de tu sesión, cierras la sesión de todo y luego decides revisar tu cuenta de Facebook, que no es un sitio https:, has usado una red no segura para acceder a un sitio web no seguro, abriendo así la puerta a los secuestradores. 

Aquí los pasos recomendados por la FTC para protegerse cuando se usa un punto de acceso Wi-Fi público: 

– Sólo se puede acceder o introducir información personal en sitios seguros que utilizan la encriptación. 

– No uses el mismo UIDPW en múltiples sitios. 

– Nunca envíe por correo electrónico información financiera, incluyendo números de tarjetas de crédito, de la Seguridad Social y de la tarjeta de crédito, incluso si la red y el sitio web son seguros.
– No te quedes permanentemente registrado en una cuenta; siempre cierra la sesión cuando termines.

Randy Johnston recomienda: 

  1. Cuando estés en público, usa un dispositivo externo, como un Jetpack de Verizon, para conectarte a Internet. Este dispositivo requiere la compra del propio dispositivo, y un plan mensual.
  2. Mejor aún, usa la ranura de la tarjeta SIM del celular en tu lapicera, en vez de un dispositivo externo. Aquí hay un artículo que encontré en línea discutiendo qué portátiles ofrecen ranuras para tarjetas sim. 
  3.  Utiliza la función de tu teléfono móvil para crear y utilizar tu propio punto de acceso al teléfono móvil. Normalmente esto implica el uso de una contraseña de teclado. Randy advierte que si usas la clave en una situación puntual, es probable que tengas una sesión segura. Sin embargo, si vas regularmente al mismo Starbucks usando la misma clave cada vez, sería prudente cambiar la clave periódicamente para que nadie la hackee. 

Conclusión

Creo que tanto yo como mi colega teníamos razón. Los usuarios deben tomar precauciones cuando usan Wi-Fi en espacios públicos, tanto protegiendo cómo se conectan a Internet como prestando atención a los tipos de sitios web a los que acceden (seguros o no). 

Randy dice que hay buenas noticias: el nuevo estándar WPA lo hará más difícil para los malos actores. Las normas aprobadas en agosto, que se finalizarán en diciembre de 2019, para el WIFI 6 y el WPA3 deberían hacer que el acceso público sea seguro. Lamentablemente, se tardará unos años más (2022?) en actualizar los puntos de acceso inalámbrico, ya que será necesario sustituir el hardware y actualizar el software. Lee más sobre esto aquí.

Jody Linick es una contable certificada por la AIPB, una asesora profesional certificada por QuickBooks® y miembro de la red Intuit TrainerWriter.  Su empresa, FitBooks Pro (antes llamada Linick Consulting), se especializa en servicios de contabilidad a distancia para empresas de servicios profesionales que utilizan QuickBooks Online. Puedes encontrar su serie de publicaciones en el blog aquí.