Simple, pero no estúpido

Simple, pero no estúpido

De vez en cuando, me encuentro con lapsos de seguridad tontos de personas que deberían saber mucho mejor, como la organización financiera que me telefoneó sobre una transacción de crédito en línea y solicitó mi contraseña como prueba de que estaban hablando con el titular de la cuenta. Le expliqué pacientemente que si bien sabían quién era porque habían iniciado la llamada, no tenía pruebas de quiénes eran y, por lo tanto, no les daba mi contraseña o cualquier parte de ella. En cambio, sugerí que me dijeron el tercer, cuarto y octavo alfa-numéricos de mi contraseña y si estos fueran correctos, les daría el resto. Esto fue rechazado y, durante el breve pero acalorado debate que siguió, se hizo evidente que la persona en el otro extremo del teléfono no podía entender por qué estaba "siendo tan difícil". Finalmente acordamos que los volvería a llamar y continuaría la conversación de esa manera, pero expuso un malentendido de cómo funciona la seguridad que no debería existir hoy en día.

También lo hace una historia del proveedor de pagos en línea Nochex y sus solicitudes de prueba de identidad que me llamaron la atención un lector. Nocchex también pertenece a la categoría "debería saber mejor", habiendo estado involucrado con el negocio de pagos seguros durante más de seis años. He usado nochex y siempre encontré su transferencia de datos cifrada y almacenamiento, y su uso de las mismas ubicaciones de servidor segura que muchos bancos de alta calificación, muy tranquilizador. Sin embargo, como sucede tan a menudo, de alguna manera la trama se perdió en detalles periféricos: en este caso, confirmando la identidad de un cliente "caducado" que deseaba reactivar su cuenta.

Configurar una nueva cuenta de NoChex no es un problema, siguiendo una ruta bien transmitida solicitando detalles de la cuenta bancaria y un pequeño depósito. Solo después de confirmar el monto de ese depósito y la referencia que lo acompaña está activada por su cuenta. Sin embargo, como explicó mi usuario preocupado, las cosas eran diferentes cuando, al no haber usado su cuenta durante un año o dos, descubrió que había sido desactivado.

Eso en sí mismo es una seguridad bastante sólida, por supuesto, y algo que cualquiera que haya tenido una cuenta inactiva de eBay secuestrada por los estafadores hubiera preferido enormemente. El proceso de reactivación parecía sencillo, lo que requiere que un formulario se descargue y devuelva a Nochex, pero también solicitó copias de una factura de servicios públicos, un banco y extractos de tarjetas de crédito recientes (todos los documentos valiosos para los ladrones de identidad) que se enviarán a través de Snail Mail.

Toda esta invaluable documentación personal tuvo que enviarse a una dirección que comenzó "Reactivación de cuentas, NoChex Ltd", un lapso notable en sentido común equivalente a rellenar su pasaporte y chequera en un sobre y escribir en él "Documentos de identidad vital, no lo hagan. robar".

¿Nadie en Nochex pensó en usar una caja de PO anónima para este tipo de tráfico, o eliminar los documentos físicos por completo?? Esta era una cuenta retirada, por lo que eliminarla por completo después de varias advertencias de correo electrónico tendría más sentido, y el usuario tenía que registrar una nueva cuenta en la misma dirección de correo electrónico utilizando el proceso de confirmación digital segura existente. Para empeorar las cosas, el usuario ni siquiera recibió ninguna confirmación de que sus documentos hubieran llegado, o cualquier respuesta a una solicitud de que las copias del documento se triture lo antes posible. Eventualmente recibió un correo electrónico diciendo que su cuenta había sido reactivada, lo que no hizo nada para aliviar su preocupación.

Nochex ha sido informado de mis inquietudes y un portavoz me asegura que se toma muy en serio la seguridad del usuario y la integridad. "Los criterios de identificación y los procesos para reactivar las cuentas y confirmar la identidad de nuestros clientes se revisan regularmente", dijo. “Gracias por plantear las preocupaciones del Sr. X y podemos confirmar que nos hemos puesto en contacto con el Sr. X para confirmar la recepción segura de su información y la destrucción segura de esa información."Esperemos que prevalezca el sentido común y este estado de cosas se rectifica rápidamente.