Saltar al contenido

¿Es seguro el capital personal? Seguridad del capital personal explicada

Utilizo Personal Capital mensualmente para recopilar información sobre mi patrimonio neto. He estado en esto por más de una década.

Cuando le digo a la gente que uso una herramienta para hacerlo, todos me hacen la misma pregunta: ¿es seguro Capital personal?

La seguridad es una de las mayores preocupaciones que las personas tienen con cualquier agregador financiero o herramienta. Ya sea Mint, Personal Capital u otro servicio, poner sus datos en la "nube" puede ser desconcertante. Esto es especialmente cierto dada la cantidad de hacks que hemos visto recientemente. Equifax, una de las mayores agencias de informes de crédito, fue pirateada y se robaron sus datos a 143 millones de consumidores. Fue enorme

¿Cómo sabe que sus datos estarán seguros en otra empresa?

Se reduce a dos partes clave: cómo protegen su información cuando la tienen y cómo protegen la transmisión de su información mientras la obtienen.

Dos áreas clave de seguridad

Cuando se trata de aplicaciones financieras y seguridad, hay dos piezas clave a tener en cuenta:

  1. Cuán seguros son mis datos – Cuando le da a la herramienta sus datos, ¿cómo se almacenan y protegen? ¿Qué se almacena y dónde se almacena? ¿Cómo se monitorea a los empleados para evitar cualquier tipo de robo?
  2. ¿Qué tan segura es la conexión? – Cuando te comunicas con la herramienta, ¿qué tan segura es esa conexión? Cuando inicia sesión, cuando ve sus datos, cuando actualiza algo, cuando les da sus credenciales … la transmisión de esos datos está sujeta a riesgos.

La información que ingresa en el sistema debe ser segura en su lugar de almacenamiento. La forma en que comunica esa información también debe ser segura.

¿Cuán seguros son mis datos en la nube?

Una de las mayores preocupaciones de las personas con herramientas como Personal Capital es tener sus datos en la "nube".

Me acerqué a David M. Parker, Asst. Prof., Div. de Contabilidad y Finanzas y Director del Centro para el Estudio del Fraude y la Corrupción en la Universidad Saint Xavier, por sus opiniones sobre servicios como Mint y Capital Personal. Compartió algunas ideas valiosas sobre cómo sopesar los riesgos potenciales y las recompensas del uso de herramientas basadas en la nube:

David Parker, SXU

David M. Parker, Asistente Prof., Div. de Contabilidad y Finanzas y Director, Centro para el Estudio del Fraude y la Corrupción

Con respecto a las ideas generales sobre el almacenamiento de datos en la nube al dar sus datos a Amazon, Microsoft, Dropbox, Equifax, su banco, Google, Facebook o quien sea … ¿es seguro? Las noticias recientes revelan las muchas, muchas compañías que han sufrido violaciones de datos a manos de ciberdelincuentes.

¿Se pueden robar sus datos si los entrega a la nube? Sí.

Por lo tanto, decide mantener sus datos seguros en casa. ¿Puede ser robado? También si. Los delincuentes cibernéticos pueden entrar en la computadora de su hogar, el wifi de su hogar, su termostato o timbre habilitado para Internet, etc.

Los puntos a favor de la nube incluyen que una gran empresa como Amazon o Microsoft podría tener más recursos y ser mejor en seguridad defensiva que en casa. Y, ciertamente, lo mejor para sus negocios es hacer lo mejor para mantenerse seguros. También ofrecen almacenamiento redundante hasta el punto de que no solo habría almacenado sus datos en el hogar donde su disco duro podría explotar o su casa se quemaría con sus datos. Por lo tanto, a menudo es un riesgo aceptable.

No tengo experiencia personal directa con Mint o Personal Capital. Según tengo entendido, estos servicios de agregadores de datos financieros de terceros es que funcionan reuniendo todos sus datos financieros en un solo lugar y ofreciendo a sus clientes la conveniencia resultante de los buenos gráficos y cuadros. Esto significa que necesitan trabajar con su banco, corredor, etc. para obtener acceso a sus transacciones. La extensión y el tipo de acceso que podrán obtener dependerá de si la institución financiera los ve como un socio o un competidor.

Un problema que me viene a la mente es el tamaño de la superficie de ataque. Si su banco y su agregador tienen una copia de su información, le da al criminal dos posibles objetivos para robarla. Además, si toda su información se recopila en un solo lugar, en lugar de tener que ingresar en varias cuentas, el criminal ahora tiene una ventanilla única.

Siempre habrá riesgos. Ningún sistema será nunca perfectamente seguro. Siempre habrá vulnerabilidades y malas personas dispuestas a explotarlas. Pero, siempre se reduce a un juicio individual sobre si el riesgo es razonable o mínimo en comparación con el beneficio del servicio.

Sus datos no son 100% seguros en casa y no son 100% seguros en la nube.

Pero las empresas en las que confía con sus datos tendrán protecciones ("seguridad defensiva") para protegerlo.

Echemos un vistazo más de cerca a Capital personal y lo que hacen para proteger sus datos.

¿Qué tan seguros están mis datos en Personal Capital?

¿Le preocupa que sus datos se almacenen en los servidores de Personal Capital?

El tipo con el que quieres hablar cuando se trata de seguridad en Personal Capital es Fritz Robbins. Es su director de tecnología y director de información. Tiene más de 20 años de experiencia en su campo, incluyendo una etapa de tres años como Arquitecto de Sistemas en RSA Security y 8 años dirigiendo su propia compañía de ingeniería de software de ciclo de vida completo. Él tiene un M.S. en Informática de la Universidad de Stanford para arrancar.

(también, por lo que vale, el fundador de Personal Capital, Bill Harris, cofundó PassMark Security, una compañía que construyó sistemas de autenticación en línea utilizados por la mayoría de los principales bancos, y Fritz Robbins también estuvo con esa compañía)

Le pregunté a Fritz sobre seguridad y mencionó algunos de los puntos que profundizaré más abajo:

Fritz Robbins, CTO / CIO de Capital Personal

Nuestro punto de vista es que ver sus cuentas bancarias y de corretaje a través de Personal Capital es * más seguro * que ir directamente al sitio bancario / de corretaje desde su navegador. Tocaste muchas de las razones por las cuales:

  1. Sus credenciales se almacenan en un centro de datos seguro en lugar de transmitirse siempre a través del navegador del usuario (generalmente menos seguro)
  2. La conexión es de solo lectura y no se puede transferir dinero de su cuenta bancaria / corretaje a través de Personal Capital, y sus contraseñas bancarias / corretaje nunca se devuelven a su navegador desde nuestros servidores.
  3. Nuestro servicio le notifica todas las transacciones bancarias / de corretaje (por correo electrónico o notificaciones push móviles) que le facilitan el monitoreo de sus cuentas bancarias / corretaje por fraude, ¡todo en un solo lugar!

No por nada, pero conocer las habilidades de seguridad del equipo detrás de Personal Capital me da la confianza de que están en la cima de su juego.

Hay dos formas en que Personal Capital mantiene sus datos seguros:

  • Utilizan cifrado muy potente y,
  • Tienen estrictos controles de acceso interno.

Primer rápido sobre cifrado

(haga clic para expandir esta sección y lea un manual sobre cifrado)

El cifrado es fascinante. La idea básica detrás del cifrado es que tiene dos claves, una clave pública y una clave privada.

Si desea cifrar algo que solo yo puedo leer, necesita mi clave pública. Cifras tu mensaje con mi clave pública y luego das el mensaje cifrado. La única forma de descifrarlo es usando mi clave privada (que nunca compartiría). Si quiero enviarle algo encriptado, necesitaré su clave pública para encriptarlo. Entonces solo usted puede descifrarlo usando su clave privada.

Básicamente, las comunicaciones encriptadas modernas funcionan de esta manera. Existen variaciones para hacerlo más seguro, según sus necesidades (más aros = más seguro = más tiempo).

Por ejemplo, una variación clásica es confiar en teclas de "sesión" en lugar de teclas "permanentes". Es como usar un número de tarjeta de crédito temporal en lugar de uno real. Para cada conversación, crea nuevas claves que caducan una vez finalizada la sesión.

Otra variación es cómo obtenemos las claves públicas entre sí. Simplemente podemos publicarlos, y eso normalmente está bien, o podemos usar lo que se conoce como el intercambio de claves Elliptic Curve Diffie-Hellman (ECDHE). Son más claves temporales que solo nosotros dos usaríamos para esta única sesión. Esto es lo que utiliza Capital Personal.

AES-256 es una encriptación seriamente seria.

Cuando ingresa sus credenciales bancarias en Personal Capital, lo cifran con AES-256 con administración de claves de múltiples capas, que incluye la rotación de claves y sales específicas del usuario. AES-256 es el Estándar de cifrado avanzado (AES) y es el estándar de oro según lo determinado por NIST, el Instituto Nacional de Estándares y Tecnología de los Estados Unidos. 256 se refiere a la longitud de la clave utilizada y 256 bits es la más larga. También es el mismo cifrado utilizado por el gobierno de los Estados Unidos.

Nunca almacenan sus credenciales de inicio de sesión financiero. Esos datos están encriptados y almacenados en Envestnet Yodlee, una plataforma que impulsa una larga lista de servicios financieros y herramientas y empresas de gestión de patrimonio. Yodless es auditado periódicamente por la Oficina del Contralor de la Moneda y sus procesos de seguridad están disponibles aquí.

En cuanto a los controles de acceso interno, nadie en Personal Capital tiene acceso a sus credenciales. Cero.

¿Qué tan segura es la conexión con el capital personal?

Sus datos están seguros y encriptados en sus servidores, pero primero debe llegar allí sin que alguien mire.

Ahí es donde el cifrado juega otro papel más.

Toda su interacción en línea con Personal Capital está encriptada, por lo que nadie puede descifrar lo que se está comunicando con los servidores de Personal Capital. Prefieren TLS 1.2 pero también admiten TLS 1.1 y TLS 1.0. No permiten otros protocolos menos seguros. En el cifrado, debe intercambiar claves durante una sesión de comunicación y utilizan el intercambio de claves ECDHE para Perfect Forward Secrecy (lea el manual de cifrado para obtener más información).

También requieren autorización de 2 factores. Esto significa que si inicia sesión desde un dispositivo nuevo o desconocido, ellos confirmarán que es usted a través de su teléfono o correo electrónico (usted elige cuando lo configura). ¡Siento que es imprescindible para cualquier institución financiera y hay algunos bancos que aún no lo tienen!

Finalmente, NowSecure y el proceso de certificación de AppSecure prueban sus aplicaciones.

Cómo protege el capital personal contra el fraude

Hasta este punto, solo hemos hablado sobre cómo Personal Capital lo protege a usted y a sus datos. ¿Qué pasa si los datos son malos?

¿Qué pasa si su tarjeta de crédito se usa de manera fraudulenta? Personal Capital supervisa sus transacciones y puede enviarle un correo electrónico del Monitor de transacciones diarias que enumera todo lo que ha visto ese día. En lugar de revisar su estado de cuenta al final del mes, lo revisa diariamente cuando su memoria está fresca. Es posible que no recuerde una transacción de hace dos semanas, pero si sucedió hoy, lo hará.

Personalmente configuré notificaciones de transacciones por cualquier cantidad superior a $ 0 o $ 1 (depende de la tarjeta, algunas no le permitirán hacer $ 0), pero esta es una buena alternativa si considera que el nivel de notificaciones es excesivo (probablemente lo sea).

¿Es seguro el capital personal?

Sí, Capital Personal podría ser más seguro que su banco.

(Esta es la preocupación que más preocupa a las personas).

¿Cómo va a ser más seguro el Capital Personal que su banco?

Hacen todo lo que hace su banco y más, en algunos casos:

  1. Es de solo lectura. Cuando conecta sus cuentas a Personal Capital, Personal Capital no puede hacer cualquier cosa excepto leer los datos. No puedes transferir fondos.
  2. No es un objetivo atractivo. Es de solo lectura y sus credenciales se almacenan en otro lugar (Yodlee).
  3. Tiene autorización de 2 factores. No todos los bancos tienen autorización de 2 factores (sorprendente pero cierto), pero Personal Capital sí. Es una capa de seguridad adicional y necesaria.
  4. Cifran todo a 256 bits. Contra un ataque de fuerza bruta, tomaría mil millones de millones de años.
  5. Un punto de acceso para múltiples bancos significa que no tiene que iniciar sesión en cada uno de esos bancos individualmente. De hecho, cuando inicia sesión en su Capital personal, nunca tiene que ingresar sus credenciales bancarias para que nunca se transmita. Si su computadora está comprometida por malware o un keylogger, sus cuentas financieras están seguras.

Nada es 100% seguro

Como dicen, lo único que es 100% seguro es la abstinencia.

Nada más es 100% seguro. Capital personal no es 100% seguro.

Si agrega otra capa al sistema, es otra capa que puede ser atacada.

Dicho esto, debe sopesar los beneficios que obtiene al usarlos (puede leer mi revisión de Capital Personal para ver todo lo que me gusta y no me gusta de ellos) frente a la pequeña posibilidad de que puedan ser atacados.

Personalmente me siento cómodo con su uso, pero eso es en última instancia para que usted decida. Han implementado todas las protecciones adecuadas, a menudo estándares más altos de lo requerido, y eso es lo suficientemente bueno para mí.

Echa un vistazo a Capital personal

Otras publicaciones que puede disfrutar

Califica este Articulo!