carlosbacalla.com: Un estudio desvela que el envío de información confidencial por e-mail o la publicación de datos de contacto en sitios online poco fiables son algunos de los fallos de seguridad más recurrentes entre los portales bancarios en Internet.
El informe, realizado por investigadores de la Universidad de Michigan, incluye análisis de más de 200 entidades financieras, entre las que se cuentan los principales bancos internacionales.Pese a señalar las principales amenazas en materia de seguridad de las ‘oficinas online’ de las entidades, los responsables del estudio concluyen con que ninguno de esos fallos representan “problemas catastróficos para la seguridad”.
No obstante, estas “debilidades en el diseño de seguridad” pueden ponérselo fácil a quienes practiquen el ‘phising’, ya que “no protegen al 100% de posibles interceptaciones de contraseñas y usuarios”. Cabe destacar que según los últimos datos publicados España ha vuelto a repetir como primer país emisor de ‘phising’ del mundo.
A este respecto, los investigadores estadounidenses explican que la mayoría de los bancos ‘blindan’ casi todo su espacio cibernético pero que muchos se olvidan de “vigilar la puerta principal”, esto es, la página de acceso a la intranet del usuario. “Estos olvidos pueden acabar convirtiéndose en una llamada para algún ‘hacker’ malicioso”, advierten.
Cerca de la mitad de los bancos examinados disponen de sistemas de verificación de la identidad del usuario que garantizan la seguridad del mismo, “el problema es que estos a estos sistemas se accede a través de páginasque no ofrecen esas mismas garantías”.
El ‘ataque del hombre en el medio’ es uno de los más frecuentes en estos espacios de los portales bancarios. Según los expertos se debe a que “al no usar el protocolo SSL, es muy fácil que alguien intercepte los datos de la contraseña o usuario” si el cliente está intentando acceder a su banco mediante el uso de una red inalámbrica.
Mostrar o guardar la información de contacto en páginas calificadas como ‘inseguras’ es el error de seguridad más recurrente. Así se ha constatado en el 55% de los bancos auditados del informe. La amenaza que más preocupa a quienes sufren esta debilidad del sistema es ser víctima de un ataque similar al anterior.
En este caso, el ‘hacker’ o pirata informático podría “simplemente cambiar el número del teléfono de contacto facilitado en la página real, de forma que se dirija automáticamente a los futuros visitantes de ese sitio a un centro de llamadas habilitado para quitarles su nombre de usuario y su contraseña”.
Dirigir al usuario fuera del banco sin previo aviso a las páginas de terceros –como los sitios de pago o las ventanas de consulta del extracto de la cuenta de ahorro– es otro de los “grandes fallos cometidos por estas entidades”, explican los analistas. “No se avisa a los clientes y estos no tienen por qué saber si el lugar al que les están mandando es seguro o no”.
Usar el número de la Seguridad Social o la dirección de correo electrónico como usuario “es demasiado fácil de adivinar y no deberían permitir utilizar estas opciones”.
En la misma línea, “los bancos deberían permitir a sus clientes crear su propio nombre para navegar por estas páginas, además de tener una política más exigente sobre los ‘nicks’ fáciles de descifrar”. El 28% de los bancos encuestados “ni lo tienen, ni se lo plantean”.
Cosas como las actualizaciones de las contraseñas o los comunicados sobre el estado de las cuentas deberían enviarse de modo seguro”, subrayan los especialistas en seguridad informática que resume Christopher Null.