Se han detectado fallas en los dispositivos de seguridad utilizados para autenticar a los clientes en la banca online, según reporta computerweekly.com.
Investigadores de la Universidad de Cambridge encontraron debilidades al realizar ingenieria reversa sobre lectores de tarjetas de los bancos Barclays y Natwest.
En estos bancos los clientes utilizan lectores de tarjetas en conjunto con una tarjeta bancaria para producir una password de un sólo uso (OTP). Los bancos introdujeron estos lectores para reducir las perdidas debido a estafas por Phishing y Software de registros de tecleos (Keyloggers). En Chile no se utiliza estos dispositivos ya que se ha optado por una clave dinámica en base a tokens o tarjetas de coordenadas según el banco.
Los resultados se han presentado en un paper «Optimised to Fail: Card readers for online banking» («optimizados para fallar: lectores de tarjetas para la banca online«). «Encontramos númerosas debilidades sujetas a diseños de error como la reutilización de tokens de autenticación, sobrecarga de semánticas de datos, y fallos al no garantizar la frescura de la respuesta. El error estratégico general fue una excesiva optimización«, aseguraron los investigadores.
Algunos de las vulnerabilidades qeu los investigadores han encontrado son robo de tarjeta, implementaciones en base a software, hombre en el medio, infiltración de la cadena de suministro, ingeniería social y debilidades del protocolo, se recomienda referirse al paper para más información.
