La mayoria de los websites bancarios son inseguros.


Un nuevo estudio de la universidad de Michigan ha encontrado que mas del 75% de los websites bancarios no precisamente lo mejor en cuanto a seguridad se refiere.

El estudio estuvo compuesto de 214 sitios web de instituciones financieras, y se enfoco en fallas de diseño y practicas de seguridad impropias. Ninguna de estas fallas representa cuestiones de seguridad catastróficas, sin embargo muchas ayudan a un acceso mucho más fácil a las contraseñas y los nombres de usuarios, que son una llamada atractiva para cualquier atacante.

Las fallas estudiadas comprendían lo siguiente:

Sistema de ingreso inseguro

Casi la mitad de los examinados tenían un sistema de ingreso “seguro” en paginas web inseguras, las cuales no utilizaban SSL como protocolo de comunicaciones. El no usar SSL, dice el estudio, permite la posibilidad de un ataque que pueda facilitar la intercepcion de los detalles de ingreso a las cuentas del usuario si este ingresaba mediante conexiones inalambricas (man in the middle). El estudio también dice que la mayoría de los aseguran las partes internas del sitio, pero muchos dejan la pagina de login sin seguridad.

Colocando información de contacto en paginas inseguras

La mayor falla de muchas entidades (55% fallaron según la prueba). Un ataque similar al anterior podría simplemente dar al atacante la posibilidad de cambiar los números telefónicos listados en la pagina de información de contactos, redirigiendo a los clientes a un call center listo para capturar su nombre de usuario y contraseña.

Redirigiendo a las afueras del banco sin una advertencia

Cuando los usuarios son dirigidos a servicios terceros (como por ejemplo, sitios de pago de recibos), el banco no les advierte de dicho cambio. Un usuario puede no saber si lo que esta observando es confiable o no.

Usar números de seguridad social o direcciones e-mail como ID de usuario

Este tipo de cosas son fáciles de adivinar o de encontrar, especialmente las direcciones de correo. Los bancos deberían permitir a los usuarios crear un nombre de usuario personalizado, así como tener una política de passwords débiles, pero el 28% de los bancos que se revisaron no lo tenían.

Enviando al correo información clasificada de manera insegura

Cosas como reset de contraseñas y estados financieros deberían ser enviados de manera segura: Passwords, por ejemplo, jamas deberían ser enviados como texto plano, sin embargo el 31% de los bancos fallaron dicha prueba.

El estudio completo (10 paginas, PDF) pueden ser leidos. Los sitios especificos que fallaron varias pruebas no son revelados. Tambien hay que notar que el estudio fue realizado en el 2006 (los resultados son publicados hasta ahora) asi que muchas de las cosas pueden haber cambiado desde el analisis original.

Traducido de http://tech.yahoo.com/blogs/null/101304


Si te ha gustado el post, compartelo y ayudanos a crecer.

Unete a nuestra Fanpage Siguenos en Twitter

Autor: DragoN

Ingeniero en Sistemas y Telecomunicaciones de la Universidad de Manizales. Information Security Researcher con más de 10 años de experiencias en Ethical Hacking, Pen Testing y Análisis Forense. Docente Universitario en Pre y Post-Grado, Speaker y Organizador de diferentes eventos de Seguridad Informática, Co-Fundador del ACK Security Conference y Fundador de DragonJAR SAS y de La Comunidad DragonJAR, una de las comunidades de seguridad informática mas grandes de habla hispana y referente en el sector.

Compartir este Artículo