El estudio estuvo compuesto de 214 sitios web de instituciones financieras, y se enfoco en fallas de diseño y practicas de seguridad impropias. Ninguna de estas fallas representa cuestiones de seguridad catastróficas, sin embargo muchas ayudan a un acceso mucho más fácil a las contraseñas y los nombres de usuarios, que son una llamada atractiva para cualquier atacante.

Las fallas estudiadas comprendían lo siguiente:

Sistema de ingreso inseguro

Casi la mitad de los bancos examinados tenían un sistema de ingreso “seguro” en paginas web inseguras, las cuales no utilizaban SSL como protocolo de comunicaciones. El no usar SSL, dice el estudio, permite la posibilidad de un ataque que pueda facilitar la intercepcion de los detalles de ingreso a las cuentas del usuario si este ingresaba mediante conexiones inalambricas (man in the middle). El estudio también dice que la mayoría de los bancos aseguran las partes internas del sitio, pero muchos dejan la pagina de login sin seguridad.

Colocando información de contacto en paginas inseguras

La mayor falla de muchas entidades (55% fallaron según la prueba). Un ataque similar al anterior podría simplemente dar al atacante la posibilidad de cambiar los números telefónicos listados en la pagina de información de contactos, redirigiendo a los clientes a un call center listo para capturar su nombre de usuario y contraseña.

Redirigiendo a las afueras del banco sin una advertencia

Cuando los usuarios son dirigidos a servicios terceros (como por ejemplo, sitios de pago de recibos), el banco no les advierte de dicho cambio. Un usuario puede no saber si lo que esta observando es confiable o no.

Usar números de seguridad social o direcciones e-mail como ID de usuario

Este tipo de cosas son fáciles de adivinar o de encontrar, especialmente las direcciones de correo. Los bancos deberían permitir a los usuarios crear un nombre de usuario personalizado, así como tener una política de passwords débiles, pero el 28% de los bancos que se revisaron no lo tenían.

Enviando al correo información clasificada de manera insegura

Cosas como reset de contraseñas y estados financieros deberían ser enviados de manera segura: Passwords, por ejemplo, jamas deberían ser enviados como texto plano, sin embargo el 31% de los bancos fallaron dicha prueba.

El estudio completo (10 paginas, PDF) pueden ser leidos. Los sitios especificos que fallaron varias pruebas no son revelados. Tambien hay que notar que el estudio fue realizado en el 2006 (los resultados son publicados hasta ahora) asi que muchas de las cosas pueden haber cambiado desde el analisis original.

Traducido de http://tech.yahoo.com/blogs/null/101304

También puede interesarte...

• La seguridad en las transacciones electrónicas

El Grupo Bancolombia ofrece en su portal de servicios algunas recomendaciones importantes para asegurar nuestras transacciones electrónicas. El sistema de publicación es bastante agradable visualmente, sumado a un amplio contenido que abarca los siguientes temas:

Seguridad virtual
Phishing
Robo de clave
Espía en la red
Intruso virtual
Virus
Reenvío en serie

Seguridad física
El samaritano
La clonación
Robo de tarjeta

Ver recomendaciones de seguridad en las transacciones electrónicas

También puede interesarte...

• 101 Libros de Seguridad Informática Gratis
• BugCON 2012
• Cursos Gratis de Seguridad Informática Online
• Curso Gratis de Seguridad y Redes en el Sena Virtual
• Entrevista a Dani Creus y Mikel Gastesi – Fraude Online
• winAUTOPWN – Ataques automáticos de entornos Windows
• HackArmoury herramientas de seguridad siempre disponibles
• Nuestros Retos Forenses