De esos 100 bancos se han analizado sus 100 páginas web, 2366 subdominios, 102 aplicaciones web de banca electrónica, 55 aplicaciones móviles y 298 APIs de banca llevando a cabo test de seguridad SSL, tests de seguridad web, test de seguridad de aplicaciones móviles y tests de phishing.
|
etiquetas: hacking , cyberseguridad , santander , bbva , caixabank , sabadell
El hecho de poner el dinero, es decir la herramienta que los humanos usamos para intercambiar bienes y servicios entre nosotros, como una funcionalidad de ese sistema es uno de los mayores errores que estamos cometiendo actualmente. Más que nada porque si ponemos nuestra capacidad de intercambiar bienes y servicios en manos de un sistema tan vulnerable, tan inseguro y tan poco fiable, no podemos luego sorprendernos de que nos quiten el control de nuestras finanzas personales y, con ello, nos quiten todas nuestras libertades individuales de un plumazo.
Para acceder a mis correos electrónicos utilizo claves aleatorias de 14-16 caracteres (no forma palabras, ni acrónimos, ni nada, aleatorio 100%) Mas 1.82 x 10 20
combinaciones posibles
Para acceder a las cuentas banca electrónica utilizo claves de 6 dígitos (Solo hay 1M de combinaciones posibles)
No obstante, por muy grande que sea ese número... si te equivocas 3 veces se bloquea el inicio de sesión y te toca llamar al banco. Aunque solo sea 1 millón de combinaciones posibles, la probabilidad de acercar la clave sería de un 0.000003%.
Pero para mover dinero seguro que te piden una tarjeta de coordenadas, o una clave mandada a tu móvil, o ambas.
"tan vulnerable, tan inseguro y tan poco fiable"... lo que hay que leer
InternetLa vida en general, englobando toda ella, es una mierda de sistema frágil y vulnerable. A partir de ahí tienes el problema de que si el único ordenador seguro es aquél que nunca se enciende, la única vida segura es aquella que nunca ha nacido y eso es gran un problema, así que lo único que podemos hacer es seguir viviendo protegiéndonos en la medida de lo razonable y cruzar los dedos para no tener ninguna desgracia.Con Internet igual, seguiremos adelante, protegiéndonos en la medida de lo razonable y por lo demás... cruzar los dedos. O eso o mejor no nacemos porque no hay nada perfecto, así que no sé por qué pretendemos que Internet lo sea. La seguridad en Internet, concretamente en los bancos, es razonablemente buena, igual que en tu vida.
El phishing en España, por suerte, es bastante reducido y suele cantar bastante porque los email y esas cosas parecen traducidos con un traductor automático. Pero en Yankilandia, donde hay más dinero y cualquier nigeriano te escribe un inglés decente la cosa está más complicada.
Y si os parece que el picar con un phishing es de tontos es que no habéis visto un phishing dirigido, con todos tus datos, incluyendo tu dirección y productos que tienes contratados. Los internautas de a pie, por suerte, no sufrimos estas cosas. Pero leed un poco sobre la "Estafa del CEO", un phishing dirigido y complejo, y flipad....
www.incibe.es/protege-tu-empresa/avisos-seguridad/fraude-del-ceo
Lo que un servicio tan peligroso como una banca online debe tener es un servicio de respuesta inmediata ante ataques. Algo que incluya la detección y la respuesta.
De ahí mi comentario. Últimamente hay campañas de scam incluso de renovaciones fake de dominios, con pasarela de pago Redsys y todo...
Decir que una web de un banco no es segura porque su TLS no es A+ ... tampoco es seguro ir a retirar dinero del cajero porque hay un mendigo durmiendo dentro ¡no te jode!
Luego, el propio banco te da servicios, como un SMS automático si un pago supera cierta cantidad.
Mete la contraseña mal 4 o 5 veces y la anulan para siempre y tienes que volver al banco para resetearla. No se si en todos, pero es común. Eso hace que los reinitentos de averiguar la contraseña que tienes no son tantos.
Vamos, un imposible.
(Aunque claro está, es necesario conoce el usuario que utilizan para loguearse)
Muchas empresas pagaría por saber cuanto dinero tienes en el banco, y a que lo destinas
Eso está en casi cualquier servicio de la vida real. Si fallas mucho al meter la contraseña de tu correo electrónico también se bloquea (y eso que tu correo lo conocerá mucha gente) o el pin/patrón/huella dactilar del móvil.
De todas formas, los que trabajan en los bancos tampoco son inútiles (o no deberían serlo
Esto es un concepto de seguridad ya antiguo a estas alturas. El objetivo no es saber quién se ha conectado sino saber que la transacción ordenada es auténtica.
Irónico off
¿Oiste nunca el podcast del Gibson de cuando se topó a la inventora del yubikey en una feria? Yo digo que ahí hubo sexo(1). Antes que eso no la conocía absolutamente nadie.
(1) Sabido es que el Gibson estaba divorciado de un poco antes. Cuando inventó el algoritmo de recuperar sectores defectuosos de discos mecánicos y su mujer le dijo "¿para que lo quieres si ya tienes el dinero de esos idiotas?". Echó de casa a esa abogada y diría yo que solo liga con ingenieras.
el 141
Pero un puente por lo general no se cae y una catedral de varios siglos de antigüedad aguanta a la intemperie (excepto alguna, que se quema, ejem...).
Creo que es un problema cultural del mundo de la empresa. El intrusismo y la falta de conocimientos que se ve en desarrollos de TI deja en evidencia la falta de atención a muchos aspectos críticos, desde un buen diseño hasta atención a vulnerabilidades. ¿Te imaginas ser un recién licenciado en química, que te den un libro de 300 páginas o 2-3 tutoriales de internet, y te pongan a hacer las paredes, el suelo o la fontanería de una casa? ¿Te imaginas buscando por internet cómo hacer que los cables que soportan el peso de un puente aguanten dicho cálculo, si sabes calcularlo?
Pues obviamente un portal para una tienda de ropa no tiene la misma escala o importancia que un rascacielos de 50 plantas o un puente colgante, pero la mayoría de las empresas escatiman en costes, no pagan a un experto o auditorías suficientes de seguridad regularmente. Sin embargo sí contratarían a una empresa de seguridad para vigilar su rascacielos y cumplirían con la normativa e inspecciones.
Estoy cansado de ver gente, Jr. y Sr. manejar y desarrollar sobre frameworks y sistemas que no conocían, en muchos casos sin importarles tampoco, y tirar así durante meses/años. Y no hablamos tampoco de estar al día en cuanto a seguridad y vulnerabilidades, si no simplemente de conocer las mejores prácticas y entender lo que estás manejando. No quedarte para siempre en tu minicapa de abstracción.