Un nuevo estudio de la Universidad de Michigan ha encontrado que mas del 75% de los websites bancarios no precisamente lo mejor en cuanto a seguridad se refiere.
\nEl estudio estuvo compuesto de 214 sitios web de instituciones financieras, y se enfoco en fallas de dise\u00c3\u00b1o y practicas de seguridad impropias. Ninguna de estas fallas representa cuestiones de seguridad catastr\u00c3\u00b3ficas, sin embargo muchas ayudan a un acceso mucho m\u00c3\u00a1s f\u00c3\u00a1cil a las contrase\u00c3\u00b1as y los nombres de usuarios, que son una llamada atractiva para cualquier atacante.<\/p>\n
Las fallas estudiadas comprend\u00c3\u00adan lo siguiente:<\/p>\n
Sistema de ingreso inseguro<\/strong><\/p>\n Casi la mitad de los bancos examinados ten\u00c3\u00adan un sistema de ingreso \u00e2\u20ac\u0153seguro\u00e2\u20ac\u009d en paginas web inseguras, las cuales no utilizaban SSL como protocolo de comunicaciones. El no usar SSL, dice el estudio, permite la posibilidad de un ataque que pueda facilitar la intercepcion de los detalles de ingreso a las cuentas del usuario si este ingresaba mediante conexiones inalambricas (man in the middle). El estudio tambi\u00c3\u00a9n dice que la mayor\u00c3\u00ada de los bancos aseguran las partes internas del sitio, pero muchos dejan la pagina de login sin seguridad.<\/p>\n Colocando informaci\u00c3\u00b3n de contacto en paginas inseguras<\/strong><\/p>\n La mayor falla de muchas entidades (55% fallaron seg\u00c3\u00ban la prueba). Un ataque similar al anterior podr\u00c3\u00ada simplemente dar al atacante la posibilidad de cambiar los n\u00c3\u00bameros telef\u00c3\u00b3nicos listados en la pagina de informaci\u00c3\u00b3n de contactos, redirigiendo a los clientes a un call center listo para capturar su nombre de usuario y contrase\u00c3\u00b1a.<\/p>\n Redirigiendo a las afueras del banco sin una advertencia<\/strong><\/p>\n Cuando los usuarios son dirigidos a servicios terceros (como por ejemplo, sitios de pago de recibos), el banco no les advierte de dicho cambio. Un usuario puede no saber si lo que esta observando es confiable o no. Este tipo de cosas son f\u00c3\u00a1ciles de adivinar o de encontrar, especialmente las direcciones de correo. Los bancos deber\u00c3\u00adan permitir a los usuarios crear un nombre de usuario personalizado, as\u00c3\u00ad como tener una pol\u00c3\u00adtica de passwords d\u00c3\u00a9biles, pero el 28% de los bancos que se revisaron no lo ten\u00c3\u00adan.<\/p>\n Enviando al correo informaci\u00c3\u00b3n clasificada de manera insegura<\/strong><\/p>\n Cosas como reset de contrase\u00c3\u00b1as y estados financieros deber\u00c3\u00adan ser enviados de manera segura: Passwords, por ejemplo, jamas deber\u00c3\u00adan ser enviados como texto plano, sin embargo el 31% de los bancos fallaron dicha prueba.<\/p>\n El estudio completo (10 paginas, PDF) pueden ser leidos. Los sitios especificos que fallaron varias pruebas no son revelados. Tambien hay que notar que el estudio fue realizado en el 2006 (los resultados son publicados hasta ahora) asi que muchas de las cosas pueden haber cambiado desde el analisis original.<\/p>\n Fuente: <\/p>\n La mayoria de los websites bancarios son inseguros.<\/a><\/p><\/blockquote>\n
\n
\nUsar n\u00c3\u00bameros de seguridad social o direcciones e-mail como ID de usuario<\/strong><\/p>\n