[HACK] Seguridad bancos online

merce at grn.es merce at grn.es
Fri Dec 20 12:52:03 CET 2002 

11:24 17/12/02


¿ES SEGURA LA BANCA ONLINE?


Mercè Molist
¿Podría  un  intruso  colarse  en  un  banco  o  caja  a  través de su
ventanilla  en  la  web y husmear cuentas de clientes? La respuesta es
sí,  un secreto a voces que comparten, a partes iguales, las entidades
financieras  y  la  comunidad  hacker.  Hace unos meses, en Suecia, un
joven congregó a la prensa para mostrarles cómo entraba en tres de los
cuatro  bancos  más  importantes  del  país, aprovechando un fallo muy
conocido  en  su  servidor  web  marca Microsoft. Hizo transferencias,
interceptó  tráfico  de  clientes,  consiguió  acceso total ("root") y
nadie pudo seguirle.

Madfran,  miembro  del grupo hacker español SET, sólo pone en duda que
el intruso se llevase dinero: "Lo que está en peligro son los datos de
los  clientes,  pero  difícilmente  su  dinero.  Si  das  una orden de
transferencia  quedas  retratado en todos los puntos de destino, salvo
que  organices  un  complejo  sistema de enlaces entre cuentas". Es el
punto  fuerte  de  la banca electrónica, pero eso no evita que algunos
hackers  se  diviertan  curioseando  en  sus  entresijos  y, de vez en
cuando, se atrevan a contarlo.

El  servicio  web  es sólo uno de los caminos para entrar en un banco.
Programas mal configurados, la inocencia de los clientes que envían su
contraseña en respuesta a mensajes electrónicos fraudulentos, escuchas
en  línea,  son  otros  métodos.  Según Madran, "en un rápido muestreo
hecho  en  España, de seis bancos, dos establecían una conexión segura
SSL  "después"  de  autentificarse,  lo  que significa que alguien con
paciencia  y situado en el mismo nodo, puede espiar el identificador y
contraseña".

Otro  camino  es  atacar  las  compañías que operan con el banco. Dice
Madfran:  "Un  ataque  así puede ser interpretado por el banco como un
movimiento,  tal  vez inusual pero legal. Todas las operaciones que el
intruso  haya  generado  serán  objeto  de litigio entre el banco y el
cliente,  dificultando  las  acciones para clarificar lo sucedido. Una
variante  del  caso  anterior  es  la  intrusión desde el interior del
propio  banco,  instalando  programas  que  permitan la entrada por el
exterior:  muchos  bancos  se  han  pasado  a redes "ethernet", lo que
facilita enormemente la instalación de bichos raros desde dentro, para
anular sus defensas".

¿Existe  algún  modo  de saber si nuestro banco es seguro? "No, aunque
hay  grandes  diferencias  entre  países.  En España, casi siempre son
sistemas  basados en contraseña, mientras en el norte de Europa priman
los lectores de tarjetas o "digipass". Todos tienen sus puntos débiles
y   fuertes,   aunque  personalmente  no  creo  una  buena  opción  la
identificación  del  usuario  por  el  DNI,  ya que puede ser robado o
adivinado por otros métodos". ¿Los bancos pequeños son más vulnerables
que  los grandes? "No he encontrado diferencias". ¿Es verdad que no se
enteran, si los robos son pequeños?. "Falso. Lo que puedes intentar es
robar  de  una cuenta que no tiene movimento, perteneciente a personas
que han fallecido".


SET
http://www.set-ezine.org



publicado en diaridebarcelona.com

More information about the hacking mailing list