[HACK] 60 millones de europeos usan la banca online. ¿Se pueden sentir seguros?

Sergio de los Santos s.delossantos at forzis.com
Mon Mar 31 15:15:42 CEST 2003 

SERGIO DE LOS SANTOS
www.forzis.com

Durante el año 2003, hasta 60 millones de europeos usarán la banca online 
para gestionar sus ahorros, en contraste con los 23 millones que hacían uso 
de este servicio en el año 2000. Con una previsión de crecimiento de hasta 
84 millones en los próximos cuatro años, la seguridad de las transacciones 
online puede verse en un grave riesgo.

Según Datamonitor, la media de crecimiento anual de estos usuarios es del 
37%, siendo los usuarios alemanes y del Reino Unido los que más utilizan 
este servicio, aunque los países escandinavos mantengan el mayor ratio por 
habitantes y usuarios. ¿Se puede decir que sus datos estén a salvo? La duda 
surge teniendo en cuenta los problemas de seguridad inherentes a las 
transacciones online. En los últimos meses, se han podido encontrar varios 
ejemplos

El pasado mes de Febrero, las compañías Visa y Mastercard informaban 
oficialmente de que un pirata informático había tenido acceso a los datos 
de cinco millones de tarjetas de crédito.  El hacker había violado el 
sistema de seguridad de una compañía que procesaba las transacciones con 
los comerciantes.

Hace sólo unas semanas, la policía de Tokio arrestaba a dos japoneses que 
sustrajeron cerca de 125.000 euros a través de los servicios online de su 
banco. La forma de actuar consistía en instalar un software conocido como 
keylogger (registro de las pulsaciones de teclado) en los ordenadores de 
diversos cibercafés. Cada cierto tiempo, ambos piratas informáticos pasaban 
por los establecimientos donde los habían instalado y recogían los datos 
que habían almacenado. Desde el año 2.001 instalaron el troyano en 
aproximadamente cien ordenadores de trece cibercafés ubicados en las 
ciudades de Shinjuku, Shibuya y Ueno.

El pasado 14 de Marzo, fue descubierto que los hackers invadían un 
ordenador de la Universidad de Tecnología de Georgia (Atlanta EEUU), 
robando nombres, direcciones y en la mayoría de los casos, información 
sobre la tarjeta de crédito de 57000 personas del Centro de las Artes 
Ferts. Los hackers tuvieron acceso al ordenador desde el cuatro de Febrero.

No sólo los hackers son los enemigos de la seguridad en Internet. Al 
protocolo que suele encriptar las transacciones importantes a través de la 
red, SSL (Secure Socket Layer) también se le han encontrado ciertas 
vulnerabilidades. Hace un año se descubría un grave problema de seguridad 
en  OpenSSL. Aprovechándose de esta circunstancia, el profesor  Serge 
Vaudenay, del Instituto Federal de Tecnología de Suiza en Lausana, 
descubrió un método para descifrar un mensaje codificado con la tecnología 
SSL, aunque el problema solo es expotable bajo circunstancias muy 
específicas y no es aplicable a todos los tipos de comunicaciones SSL.

En Agosto de 2002, un fallo en la implementación del protocolo SSL en el 
navegador de Microsoft Internet Explorer, permitía a un pirata sueco 
traspasar dinero de otras cuentas a la suya propia, pasando por alto todas 
las medidas de seguridad. Quedó demostrado que este fallo en el navegador 
de Microsoft podía ser usado para tomar el control de sistemas de banca 
electrónica. El hacker sueco consiguió transferir grandes cantidades de 
dinero a su propia cuenta desde la de otros clientes, de manera 
transparente y sin “forzar” ningún tipo de sistema informático.

El 21 de Marzo, expertos checos daban a conocer que durante sus 
investigaciones habían descubierto también una grave vulnerabilidad en la 
implementación del protocolo SSL.  Otros expertos independientes aún no se 
han puesto de acuerdo sobre la gravedad del problema, pero Vlastimil Klíma 
y Tomás Rosa aseguran que han detectado un problema en los protocolos 
SSL/TSL (Secure Sockets Layer y Transport Layer Security), y que dos 
tercios de los servidores SSL/TSL de Internet son vulnerables y permiten 
desencriptar por completo las comunicaciones y tener acceso a todos los 
datos que viajaran de esta forma.

El experto en criptografía  Bruce Schneier, director técnico de Counterpane 
System asegura que lo que más le preocupa de este tipo de transacciones son 
los puntos finales, no las comunicaciones entre ellas. "No es que la 
seguridad del protocolo SSL sea irrelevante, pero me parecen mucho más 
peligrosos los extremos, es decir, donde se almacenan los datos de las 
tarjetas. La seguridad es tan fuerte como el más débil de sus eslabones, y 
por muy débil que sea SSL, las bases de datos y los servidores en general 
se encuentran muy por debajo de los niveles de seguridad deseables en estos 
momentos."

Datamonitor:
http://www.nua.ie/surveys/?f=VS&art_id=905358751&rel=true>

Acceso a datos de 5 millones de tarjetas de crédito.
http://www.pcworld.com/news/article/0,aid,109410,00.asp

Centro de las Artes Ferts:
http://www.ferstcenter.gatech.edu

Serge Vaundenay:
http://lasecwww.epfl.ch/query.msql?ref=Vau01

Vulnerabilidad en protocolo SSL
http://www.securityfocus.com/news/3308

Vulnerabilidad SSL en Internet Explorer
http://news.com.com/2100-1001-955442.html

Counterpane.
http://www.counterpane.com


-- 
Sergio de los Santos.
Redactor de Contenidos.
s.delossantos at forzis.com
http://www.forzis.com
 

More information about the hacking mailing list