Asociación de Internautas

ir a menu
ir a noticias
ir a bloques informativos
Ir a Página sobre accesibilidad
Ir a Página de Inicio
Ir a Página de Texto
Ir a Mapa web
Ir a Buscador
Ir a Aviso Legal
Contactar con la Asociación de Internautas
Estado donaciones

Menu

Noticias

INFORME

¿Es vulnerable la banca online?

La Comisión de Seguridad de la Asociación de Internautas publicó el pasado mes de junio un extenso informe , elaborado tras varios meses de investigación por Hugo Vázquez (Director Técnico de PENTEST, Consultores de Seguridad Telemática) y certficado por el esCERT, en el que se hace una completa revisión sobre la seguridad de la banca online en España. --ACTUALIDAD -- Un fallo de seguridad hace vulnerables tres millones de cuentas del HSBC.

10-08-2006 - Tras la lectura del informe podemos pensar que aun queda mucho trabajo en la banca online. Pero tampoco podemos olvidar los nuevos métodos empleados por las entidades bancarias, en este informe se aportan también ideas para un futuro mas seguro. Estas son sus principales conclusiones:

No se ha realizado un estudio en detalle para otro tipo de sistemas de autentificación de banca on-line, debido a la falta de un “estándar” para el resto de sistemas de autentificación de firma.

La conclusión mas inmediata que se desprende del presente informe es que los sistemas de firma de banca online, ya sea basados en "tokens" físicos, teclados virtuales, u otros, actualmente distan mucho de poder considerarse como soluciones robustas pues prácticamente todos adolecen del mismo fallo: que su seguridad se implementa -en gran medida- a través de un protocolo, http, que jamás se diseñó para ser seguro, sino solo funcional.

Hasta que llegue el día en que los mecanismos de verificación de la identidad del usuario de una aplicación web sean “robustos”, la banca on-line estará expuesta a toda serie de riesgos. ¿Se pueden eliminar completamente dichos riesgos? No es probable, pero si que se pueden reducir en gran medida mediante la realización de pruebas periódicas especializadas sobre los sistemas de seguridad empleados.

Si nos fijamos en la evolución de las metodologías de evaluación de la seguridad en los sistemas de información, observamos una tendencia a analizar cada vez con menor detalle las distintas tecnologías de protección. Ello es así porque a veces se confía ciegamente, en ciertos mecanismos clásicos, sin tener en cuenta que tan importante es un estudio de las particularidades de cada escenario concreto, como el del diseño en general y su específica implementación, y esto sea cual sea su origen y los “Argumentos de Autoridad” que lo defiendan.


Informe 1ª parte del informe

Informe 2ª parte del informe

Informe 3ª parte del informe

Informe 4ª parte del informe

Informe 5ª parte del informe

Hugo Vázquez Caramés
Director Técnico de PENTEST


Nota:
”La empresa española “PENTEST” tal vez sea una de las mejores del entorno europeo en la realización de Tests de Intrusión. Empresa que basa su éxito en la recluta para cada tipo de proyecto de los mejores “Pen-Testers" existentes en la problemática a auditar. Una vez seleccionados, forma un equipo de auditores o "Tiger Team" que pone al servicio del cliente. Normalmente los "Tiger Team" de “PENTEST” no solo son los mejores, sino también los más motivados pues trabajan a partir de la propia libertad de sus conocimientos y experiencia y de la que concede Pentest para el desarrollo de su función profesional.

Se abre el debate: ¿Podemos prevenir posibles ataques de fraude de phishing bancario?.

www.nomasfraude.es

Volver<<< Volver
Más información en la red:[ 5 Comentarios ]  [ 0 ] trackbacks
ImprimirVersión para imprimir Impresora | Versión PDF PDF
Compartir este articulo:
Enviar artículo a un amigo:
Las direcciones de correo no se almacenan en parte alguna, simplemente son utilizadas para el envio del correo al destinatario

Bloques informativos


Seguridad
imagen medidor de velocidad
Logos y Marcas propiedad de sus respectivos autores
Se permite la reproducción total o parcial de todos los contenidos siempre que se cite la fuente y se enlace con el original
Logo AI pequeño
© 1998-2014 Asociación de Internautas
Aviso Legal - Contacto
¡Nuestro RSS! | Accesibilidad

¡Linux GUAI! |¡Internautas Televisión! |¡Alertvir! |¡Comisión de Seguridad! |¡Tienda de la Asociación de Internautas! |¡Seguridad en la Red! |¡Foros públicos de la Asociación de Internautas!