Javascript DHTML Drop Down Menu Powered by dhtml-menu-builder.com
 
 
NOTICIAS
 

REALIZAN ESTUDIO SOBRE LA SEGURIDAD INFORMÁTICA BANCARIA
Detectan niveles de “vulnerabilidad” en páginas web de los bancos locales.

Si bien la situación no es alarmante, afirman que la seguridad puede mejorar.

Los entendidos en informática no se cansan de señalar que, en internet, ningún sitio web es 100% seguro. Ahora bien, existen ciertos niveles de seguridad y a la vez de vulnerabilidad, que los administradores de un portal deberían tener en cuenta, más aún si de un banco se tratara.

Un estudio devela que la mayoría de las entidades que operan en el país son ostensiblemente “vulnerables” a ataques informáticos a través de sus respectivos home banking o páginas digitales, donde -como se sabe- se aloja toda la información confidencial de los clientes.

Marcelo Elizeche Landó, estudiante de Ingeniería Informática de la Universidad Católica de Asunción (UCA), ancló un análisis de sitios de la banca online de entidades españolas –publicado en Security by Default- a la situación de 12 de bancos autorizados a operar por el Banco Central del Paraguay (BCP).

“Encontré que la mayoría de los bancos estaban en falta; esto no significa que sean un colador. Pero hay mucha más facilidades de que haya alguna falla de seguridad de parte un hacker que pueda capturar informaciones”, afirma.

Para la investigación -que publicó en su bitácora virtual Elotroblog.com- se valió de cuatro parámetros de seguridad web aplicados a las páginas de accesos de password (contraseña) de los bancos de plaza.

“Ninguna de las entidades bancarias pasó el 100% de la prueba de seguridad”, remarca Elizeche que usó como herramienta el Open SSL, en Linux.

Lo más relevante es que los sistemas de seguridad de cuatro de los doce bancos analizados soportan la versión SSLv2 (ver glosario) que se utiliza para dar conexiones seguras, pero que ya tiene una versión actualizada la versión 3.

“El hecho de que algunos bancos soporten la versión dos es un fallo de seguridad porque por algo ya evolucionó y se mejoró el protocolo. Al soportar la anterior versión se tiene más oportunidades de violar el sistema”, explica.

DESHABILITAR

Daniel Mojoli, presidente de Taller de Ideas SA comparte los criterios utilizados en la investigación. “Me parece bien que esto se haya publicado, que tenga un poco de discusión. Los bancos deberían tomar esto un poco más en serio porque es fácil porque se trata de vulgares configuraciones, no tienen que comprar nada más”, dice el especialista en ciencias de la comunicación informática.

“Sencillamente, tienen que deshabilitar las cifras muy viejas, a lo mejor tengan que pagar alguna consultoría a alguien”, añade.

Precisamente, Elizeche aclara que no se trata de alarmar a los clientes de bancos, pero como a toda entidad que maneja datos sensibles no se le debería escapar este tipo de detalles que hacen a la robustez de la banca online.

Luis Benítez, docente universitario y gerente de Infraestructura del Plan Director de TICs, desliza su opinión: “la idea de esto es que nadie en el medio -en el trayecto en que viaja la información- que está entre tu navegador y el banco pueda 'leer' lo que haces en el banco”.

Los antiguos protocolos -argumenta- tienen determinados problemas que “pueden” o “permitirían” que, alguien con mucha capacidad de computo (grandes procesadores) pueda ver lo que realizas. Es decir hay un riesgo en que alguien mal intencionado pueda ver lo que haces.

ALGORITMOS DEBILES

Otro parámetro relevante constituye el de algoritmos débiles. Sólo dos de los doce home banking de las entidades analizadas no soportan algoritmos débiles, el resto sí. Esto significa que diez bancos tienen sus sitios compatibles con navegadores viejos, lo que acorta el camino para el ataque informático.

Mojoli apunta que si un sitio soporta este programa, existe un riesgo pero que solamente un agresor muy técnico puede aprovechar. “En caso de que un banco soporte algoritmos débiles (de 40 ó 64 bits) se pone dentro del alcance económico de un agresor determinado y competente y poder ver lo que pasa en esa comunicación (entre un cliente y un banco), y si es más competente va a poder incluso interceptarla”, advierte.

No obstante, observa que “esto es ciencia ficción en nuestro medio”, dado a que todavía no existe precedentes de ataques de este tipo en el plano local.

REACCIÓN:

“Falta regulación y plan nacional”
- Luis Benítez, docente universitario.

El tema de seguridad bancaria no hace que otra cosa que hacer saltar la cuestión de la seguridad integral. “No solo hace falta más y mejor regulación, hace falta definir un plan nacional de seguridad y que sea ejecutado por diversas organizaciones”, señala Benítez que dirige parte del proyecto del Gobierno de la realización de un Plan Maestro de TICs en Paraguay.

“Este problema es uno, que es solo lo 'visible' en la web, pero existen otras cuestiones que 'no se ven' de interacción entre sistemas que también afectan al comercio electrónico y deben ser regulados (guiados) para proveer una mayor seguridad a los datos de la población”, dice.

En otros países existen agencias que se encargan de este trabajo relacionando temas de seguridad civil y de seguridad nacional. Por ejemplo, la Autoridad de Servicios Financieros del Reino Unido, cuyo sitos es el www.fsa.gov.uk. “En el primer mundo cada país tiene una agencia similar”, asevera.

Fuente: La Nación