EDICIóN GENERAL
319 meneos
2882 clics
El 97% de los bancos son vulnerables a ataques tanto a su web como aplicación móvil

El 97% de los bancos son vulnerables a ataques tanto a su web como aplicación móvil

De esos 100 bancos se han analizado sus 100 páginas web, 2366 subdominios, 102 aplicaciones web de banca electrónica, 55 aplicaciones móviles y 298 APIs de banca llevando a cabo test de seguridad SSL, tests de seguridad web, test de seguridad de aplicaciones móviles y tests de phishing.

| etiquetas: hacking , cyberseguridad , santander , bbva , caixabank , sabadell
El 100% son vulnerables, no existe la seguridad perfecta, otra cosa es que cumplan con unos mínimos de seguridad y sean confiables.
Internet en general, englobando toda ella, es una mierda de sistema frágil y vulnerable. En las múltiples capas de ingeniería software necesarias para hacerlo funcionar tal y como lo conocemos hoy está su principal punto débil: cuanto más complejo y enrevesado es un sistema, más difícil resulta hacerlo seguro y más complicado es protegerlo.

El hecho de poner el dinero, es decir la herramienta que los humanos usamos para intercambiar bienes y servicios entre nosotros, como una…   » ver todo el comentario
#2 parece que sabes del tema. seguro que los expertos ingenieros que proponen mejoras en la red estarán encantados de oir tus ideas de cómo simplificar internet.
"tan vulnerable, tan inseguro y tan poco fiable"... lo que hay que leer
#10 todo es vulnerable por mucho que inviertas porque siempre hay descuidos , malas configuraciones , errores tontos. Te pongo un ejemplo cloudfare estuvo caído medio día porque un verizon la cago al admitir una configuración errónea de BGP de un isp local .
#10 Cualquier ingeniero le dará la razón. Es más, dirán que aunque existiese la seguridad perfecta en software, siempre tienes el recurso del eslabon mas debil (el usuario). Que de todos los sistemas que intervienen es el mas tonto, el que confia sin validaciones y el que no tiene criterio para nada.
#10 Y sin embargo lleva razón en que la arquitectura de red actual es demasiado compleja y no parte ni de la simplicidad ni de la seguridad como concepto base en su diseño. Por eso hay grupos de ingenieros, que no sé si serán expertos para ti o simplemente "hijinieros", que abogan desde hace años por arquitecturas de red alternativas a TCP/IP. Y sí, posiblemente hubiese ya este tipo de movimientos desde hace mucho más tiempo; yo conozco sólo un par de iniciativas más grandes.
#2 Internet La vida en general, englobando toda ella, es una mierda de sistema frágil y vulnerable. A partir de ahí tienes el problema de que si el único ordenador seguro es aquél que nunca se enciende, la única vida segura es aquella que nunca ha nacido y eso es gran un problema, así que lo único que podemos hacer es seguir viviendo protegiéndonos en la medida de lo razonable y cruzar los dedos para no tener ninguna desgracia.

Con Internet igual, seguiremos adelante,…   » ver todo el comentario
#2 para esos esta la blockchain no? con bitcoin eliminas intermediarios, softwatre de codigo abirto, mil veces testado...para la parte de dinero en internet me refiero
#2 Para mí no tiene nada que ver. Todo sistema hecho por un humano realmente es vulnerable: tarde o temprano todo falla, sí.

Pero un puente por lo general no se cae y una catedral de varios siglos de antigüedad aguanta a la intemperie (excepto alguna, que se quema, ejem...).

Creo que es un problema cultural del mundo de la empresa. El intrusismo y la falta de conocimientos que se ve en desarrollos de TI deja en evidencia la falta de atención a muchos aspectos críticos, desde un buen diseño…   » ver todo el comentario
La vulnerabilidad más fácil de explotar es la humana. Hacer una página fake y que la gente te meta voluntariamente sus datos de tarjeta de crédito usando una pasarela de pago legal.
#4 Enhorabuena. Acabas de descubrir el phishing. El mismo que en el artículo dice que hay 27 campañas activas.

El phishing en España, por suerte, es bastante reducido y suele cantar bastante porque los email y esas cosas parecen traducidos con un traductor automático. Pero en Yankilandia, donde hay más dinero y cualquier nigeriano te escribe un inglés decente la cosa está más complicada.

Y si os parece que el picar con un phishing es de tontos es que no habéis visto un phishing dirigido, con…   » ver todo el comentario
#12 Administro un servidor de correo. ¿Qué me vas a contar del phising? xD
De ahí mi comentario. Últimamente hay campañas de scam incluso de renovaciones fake de dominios, con pasarela de pago Redsys y todo...
Decir que una web de un banco no es segura porque su TLS no es A+ ... tampoco es seguro ir a retirar dinero del cajero porque hay un mendigo durmiendo dentro ¡no te jode!
Como curiosidad: (auque se que no tiene mucho que ver)
Para acceder a mis correos electrónicos utilizo claves aleatorias de 14-16 caracteres (no forma palabras, ni acrónimos, ni nada, aleatorio 100%) Mas 1.82 x 10 20
combinaciones posibles

Para acceder a las cuentas banca electrónica utilizo claves de 6 dígitos (Solo hay 1M de combinaciones posibles)
#3 Depende del banco. Por ejemplo, yo con caja rural uso una contraseña de 15 caracteres.

No obstante, por muy grande que sea ese número... si te equivocas 3 veces se bloquea el inicio de sesión y te toca llamar al banco. Aunque solo sea 1 millón de combinaciones posibles, la probabilidad de acercar la clave sería de un 0.000003%.
#19 #5 Osea que metiendo mal la clave de otros usuarios, puedes dejarlos sin acceso a la banca online
(Aunque claro está, es necesario conoce el usuario que utilizan para loguearse)
#25 A veces si, en muchos bancos, yo creo que cada vez mas, si intentas logear desde un dispositivo/localizacion que no es habitual, primero tienes que pasar una confirmacion por email. Si no, no puedes ni intentarlo.
#25 Exacto. Es una forma de "putear" a alguien si conoces su usuario o si te da por meterlo de forma aleatoria. Pero es mucho mejor eso a que puedan probar todas las combinaciones posibles de contraseñas sin que ocurra nada.

Eso está en casi cualquier servicio de la vida real. Si fallas mucho al meter la contraseña de tu correo electrónico también se bloquea (y eso que tu correo lo conocerá mucha gente) o el pin/patrón/huella dactilar del móvil.

De todas formas, los que trabajan en los bancos tampoco son inútiles (o no deberían serlo :-D ) Si detectan muchos intentos de sesión de muchas cuentas de usuario desde una IP o rango de IPs geográfico concreto... pues ya saben que algo pasa.
#3 Y con esa clave ves tus cuentas, e incluso se la puedes dar a Fintonic o similares.

Pero para mover dinero seguro que te piden una tarjeta de coordenadas, o una clave mandada a tu móvil, o ambas.
#3 Cierto, pero también hay que tener en cuenta que los bancos no te suelen dejar hacer muchos intentos.

Mete la contraseña mal 4 o 5 veces y la anulan para siempre y tienes que volver al banco para resetearla. No se si en todos, pero es común. Eso hace que los reinitentos de averiguar la contraseña que tienes no son tantos.
Que despropósito de noticia :palm:
#9 es una M de artículo. Si quieres ver uno que lo explica y hace referencia al estudio y a la empresa que lo hizo www.infosecurity-magazine.com/news/big-banks-vulnerable-to-web-mobile/
Pero son bonitas las app y las webs porque están hechas con el último framework molón. Lo de ser seguras y que respeten la privacidad es muy secundario.

Irónico off
Menuda fusilada a la fuente original, la noticia enlazada no dice una mierda
#21 fusilada no , descuartizada. no citan quien ha hecho el estudio, dicen obviedades. Nivel técnico -1000
Y cuando la inteligencia artificial esté en manos de cualquiera verás tu la lucha entre ellas.
Nunca dejéis la seguridad a los bancos, es nuestra responsabilidad ser proactivos y tomar medidas por nuestra cuenta. Yo por ejemplo monitorizo el saldo, y si pasa de 20€ me lo gasto, así minimizo el impacto de una posible brecha de seguridad.
#8 ¿como lo haces? espero que no estés cada dos horas mirando la cuenta, eso para mí es insostenible.
#14 Hay cositas a tener en cuenta, como el teclear siempre tu URL (ni bookmarks ni links, ni autocompletar). Comprobar siempre el certificado antes de teclear el password (lo hago siempre, es una buena costumbre). Tener un navegador con un perfil que se use solamente para eso y con algunos addons de esos que comprueban peligros automáticamente.

Luego, el propio banco te da servicios, como un SMS automático si un pago supera cierta cantidad.
#17 el segundo factor de autenticación es básico ( aunque no sea la panacea ) en los tiempos que corren.
#26 Sí, pero para autorizar transacciones.

Esto es un concepto de seguridad ya antiguo a estas alturas. El objetivo no es saber quién se ha conectado sino saber que la transacción ordenada es auténtica.
#37 los tokens físicos por ejemplo , tipo yubikey es una solución bastante segura.
#39 Yubikey es un teclado. Pulsas la tecla que tiene, y teclea el password.

¿Oiste nunca el podcast del Gibson de cuando se topó a la inventora del yubikey en una feria? Yo digo que ahí hubo sexo(1). Antes que eso no la conocía absolutamente nadie.

(1) Sabido es que el Gibson estaba divorciado de un poco antes. Cuando inventó el algoritmo de recuperar sectores defectuosos de discos mecánicos y su mujer le dijo "¿para que lo quieres si ya tienes el dinero de esos idiotas?". Echó de casa a esa abogada y diría yo que solo liga con ingenieras.
#41 no es exactamente un teclado... Pero bueno
#8 Cuando dices gastar, supongo que te refieres a comprar bonos del estado.
#28 claro. Pero no te van a robar por la web del banco.
No sé, si lo único que miran es el estado que te da al analizar la implantación de TLS en la web tampoco es un estudio exhaustivo. Si viésemos la seguridad de las infraestructuras donde corre eso (asumiendo que todavía quedan equipos dedicados y no son los ingenieros de Amazon y Google los que aseguran el perímetro), supongo que ahí sí nos podríamos asustar.
#6 estoy de acuerdo. Creo que la mayor medida de seguridad que tienene sos bancos es que sus sistemas están hechos a medida y por tanto quizás lleva algo de trabajo para un ciberdelincuente por el hecho de tener que "estudiárselos". Pero al igual que tú, opino que cualquiera que tenga conocimientos y profundice en lo que hay en las tripas, se espantaría.
#6 los proveedores de servicios están auditados . Mírate Soc2 .
Lo más que vas a poder conseguir así es ver los saldos y movimientos. Para todo lo demás necesitas conocer la tarjeta de coordenadas, tener acceso al móvil, saber el pin de la tarjeta.
Vamos, un imposible.
#22 Bueno, esa información ya vale dinero.
Muchas empresas pagaría por saber cuanto dinero tienes en el banco, y a que lo destinas
El mayor agujero de seguridad son los clientes. Con ingeniería social siempre cae alguien.
Me voy hacer hacker para quitarles la pasta entonces xD
Está bien que se hagan todos esos tests, pero son más una justificación burocrática que otra cosa. Solo se miran cosas muy evidentes. Se hace para que lo vean los auditores y ya.

Lo que un servicio tan peligroso como una banca online debe tener es un servicio de respuesta inmediata ante ataques. Algo que incluya la detección y la respuesta.
97% Poco me parece yo diría que al 100%, hoy en dia no hay nada seguro ni a través del movil que traen ya puertas traseras y APP espías, cajeros con W98 todavía o como mucho Windows 7, ni a través de los PC, Mac u otros que te las meten por todos lados, hoy todo se sabe si no es de forma mas o menos legal con métodos de espionaje de un Hacker o agencias de los gobiernos.
Pasar el qualys por encima y decir que todo es inseguro :facepalm:
comentarios cerrados

menéame