La empresa Deloitte ha publicado un interesante informe [PDF] de 42 páginas titulado "Informe Anual de Seguridad en Instituciones Financieras", que, a pesar del tamaño en páginas, es ameno y parco en texto. Está lleno de información interesante; por ejemplo, en la página 28, se remarcan y recuadran las siguientes amenazas: pérdida de información sobre clientes y privacidad, phising/pharming, uso inapropiado de datos y ciberterrorismo. Además, se añaden otras amenazas que son muy evidentes para los usuarios de informática ...
Comentarios
Se hacen muchos informes, se proponen muchas cosas, pero yo recuerdo el caso, cuando en 2006 encontré un XSS gravísimo en la caixa, además en el propio dominio con acceso a la cookie, además en la parte con SSL. Haciendo pruebas hicimos varios exploits usando ese XSS, y finalmente intentamos comunicarnos con la caixa por muchísimos medios, incluido telefono, mail, etc y nunca conseguimos nada, en 2007 finales ahí seguía el bug, y supongo que aún sigue.
Para un auditor particular, traspasar las barreras burrocraticas de un banco, es 100% imposible, por lo que existe mucha gente con bugs en portales de bancos, que ya ha intentado varias veces comunicarlos al banco, y no ha podido, otro banco con el que me pasó esto fue la caixa penedés, aunque diría que estos ya lo solventaron.
A la gente normal, le asustaría saber cuantos agujeros de seguridad tienen los portales de los bancos, y aún peor, como hacen oídos sordos ante ellos.
Deloitte cobra por arreglar todo lo que dicen en sus informes.
Normal. Más negocio si los asustan mucho