tag:blogger.com,1999:blog-12581235.post115206691170021031..comments2023-11-22T04:31:14.770-05:00Comments on TecLaw: Chile; Banca y seguridad informáticaAndres Pumarino Mendozahttp://www.blogger.com/profile/12533536323062686494noreply@blogger.comBlogger3125tag:blogger.com,1999:blog-12581235.post-1152725511629303642006-07-12T13:31:00.000-04:002006-07-12T13:31:00.000-04:00Un dato extra: ya se sabe hace tiempo que es muy f...Un dato extra: ya se sabe hace tiempo que es muy fácil aprovechar la falta de autenticación del sitio web, pero ahora alguien se encargó de mostrar cómo aprovecharlo, en un sitio que usa doble autenticación. El ejemplo es un ataque de phishing contra el Citibank, que sí usa correctamente SSL (asegurando al cliente que está conectado, antes de pedirle ingresar sus datos) y por lo tanto el cliente que revisa correctamente que el sitio sea seguro puede darse cuenta. Aún así es fácil caer en el engaño. En el caso de la amplia mayoría de los bancos chilenos, para el cliente sería absolutamente imposible diferenciar el sitio web original del "falsificado", dado que ya aprendieron que el candado en el que hay que confiar es el que aparece dentro de la página (y que obviamente también está en el sitio "falsificado"). Ver: <A HREF="http://blog.washingtonpost.com/securityfix/2006/07/citibank_phish_spoofs_2factor_1.html" REL="nofollow">Citibank Phish Spoofs 2-Factor Authentication</A>Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-12581235.post-1152152190127255792006-07-05T22:16:00.000-04:002006-07-05T22:16:00.000-04:00JensGracias por tus comentarios, encuentro muy int...Jens<BR/>Gracias por tus comentarios, encuentro muy interesante tu punto, precisamente tengo en los proximos días una conferencia con los fiscales y auditores informáticos de la asocación de bancos donde trataré tu propuesta.<BR/><BR/>Desde mi perspectiva el sistema de seguridad de nuestros bancos es débil creo que tienen más marketing que protección real.<BR/><BR/>Más aun los usuario no tienen información ni educación en esto temas con lo cual no solo pueden fallar los sistemas sino que también las personas.Andres Pumarino Mendozahttps://www.blogger.com/profile/12533536323062686494noreply@blogger.comtag:blogger.com,1999:blog-12581235.post-1152140928931008872006-07-05T19:08:00.000-04:002006-07-05T19:08:00.000-04:00Pero hay un dato importante: la primera recomendac...Pero hay un dato importante: la primera recomendación que se le hace a un usuario de Internet es que verifique que antes de enviar sus datos la conexión sea segura. Si los clientes de los bancos hicieran ese simple ejercicio, verificando que el sitio al cual están a punto de entregar su clave y su identificador (RUT en el caso de Chile), no podrían utilizar prácticamente ningún sitio web de bancos en Chile. Triste, no?<BR/><BR/>Los bancos le están enseñando a sus clientes que deben ignorar esa simple pero efectiva verificación, con lo cual a los clientes les será mucho más difícil saber si están conectados con el sitio web del banco o con algún impostor (el sitio se ve idéntico en ambos casos). Claro, para los bancos es más atractivo agregar nuevos dispositivos (que tienen sus ventajas, cierto) y cobrarlos a los clientes que simplemente utilizar correctamente los protocolos de seguridad. Y sí, cuando el usuario está conectado con el banco, efectivamente la clave y el identificador viajan encriptados, pero también nos interesa el cliente que se conecta al sitio de un suplantador y no tiene cómo darse cuenta hasta después de haber enviado sus datos (y aún así puede ser fácilmente engañado). En resumen: la seguridad de esos bancos queda en manos del servicio de DNS, que no ofrece absolutamente ninguna protección.<BR/><BR/>Personalmente <A HREF="http://www.clcert.cl/editoriales.jsp?id=30" REL="nofollow">ya</A> me <A HREF="http://www.hardings.cl/blog/2005/10/29/banca-online/" REL="nofollow">aburrí</A> de <A HREF="http://www.hardings.cl/blog/2006/06/14/signing-in-on-bank-websites/" REL="nofollow">contar</A> esto, pero siento la obligación moral de seguirlo haciendo cada vez que tenga sentido.Anonymousnoreply@blogger.com