Atul Prakash, profesor de Ingeniería y Ciencias de la Computación en la Universidad de Michigan, examinó los sitios de Internet de 214 instituciones financieras
en el año 2006. Prakash presentará sus conclusiones por primera vez en la reunión del Simposio sobre Seguridad y Privacidad en la Universidad Carnegie Mellon.Estas fallas de diseño no son errores que puedan arreglarse con un parche. Surgen de la diagramación y el flujo de estos sitios bancarios en Internet. Las fallas incluyen la colocación de casilleros de acceso y de información de contacto
en páginas que no son seguras, como asimismo
la falta de mantenimiento de un diseño coherente del sitio y el acceso (URL). Prakash dijo que algunos bancos pueden haber tomado medidas para resolver estos problemas en los últimos años, pero en general, él sigue viendo una gran necesidad de mejorías.“Para nuestra sorpresa, las fallas de diseño que podrían comprometer la seguridad fueron generalizadas”, dijo Prakash. “Nosotros presumimos
que los usuarios tratan de ser cuidadosos,
pero algunos bancos hacen que sea difícil que los clientes tomen las decisiones correctas acerca de la seguridad”.Estas fallas dejan brechas en la seguridad que los oportunistas podrían explotar para obtener acceso a información privada y las cuentas. La Corporación Federal de Seguro de Depósitos (FDIC por sus siglas en inglés) indica que la intrusión
en computadoras, si bien es relativamente
rara comparada con los crímenes financieros como los fraudes con hipotecas y cheques, es un problema creciente para los bancos y sus clientes. Un reciente Informe de Incidentes de Tecnología de la FDIC, compilado sobre los informes
de actividad sospechosa en los bancos presentan cada trimestre, menciona 536 casos de intrusión de computadora, con una pérdida
promedio por incidente de 30.000 dólares. Esto representa casi 16 millones de dólares de pérdidas en el segundo trimestre de 2007. Las intrusiones de computadora se incrementaron en un 150 por ciento entre el primer y segundo trimestres de 2007. En 80 por ciento de los casos, la fuente de la intrusión es desconocida, pero ocurrió durante las transacciones bancarias por Internet, indica el informe.Las fallas de diseño que Prakashy su equipo inspeccionaron, incluyen:•La colocación de los casilleros seguros de ingreso en páginas inseguras: el 47 por ciento de los bancos incurrió en esta falla. Un intruso podría reencaminar la información ingresada en esos casilleros o crear una copia falsa de la página para cosechar la información. En una situación
de comunicación inalámbrica, es posible conducir este ataque de intermediario sin cambiar el URL del banco para el usuario, de manera que aún el cliente vigilante podría ser víctima de esto. Para resolver este problema, los bancos deberían usar el protocolo estándar “capa de seguridad” (secure socket layer SSL) en las páginas que soliciten
información delicada, dice Prakash. (Las páginas protegidas con SSL se abren con https. en lugar de http.). La mayoría de los bancos usa la tecnología SSL para algunas de sus páginas, pero una minoría de los bancos protege todas sus páginas de esta forma.•La colocación de la información de contacto y consejos sobre seguridad en páginas inseguras:
ésta fue la falla en la que incurrieron más bancos, el 55 por ciento. Un intruso podría cambiar una dirección o un número telefónico y establecer su propio centro de llamadas para recolectar información privada de los clientes que necesitan ayuda. Los bancos tienden a ser menos cautelosos con la información que puede
encontrarse fácilmente en otras partes, dijo Prakash. Pero los clientes confían en que la información
en el sitio del banco es correcta. Este problema podría solucionarse asegurando estas páginas con el protocolo estándar SSL.•Una ruptura en la cadena de confianza: cuando el banco reencamina los clientes a un sitio afuera del dominio del banco para ciertas transacciones sin advertencia, ha omitido mantener
un contexto para buenas decisiones sobre la seguridad, indica Prakash. El investigador encontró este problema en 30 por ciento de los bancos estudiados. A menudo la apariencia
del sitio cambia, al igual que el URL y es difícil que el usuario sepa si puede o no puede confiar en este nuevo sitio. La solución, señala Prakash, es advertir a los usuarios que van a salir del sitio del banco y pasarán a un nuevo sitio de confianza. O el banco podría albergar todas sus páginas en el mismo servidor. Este problema surge a menudo cuando los bancos subcontratan con ajenos a algunas funciones de la seguridad.
Susan Sarandon recibe el Goya Internacional y fija postura sobre Gaza, Hollywood e inmigración
La actriz y activista estadounidense Susan Sarandon se pronunció con contundencia antes de recibir el Goya Internacional en Madrid. Durante su encuentro con la prensa,...
