Archivado en Documentacion, Socio Economico, Internet

Estudio de la Asociaci贸n de Internautas

驴Es vulnerable la banca online?


La Comisi贸n de Seguridad de la Asociaci贸n de Internautas acaba de publicar un extenso informe, elaborado tras varios meses de investigaci贸n por Hugo V谩zquez (Director T茅cnico de PENTEST, Consultores de Seguridad Telem谩tica) y certficado por el esCERT, en el que se hace una completa revisi贸n sobre la seguridad de la banca online en Espa帽a.


pdf
print
pmail
21-06-2006 - Tras la lectura del informe podemos pensar que aun queda mucho trabajo en la banca online. Pero tampoco podemos olvidar los nuevos m茅todos empleados por las entidades bancarias, en este informe se aportan tambi茅n ideas para un futuro mas seguro. Estas son sus principales conclusiones:

No se ha realizado un estudio en detalle para otro tipo de sistemas de autentificaci贸n de banca on-line, debido a la falta de un 聯est谩ndar聰 para el resto de sistemas de autentificaci贸n de firma.

La conclusi贸n mas inmediata que se desprende del presente informe es que los sistemas de firma de banca online, ya sea basados en "tokens" f铆sicos, teclados virtuales, u otros, actualmente distan mucho de poder considerarse como soluciones robustas pues pr谩cticamente todos adolecen del mismo fallo: que su seguridad se implementa -en gran medida- a trav茅s de un protocolo, http, que jam谩s se dise帽贸 para ser seguro, sino solo funcional.

Hasta que llegue el d铆a en que los mecanismos de verificaci贸n de la identidad del usuario de una aplicaci贸n web sean 聯robustos聰, la banca on-line estar谩 expuesta a toda serie de riesgos. 驴Se pueden eliminar completamente dichos riesgos? No es probable, pero si que se pueden reducir en gran medida mediante la realizaci贸n de pruebas peri贸dicas especializadas sobre los sistemas de seguridad empleados.

Si nos fijamos en la evoluci贸n de las metodolog铆as de evaluaci贸n de la seguridad en los sistemas de informaci贸n, observamos una tendencia a analizar cada vez con menor detalle las distintas tecnolog铆as de protecci贸n. Ello es as铆 porque a veces se conf铆a ciegamente, en ciertos mecanismos cl谩sicos, sin tener en cuenta que tan importante es un estudio de las particularidades de cada escenario concreto, como el del dise帽o en general y su espec铆fica implementaci贸n, y esto sea cual sea su origen y los 聯Argumentos de Autoridad聰 que lo defiendan.


Informe 1陋 parte del informe

Informe 2陋 parte del informe

Informe 3陋 parte del informe

Informe 4陋 parte del informe

Informe 5陋 parte del informe

Hugo V谩zquez Caram茅s
Director T茅cnico de PENTEST



Nota:
聰La empresa espa帽ola 聯PENTEST聰 tal vez sea una de las mejores del entorno europeo en la realizaci贸n de Tests de Intrusi贸n. Empresa que basa su 茅xito en la recluta para cada tipo de proyecto de los mejores 聯Pen-Testers" existentes en la problem谩tica a auditar. Una vez seleccionados, forma un equipo de auditores o "Tiger Team" que pone al servicio del cliente. Normalmente los "Tiger Team" de 聯PENTEST聰 no solo son los mejores, sino tambi茅n los m谩s motivados pues trabajan a partir de la propia libertad de sus conocimientos y experiencia y de la que concede Pentest para el desarrollo de su funci贸n profesional.

Asociaci贸n de Internautas