Un nuevo estudio de la Universidad de Michigan ha encontrado que mas del 75% de los websites bancarios no precisamente lo mejor en cuanto a seguridad se refiere.
El estudio estuvo compuesto de 214 sitios web de instituciones financieras, y se enfoco en fallas de diseño y practicas de seguridad impropias. Ninguna de estas fallas representa cuestiones de seguridad catastróficas, sin embargo muchas ayudan a un acceso mucho más fácil a las contraseñas y los nombres de usuarios, que son una llamada atractiva para cualquier atacante.
Las fallas estudiadas comprendÃan lo siguiente:
Sistema de ingreso inseguro
Casi la mitad de los bancos examinados tenÃan un sistema de ingreso “seguro†en paginas web inseguras, las cuales no utilizaban SSL como protocolo de comunicaciones. El no usar SSL, dice el estudio, permite la posibilidad de un ataque que pueda facilitar la intercepcion de los detalles de ingreso a las cuentas del usuario si este ingresaba mediante conexiones inalambricas (man in the middle). El estudio también dice que la mayorÃa de los bancos aseguran las partes internas del sitio, pero muchos dejan la pagina de login sin seguridad.
Colocando información de contacto en paginas inseguras
La mayor falla de muchas entidades (55% fallaron según la prueba). Un ataque similar al anterior podrÃa simplemente dar al atacante la posibilidad de cambiar los números telefónicos listados en la pagina de información de contactos, redirigiendo a los clientes a un call center listo para capturar su nombre de usuario y contraseña.
Redirigiendo a las afueras del banco sin una advertencia
Cuando los usuarios son dirigidos a servicios terceros (como por ejemplo, sitios de pago de recibos), el banco no les advierte de dicho cambio. Un usuario puede no saber si lo que esta observando es confiable o no.
Usar números de seguridad social o direcciones e-mail como ID de usuario
Este tipo de cosas son fáciles de adivinar o de encontrar, especialmente las direcciones de correo. Los bancos deberÃan permitir a los usuarios crear un nombre de usuario personalizado, asà como tener una polÃtica de passwords débiles, pero el 28% de los bancos que se revisaron no lo tenÃan.
Enviando al correo información clasificada de manera insegura
Cosas como reset de contraseñas y estados financieros deberÃan ser enviados de manera segura: Passwords, por ejemplo, jamas deberÃan ser enviados como texto plano, sin embargo el 31% de los bancos fallaron dicha prueba.
El estudio completo (10 paginas, PDF) pueden ser leidos. Los sitios especificos que fallaron varias pruebas no son revelados. Tambien hay que notar que el estudio fue realizado en el 2006 (los resultados son publicados hasta ahora) asi que muchas de las cosas pueden haber cambiado desde el analisis original.
Fuente:
seguinfo.blogspot.com
GRATIS – Plan de cyberseguridad para su empresa: 
Obtenga nuestro portfolio de servicios: 
Realiza su consulta cómo proteger su Negocio: 
Informe a sus colegas del area de tecnología
Comparte esta información con colegas y superiores
Guarda este post para consultas
Descargue las Tendencias de cyberseguridad: 
Suscribirse a nuestro canal de YouTube: 
Descargue nuestras infografías: 
Conozca la opinión de nuestros clientes: 
Acceda a Cursos Online de entrenamiento en seguridad informática: