Seguridad en bancos (era Re: HA)

Alejandro Fuentes alfuente en gmail.com
Mar Sep 1 22:18:37 CLT 2009


Estimado Álvaro:

        El problema Álvaro es que estás pensando... como Álvaro
Herrera. O sea, alguien que tiene conceptos más que básicos de
seguridad de la información. La realidad es bastante más simpre y dura
a la vez.

        En este caso se apunta a que la gran masa de usuarios, tenga
un sistema "un peldaño mejor" de autenticación que simplemente un
usuario/clave, donde el usuario es un RUT (que prácticamente es
público) y la clave es de 4 dígitos lo que claramente es insuficiente.

        Sobre la autenticación robusta (o de dos factores), en la
teoría funciona, pero en la práctica no tanto como uno quisiera. Las
soluciones de tokens como el digipass son bien caras y por lo tanto,
inviables para sistemas que no sean ultra masivos. Y también tienen
problemas como la distribución de los tokens, que se les acaban las
pilas, etc. Además, he comprobado que en varios sitios la ventana de
valores aceptados no es la "exactamente actual", porque problemas
desde conectividad hasta la capa 8 impiden que se implementen como
debería. Y finalmente todo depende también de lo malicioso del
adversario: hace un tiempo hicieron un phishing en el Citibank, que
aprovechaba la ventana de tiempo de un dispositivo tipo pinpass y con
un script automatizado hacía igual transferencias.

        El tema de las tarjetitas admito que a mi tampoco me gusta
mucho, pero funciona. Y el tema de fondo es que traspasa la
responsabilidad de la seguridad al usuario de una forma más explícita.
No es lo mismo decir "le dije que elijiera una buena password" a "le
dije que no prestara/fotocopeara/entregara la tarjeta".

         En todo esta claro que no hay que hacer transacciones
bancarias en un ciber, bajo cualquier circunstancia, con fotógrafo o
no.

          Saludos

                    Alejandro Fuentes de la Hoz




2009/9/1 Alvaro Herrera <alvherre en alvh.no-ip.org>:
> Sebastián Veloso Varas escribió:
>
>> Puede que sea un problema puntual con el banco. Ya sea por exceso de
>> consultas, o la aplicacion del Santander (hace un tiempo atras, se cayo 1
>> dia entero y mucha gente quedo sin hacer nada online!). En mi caso
>> personal,con BCI, si dejo de trabajar o consultar sobre mi cuenta,
>> automaticamente me expira la sesion. Creo que este es un mecanismo de
>> seguridad de la aplicacion, mas que un problema de balanceo o sesiones. Y de
>> que es molesto a veces? Si! y bastante... (y ni hablar, tener que meter la
>> clave de pinpass, llave segura, etc..etc..)
>
> A propósito, vi el "pinpass" que le entregaron a mi suegra.  Un chiste.
>
> En mi anterior banco, el Chile, y en el actual el Scotia, me entregaron
> un aparatito electrónico con un botón.  Al apretarlo me da un número
> seguro para transacciones electrónicas.  Hasta aquí todo bien, y todo el
> mundo debe estar pensando "ah, igual que yo".
>
> Mi suegra ayer estaba haciendo las transacciones con una cuestión que
> parecía un calendario de bolsillo.  WTF?  Le eché una mirada: una
> tarjeta de cartón con una tabla cuadrada de números, con coordenadas.
> El sitio web entrega tres pares de coordenadas (por ej. A1 D3 F8) y uno
> mira la tarjeta e ingresa los números que ahí dicen.
>
> Inmediatamente viene a la mente un ... WTF!?!?!?
>
> Yo francamente no puedo imaginarme una idea más estúpida.
>
> Imaginen que alguien saca esa tarjeta en un ciber para hacer una
> transacción.  El de al lado tiene la oportunidad perfecta para tomarle
> una foto ... y listo, perdiste la seguridad, aunque conservas la
> tarjeta.
>
> Si te roban el aparato electrónico por último te das cuenta que no lo
> tienes.  Y definitivamente no hay forma de saber qué número va a generar
> en un instante dado.
>
> Banco Santander, acompañándote en los períodos de escasez de cerebro.
>
> --
> Alvaro Herrera                http://www.amazon.com/gp/registry/3BP7BYG9PUGI8
> "Aprende a avergonzarte más ante ti que ante los demás" (Demócrito)
>



Más información sobre la lista de distribución Linux