Barbarities I: Banca electrónica

– Con este post me gustaría inaugurar una nueva sección en SAW llamada Barbarities, destinada a albergar cual pozo ciego, todas aquellas atrocidades que desde el punto de vista de seguridad uno ha ido viendo con el paso de los años. Se anima al lector a que comparta sus experiencias –

Barbarities… Hoy: La banca electrónica.

Los bancos, dentro de lo que cabe, hacen un esfuerzo por entregar a sus clientes medidas de protección ante el fraude y robo online a la hora de operar a través de sus páginas web o apps móviles. Códigos de validación de transacción por SMS, uso de https (qué menos…), teclados virtuales anti Click-hacking o tarjetas de coordenadas son solo algunos ejemplos de estas protecciones.

Hablando de este último, las tarjetas de coordenadas, he observado durante los diferentes test de intrusión que hemos realizado, una práctica muy habitual dentro de los departamentos de administración de las organizaciones. Esto ha dado lugar a nuestra primera Barbaritie.

Ya que una compañía medianamente grande suele trabajar con varias entidades financieras y dispone de numerosas cuentas repartidas por toda la geografía bancaria, es “muy complicado” gestionar y recordar cada una de las contraseñas de acceso a las diferentes webs de banca online. Es más, como cada una de ellas ofrece un conjunto de “pesadas” medidas de seguridad, es mucho mejor aunarlas en un único documento que se llame Contraseñas de bancos.doc. Esto que puede sorprender a nuestro lector con un OMG bien grande, en realidad no es nuestra Barbaritie de hoy. La gran barbaridad es que en ese mismo documento encuentras todas las tarjetas de coordenadas escaneadas junto con las credenciales de acceso.

Ouuu Yeah! Con lo trabajados que están algunos malwares combinando infecciones de dispositivo móvil y equipo de usuario, o lo sofisticados que son de algunos ataques de phising, y luego es mucho más fácil… Un simple “Archivo-> Buscar” y ya tienen todo tu dinero.

Veamos. Si un banco se ha molestado en ofrecerte un doble factor de autenticación (algo que sé y algo que tengo) no te lo cargues a la primera de cambio simplemente por comodidad. Hay numerosas maneras de gestionarlo adecuadamente:

  • Un repositorio de contraseñas cifrado, como por ejemplo un sistema del estilo del Keepass.
  • Una pequeña caja fuerte donde guardar las tarjetas de coordenadas.
  • Cualquier medida que no sea utilizar un documento ofimático con las tarjetas escaneadas.

Seguramente tienen los ojos como platos, pero créanme esta práctica es más habitual de lo que uno imagina y no sólo en grandes organizaciones. Y hasta aquí, nuestra primera barbaritie.

Comments

  1. Tonto es el que hace tonterías (Forrest Gump), no me extraña que la gente lo haga, igual que hay gente que anota el pin en la tarjeta. En su descargo hay que decir que trabajar con 20 bancos controlando la tesorería y los movimientos, con 20 códigs de empresa, 20 números de usuario, 20 claves de acceso y 20 llaves, es demencial.
    Pero igual que guardamos las llaves de casa, del garaje, de la bici, de la oficina, etc. etc. en sitios seguros, deberíamos guardar las claves en lugar seguro.

  2. Estoy de acuerdo Eusebio :)

  3. El fichero ofimatico se puede cifrar, creo que ese seria el método mas rápido de compensar el problema.

    En todo caso da miedo bucear en los procesos del departamento financiero, certificados digitales de empresa, accesos a bancos, etc. Y es curioso porque esos departamentos suelen al manejar dinero tienen ciertas desconfianzas en algunas cosas :-)