FALLOS DE SEGURIDAD EN LOS GRANDES BANCOS

Un reciente estudio demuestra que existen fallos potencialmente graves de seguridad en la mayoría de los sitios web de Bancos On Line, incluidos los grandes sitios web de los Bancos mas conocidos.

El estudio realizado en la Universidad de Michigan ha destapado que más del 75 por ciento de los sitios Web de bancos encuestados tenían por lo menos un defecto de diseño que podría hacer vulnerables a los clientes ante los ladrones cibernéticos permitiendo que pudiran apoderase de su dinero o incluso de su identidad.

Atul Prakash, un profesor en el Departamento de Ingeniería Eléctrica y Ciencias de la Computación y los estudiantes de doctorado Laura Falk y Kevin Fronteras han examinado meticulosamente los sitios Web de 214 instituciones financieras durante el 2006. Los resulados fueron presentados por primera vez en el Simposio sobre Seguridad y Privacidad Util durante la reunión en la Carnegie Mellon University el 25 de julio.

Estos defectos de diseño no son errores que pueden arreglarse con un simple parche. Según el estudio normalente se derivan del trafico y el diseño de estos sitios web. Las fallos incluyen la colocación de registro en las casillas-y la información de contacto sobre páginas web inseguras, así como no mantener a los usuarios en el sitio que visitó inicialmente. Prakash dice que algunos bancos han tomado medidas para resolver estos problemas ya que estos datos se recopilan, pero en general todavía cre que necesariamente se podrian mejorar

"Para nuestra sorpresa, defectos de diseño que pudieran poner en peligro la seguridad son generalizados y estan incluidos en las paginas web de los más grandes bancos del país", dijo Prakash. "Nuestra atención se centró en los usuarios que tratan de ser cuidadosos, pero desafortunadamente algunos sitios de bancos hacen que sea difícil para los clientes hacer que sean correctas y seguras las decisiones cuando se hace banca en línea".

Los defectos de dejar grietas en la seguridad que los hackers pueden explotar para obtener acceso a información privada y las cuentas no es una sorpresa, dice el equipo de intrusos de la FDIC, mientras que aseguran que son relativamente raras en comparación con los delitos financieros y como el fraude de las hipotecas y la comprobacion el fraude, es un problema creciente para los bancos y sus clientes.

Un reciente informe de incidente de Tecnología de la FDIC, fue elaborado a partir de informes de los archivo de actividades sospechosa de los bancos trimestralmente, en los que se detecto 536 casos de intrusión, con una pérdida media por incidente de $ 30.000. Que se suma a una de cerca de US $ 16 millones de pérdidas en el segundo trimestre de 2007. La Intrusiones en los equipos aumentarón en un 150 por ciento entre el primer trimestre de 2007 y el segundo. En el 80 por ciento de los casos, la fuente de la intrusión es desconocida, pero se produjeron durante la alguna operación de banca en línea, señala el informe

Los defectos de diseño que ha señalado Prakash y su equipo son los siguientes:

* Colocación de cajetines de acceso de seguridad a páginas inseguras: Un 47 por ciento de los bancos son culpables de ello. Un hacker podría redirigir los datos introducidos en las cajetiness o crear una copia falsa de la página de información para recopilar datos. En una conexión inalámbrica, es posible llevar a cabo el ataque del "hombre en el medio" sin cambiar la URL de banco por la del usuario, de modo que incluso un cliente alerta podría ser víctima. Para resolver este problema, los bancos deberán utilizar el protocolo de modelo normalizado "Secure Socket Layer" (SSL) en las páginas que solicitan información sensible, dice Prakash. (las páginas protegidas con –SSL comienzan con https en lugar de http). Mayoría de los bancos utilizar la tecnología SSL para algunas de sus páginas, pero sólo una minoría son seguras de esta manera.

* Poner en contacto información y asesoramiento en materia de seguridad sobre páginas inseguras: En el 55 por ciento, con la mayoría de los delincuentes este fue el fallo. Un atacante podría cambiar una dirección o número de teléfono y crear su propio centro de llamadas para reunir datos privados de los clientes que necesitan ayuda. Los bancos tienden a ser menos prudentes con la información que es fácil de encontrar en otros lugares, dice Prakash. Pero los clientes confian de que la información sobre el sitio del banco es correcta. Este problema podría resolverse mediante la consecución de estas páginas con el protocolo estándar SSL.

* Después de haber una violado de la cadena de confianza: Cuando el banco redirecciona a los clientes a un sitio fuera del dominio del banco para determinadas operaciones sin previo aviso, que no ha podido mantener un buen contexto para las decisiones de seguridad, dice Prakash. Se encontró con este problema en el 30 por ciento de los bancos investigados. A menudo el aspecto de los cambios en el sitio, así como la URL es difícil saber para el usuario si puede confiar en este nuevo sitio. La solución, dice Prakash, es advertir a los usuarios que va a salir del sitio web del banco a un nuevo sitio de confianza. O el banco podría incluri en su home index todas sus páginas en el mismo servidor. Este problema a menudo surge cuando los bancos externalizan algunas funciones de seguridad.

* Permitir la insuficiencia de identificadores de usuario y contraseñas: Los investigadores buscaron sitios que utilizan números de la seguridad social o las direcciones de correo electrónico asi como las IDs de los usuario. Si bien esta información es fácil para los clientes de recordar, también es fácil de adivinar o descubrir. Los investigadores también buscaron sitios que no han tienen una política de contraseñas o permiten que las contraseñas sean débiles. El veintiocho por ciento de los sitios estudiados tenían uno de estas fallos .

*Inseguridad en la seguridad del E-mailing y la información sensible: Los datos de los e-mail se dirigen generalmente pero no es seguro, dice Prakash, sin embargo, el 31 por ciento de los sitios Web de los banco tiene este tipo de fallos . Estos bancos ofrecen e-mail o declaran las contraseña. En el caso de las declaraciones, los usuarios a menudo no se les dijo si recibirá un enlace, la declaración, o una notificación de que la declaración estaba disponible en su correo. La notificación no es un problema, pero un e-mail con una contraseña, o un vínculo o una declaración de que tiene disponible su, no es una buena idea, dice Prakash.

Prakash inició este estudio después de notar todos estos fallos en sus propios sitios Web de instituciones financieras. El documento es un denominado "Análisis de seguridad de sitios web para el usuario y defectos visibles de diseño". Falk y Fronteras son estudiantes en el Departamento de Ingeniería Eléctrica y Ciencias de la Computación.


0 comentarios to "FALLOS DE SEGURIDAD EN LOS GRANDES BANCOS"

Publicar un comentario en la entrada

Blog Archivo

Subscribete via E-Mail

Subscribete via RSS!

Ingresa tu email para:
Recibe actualizaciones del Blog.

Etiquetas

16-bit 2.0 2012 256 colores 2d 3 404 5 8 acelerar Acer Aspire ActionScript ADD-ONS addon adobe adobe air Adsense aerogarden agilidad airbender AJAX alarma alien all your base alta definición Android angulacion answers API APIs aplicacion aplicaciones Apple apps archive Argentina ask atajo atajos de teclado ataque audio avance avatar aventura grafica back background backtweets balsamiq mockups banda bang banners barcelona barra lateral bases de datos Batacazo bateria bbcode bear bebé Biblioteca Virtual big bing BitDefender BitTorrent blekko Blog blogger bloggers blogósfera Blogs bocetos bollywood bordes botánica brickify brush buenos aires buscador búsqueda avanzada cache caja calendario calidad cámara web canciones Canvas carrusel catástrofe ceguera de banners celular CEO charla chpimunk chrome chrome web store chromium chuck norris cine Cisco cita cliente ftp cloud cluster Cms cocina codec código coleccion color colorotate columna comercio commodore 64 compatibilidad Competencia compositio Comscore comunicacion Comunidad comunidad online Conferencia configuración consejos contenido content copia correo correo electrónico cotidiano cpanel Creatividad criminal cross-browser cse CSS CSS3 cubo cuenta cuentos cultivo Curiosidades curso photoshop Cursos daisies date Debian degradé dell desaparecer desarrollo web descarga Descargas descomprimir desfragmentar despertador despertar deviantart DHTML Digg diseñador Diseño Diseño Grafico Diseño Gráfico diseño web Disney dispositivo dispositivos moviles dispositivos táctiles div dominio dramatic dropbox duck go e-book e-commerce e-commerce day e-mail EBE ecología editor educación a distancia educativo Educativos Niños efecto efectos ejemplo emblema emprendimiento emulador emuladores encabezados encuesta enlace episodios error escritura España estadística Estados Unidos estilo estudio etica evento Eventos Excel exportar extensión extensiones extraterrestre Facebook facebook connect garage fc64 feeds Fiberparty film Filosofía Firebug firefinder Firefox firmware fixes Flash flex 4 Flickr fondo fondos font font dragr form formularios foto Fotografía Framework freelance fuente fuentes future FXG g1 gadget gadgets games gaming gazelle geek gestion gestor de contenido gestos gestuales gesture ghajini gm730 Gmail Google google analytics google app Google Calendar Google Chrome Google Docs gradient gradiente gradientes gráfico gran torino gratis groupon guerra guia h.264 habla hack Hackers handle handler hardware herramientas gráficas hitchcock hollywood homepage horizontal hover HP html HTML válido HTML5 HTTP hub huerta IBM icono IE illustrator imagen Imagenes imágenes importar impress inclinacion indio infecciones info-box infografías iniciador Inkscape inspiracion interactivo interfaz Internet Internet Explorer interno invasión investigación iPhone iphone os iPod island istick IT iTunes U jackson JavaScript jerarquía jetpack jQuery jQuery TOOLS jsc64 juego Juegos lanzamiento laptop lego lenguaje Lenovo Lg libre librería libro limpieza Links Linux literatura lógica logo logos logotipo lolcat Lotería love luca lucasarts luces luminoso luz Mac mac book pro mac os x MacBook macro mago Malware manejo mantenimiento manual mapa mapeo maquetación marciano Marketing mascara mascota McBook medicion medio ambiente meme memoria mente menú metafilter metropolis michael microsoft Mobile Learning mockup monkey moonwalker mootools moousture motivacional motor de busqueda motores de búsqueda mouse mouseprobe mov movil mozilla Mozilla Firefox Mozilla Labs mp3 MS Office mujer maravilla multimedia MultiTouch música MXML MySpace MySql N97 napkee navegación Navegador navegadores networking New York nightly nihilogic no ser encontrado nodos Nokia notebook noticias Novedades ochentoso oferta offers oficial online Open Source Open SUSE OpenOffice opera operativo oportunidad optimización orden organizacion orgullo os oscurecer oscuridad oso Outlook oz page speed PageRank pagespeed pageviews panaderia Panda paneles pantalla pantallas táctiles parasitos PDF peekfeed película pencil peoplebrowsr perfil pestaña photoshop photoshop clase 2 PHP php 5 Picasa picker pinceles pingie piratas pirates plagio plantación plantar plantilla plastic logic Plugin plugins pocket yoga podcasts port portal portátil posicionamiento powerpoint ppc prejuicio preparacion presentación Productividad Programación programas promocion protofish prototype proyecto prueba PSD Psicología public Publicidad puerto QEMU quickoffice quicktime quote rafael jimenez rank Recursos Red red social reddit Redes sociales reloj remake reproductor reseña resolución respaldo resultado retro robo rojo RSS rubik Ruby rust Safari Salud sans-serif sclipo script sculpting sdk seleccionador SEO serie serif SERP server servidor servidor web set shadow share sherlock shortcodes shuffle sidebar sidepost simple simpson Sin clasificar sistema sistema operativo sistemas operativos sitios web slideshow smart smooth SMS snow leopard social sociedad Software Software educativo software libre sombra sonido soundmanager2 spam spreadsheet SQL Squeeze startup steps left store streaming subdominio success suckerfish sun microsystems tablas table tabs tactil Taller de Fotografía Digital Taller de Photoshop taller photoshop Talleres Tarjetas de Crédito teaser tecnica Tecnologia teddy telefono television telltale template templates textbox the theme Themes theora thumbnails tienda time tipografía tipografias tips titulares to touchscreen tower defense trailer transform transition tres Troyano Troyanos truco Trucos tutorial photoshop tutoriales TV tweet tweetstats Twitter unplugged Usabilidad USB usuarios Utilidades para PC Utilidades para tu web variables vector vegetales velocidad venta Ventas verde verdura version video videojuego videojuegos videos Videos de Música Peruana viernes Viernes Unplugged VirtualBox Virus Visas VMware voucher w3c wallpaper wallpapers web Web 2.0 web participativa webcam WebKit webm webmaker Wi-Fi widescreen Wikipedia Windows Windows 7 Windows Mobile wiz wizard wolfram wonder woman Word Wordpress WorldBuilder wwdc 09 XHTML yahoo Youtube yui zip