Atul Prakash, profesor de Ingeniería y Ciencias de la Computación en la Universidad de Michigan, examinó los sitios de Internet de 214 instituciones financieras en el año 2006

ANN ARBOR, Michigan—Más de un 75 por ciento de los sitios bancarios en Internet evaluados por un estudio de la Universidad de Michigan mostraron por lo menos una falla de diseño que podría dejar a los clientes vulnerables ante los ladrones cibernéticos que buscan su dinero o aún su identidad.

Atul Prakash, profesor de Ingeniería y Ciencias de la Computación en la Universidad de Michigan, examinó los sitios de Internet de 214 instituciones financieras en el año 2006. Prakash presentará sus conclusiones por primera vez en la reunión del Simposio sobre Seguridad y Privacidad en la Universidad Carnegie Mellon, mañana, miércoles.

Estas fallas de diseño no son errores que puedan arreglarse con un parche. Surgen de la diagramación y el flujo de estos sitios bancarios en Internet. Las fallas incluyen la colocación de casilleros de acceso y de información de contacto en páginas que no son seguras, como asimismo la falta de mantenimiento de un diseño coherente del sitio y el acceso (URL). Prakash dijo que algunos bancos pueden haber tomado medidas para resolver estos problemas en los últimos años, pero en general, él sigue viendo una gran necesidad de mejorías.

“Para nuestra sorpresa, las fallas de diseño que podrían comprometer la seguridad fueron generalizadas”, dijo Prakash. “Nosotros presumimos que los usuarios tratan de ser cuidadosos, pero algunos bancos hacen que sea difícil que los clientes tomen las decisiones correctas acerca de la seguridad”.

Estas fallas dejan brechas en la seguridad que los oportunistas podrían explotar para obtener acceso a información privada y las cuentas. La Corporación Federal de Seguro de Depósitos (FDIC por sus siglas en inglés) indica que la intrusión en computadoras, si bien es relativamente rara comparada con los crímenes financieros como los fraudes con hipotecas y cheques, es un problema creciente para los bancos y sus clientes. Un reciente Informe de Incidentes de Tecnología de la FDIC, compilado sobre los informes de actividad sospechosa en los bancos presentan cada trimestre, menciona 536 casos de intrusión de computadora, con una pérdida promedio por incidente de 30.000 dólares. Esto representa casi 16 millones de dólares de pérdidas en el segundo trimestre de 2007. Las intrusiones de computadora se incrementaron en un 150 por ciento entre el primer y segundo trimestres de 2007. En 80 por ciento de los casos, la fuente de la intrusión es desconocida, pero ocurrió durante las transacciones bancarias por Internet, indica el informe.

Las fallas de diseño que Prakash y su equipo inspeccionaron, incluyen:

• La colocación de los casilleros seguros de ingreso en páginas inseguras: el 47 por ciento de los bancos incurrió en esta falla. Un intruso podría reencaminar la información ingresada en esos casilleros o crear una copia falsa de la página para cosechar la información. En una situación de comunicación inalámbrica, es posible conducir este ataque de intermediario sin cambiar el URL del banco para el usuario, de manera que aún el cliente vigilante podría ser víctima de esto. Para resolver este problema, los bancos deberían usar el protocolo estándar “capa de seguridad” (secure socket layer SSL) en las páginas que soliciten información delicada, dice Prakash. (Las páginas protegidas con SSL se abren con https. en lugar de http.). La mayoría de los bancos usa la tecnología SSL para algunas de sus páginas, pero una minoría de los bancos protege todas sus páginas de esta forma.
• La colocación de la información de contacto y consejos sobre seguridad en páginas inseguras: ésta fue la falla en la que incurrieron más bancos, el 55 por ciento. Un intruso podría cambiar una dirección o un número telefónico y establecer su propio centro de llamadas para recolectar información privada de los clientes que necesitan ayuda. Los bancos tienden a ser menos cautelosos con la información que puede encontrarse fácilmente en otras partes, dijo Prakash. Pero los clientes confían en que la información en el sitio del banco es correcta. Este problema podría solucionarse asegurando estas páginas con el protocolo estándar SSL
• Una ruptura en la cadena de confianza: cuando el banco reencamina los clientes a un sitio afuera del dominio del banco para ciertas transacciones sin advertencia, ha omitido mantener un contexto para buenas decisiones sobre la seguridad, indica Prakash. El investigador encontró este problema en 30 por ciento de los bancos estudiados. A menudo la apariencia del sitio cambia, al igual que el URL y es difícil que el usuario sepa si puede o no puede confiar en este nuevo sitio. La solución, señala Prakash, es advertir a los usuarios que van a salir del sitio del banco y pasarán a un nuevo sitio de confianza. O el banco podría albergar todas sus páginas en el mismo servidor. Este problema surge a menudo cuando los bancos subcontratan con ajenos a algunas funciones de la seguridad.
• Permitir el uso de identificaciones y contraseñas del usuario inadecuadas: los investigadores buscaron sitios que usan los números del seguro social o las direcciones electrónicas como claves de identificación del usuario. Si bien es más fácil que los clientes recuerden esta información, también es más fácil adivinarla o encontrarla. Los investigadores también buscaron sitios que no determinan una política sobre contraseñas o que permiten contraseñas débiles. El 28 por ciento de los sitios estudiados tenía una de estas fallas.
• El envío por correo electrónico sin seguridad de información que es importante para la seguridad: la senda de datos del correo electrónico en general no está asegurada, dijo Prakash, y sin embargo el 31 por ciento de los sitios bancarios de Internet mostró esta falla. Estos bancos ofrecían el envío por correo electrónico de contraseñas o de balances. En el caso de los balances, a menudo a los usuarios no se les decía que recibirían un enlace, esto es el balance actual, o una notificación de que su balance estaba disponible. Una notificación no es un problema, pero el envío por correo electrónico de una contraseña, un enlace o un balance, no es una buena idea, indicó Prakash.

Prakash condujo este estudio después que notó fallas en los sitios de Internet de sus propias instituciones financieras. La muestra de sitios bancarios de Internet incluye muchos de los bancos más grandes del país. El artículo lleva el título ‘Análisis de sitios de Internet con fallas de seguridad en el diseño visible para el usuario’. Los coautores con Prakash son Laura Falk, estudiante doctorada en el Departamento de Ingeniería Eléctrica y Ciencias de la Computación, y Kevin Borders, un candidato doctorado en el mismo departamento.

Por más información

• Atul Prakash
• Symposium On Usable Privacy and Security

Contacto (español): Vivianne Schnitzer
Teléfono: (734) 763-0368

Contacto (inglés): Nicole Casal Moore
Teléfono: (734) 647-1838