Tu cuenta bancaria, es segura? Estudio comparativo de Seguridad en Bancos de Paraguay

Leyendo Security by Default encontre un analisis de la seguridad de los sitios de banca online de los bancos españoles, y se me ocurrio hacer un estudio similiar aplicado a los bancos locales.

El estudio fue realizado a los bancos autorizados a operar por el BCP [si me olvide de alguno me avisan], y toma 4 parametros de seguridad, dando como resultado que tan seguro es la web del banco.

Estos parametros son:

  • Soporte a SSLv2: Que significa esto? SSL es un Protocolo Criptográfico o de cifrado que se utiliza para dar conexiones seguras(no interceptables) en Internet, el protocolo fue evolucionando hasta su versión 3, cosa que el hecho que un sitio soporte la versión 2 es un riesgo de seguridad, dado que es obsoleto y con algunos agujeros de seguridad, la calificación ideal es que NO SOPORTE SSLv2.
  • Certificado SSL con Validación Extendida: Hay diferentes tipos de certificados, estan los certificados normales SSL y los extendidos, estos últimos son mas caros(aprox. 1000$) que los certificados normales (aprox. 200$), ademas para obtener un Certificado con Validacion Extendida la entidad tiene que pasar mas requisitos, esto es lo que lo hace mas seguro. Se puede comprobar fácilmente porque la barra de dirección del navegador cambia como en esta imagen se puede ver el candado y el recuadro verde, en un sitio con un certificado ssl normal solo se vería el candado.
  • Longitud de la Clave de Encriptación: cuanto mayor sea el numero, es mas dificil de descifrar, es mas seguro, lo ideal para un banco es 2048.
  • Soporte a algoritmos "debiles": Se toma como "debil" un algoritmo que la longitud de la clave en la conexion sea de 64bits o menos, si soporta estos algoritmos, es un punto negativo.

Una vez definidos los parámetros a evaluar sin dar mas vueltas...

Resultados:

Obs: El orden es según la calificación obtenida, el color verde significa aprobado y el rojo reprobado, la calificación es por "puntos obtenidos" puede ser o no un indice de seguridad total, por ultimo esta la dirección de la cual se tomo la muestra, el login del usuario del Home Banking.

Para entender mejor podríamos establecer una escala de:

  • 4 puntos = Optimo
  • 3 puntos = Notable
  • 2 puntos = Aceptable
  • 1 punto = Preocupante
  • 0 puntos = Reprobado

Con un vistazo nos damos cuenta que ningún banco paso la prueba en un 100%, aunque hay algunos parámetros que son mas importantes que otros .

El de menor importancia a mi parecer es el Certificado SSL Extendido, ya que es una certificación, un banco sin esa certificación podría cumplir los requisitos y no tener "ganas" de pagar 1000$ al año, aunque esa suma para un banco es nada.

Los mas importantes(una vez mas según mi experiencia) son el soporte de SSLv2 y el de Algoritmos débiles, estos parámetros si son muy importantes porque si dan negativo, como en muchos de los resultados, el banco esta mucho mas expuesto.

Metodología aplicada

Esta parte es un poco técnica, es para que quien quiera pueda comprobar los resultados, si no entendés saltea a la conclusión, todo ok ;)

Verificación SSL v2:
openssl s_client -ssl2 -connect servidor:443
Tipo de certificado (Normal / EV):
Cualquier navegador actual (Chrome, Firefox, IE)
Longitud clave pública:
openssl s_client -connect servidor:443
Soporte de algoritmos débiles:
openssl s_client  -cipher LOW:EXP -connect servidor:443

Conclusión

Si un banco tiene 0/4 no quiere decir que automáticamente sea un colador, se podría considerar un sitio "seguro", pero que podría ser MUCHÍSIMO mas seguro.

Es preocupante el hecho que solo 4 bancos tienen una puntuación de 2 para arriba, lo peor de todo que estas medidas de seguridad no significan un gasto demasiado grande, mas aun para un banco, generalmente es contar con la voluntad política y el personal adecuado, sino, capacitar a la gente que maneja su seguridad.

Es cierto que en la mayoría de estos bancos uno no puede hacer "transferencias" desde su web, pero "alguien" podría acceder a información confidencial, acaso a alguien le gustaría que cualquiera supiera su estado bancario?

Ojala que se tome mas enserio la seguridad en general, pero me parece que siendo una entidad que maneja dinero y mucha información personal tendrían que ser los primeros interesados en hacer algo al respecto.

Si tenes alguna pregunta o comentario, no dudes en hacerlo.

Y tu banco, que calificación tiene?

Comentarios

comments powered by Disqus