miércoles, enero 30, 2008

A la banca online argentina le importa un bledo la seguridad

Ahora, bajando el tono, estoy preocupado por la debilidad que presenta la banca online en Argentina para acceder al estado de cuenta.

Tuve la oportunidad de probar 3 bancos que permiten operaciones por internet. Diría que son los 3 principales bancos de Argentina. Ellos son Francés, Galicia y Santander Río.

Pues bien, en todos ellos, mi contraseña de acceso es de 4 caracteres NUMÉRICOS!

Imposible de creer, no?

Para graficarlo, veamos la fortaleza de la contraseña de acceso en diferentes modalidades.

En primer lugar, 4 caracteres numéricos indican valores entre 0000 y 9999. O sea 10.000 combinaciones posibles.

En segundo lugar, 4 caracteres alfanuméricos representan una cantidad mayor de combinaciones. Construyámoslo paso a paso:

  1. 26 son las letras estándares de internet, desde la "a" a la "z", por lo tanto el primer conjunto elegible para nuestra contraseña.
  2. Si a esto le sumamos la posibilidad de mayúsculas ("A" a "Z"), se vuelven 52 caracteres elegibles.
  3. Si sumamos también los números (0 a 9), tenemos 62 caracteres elegibles.
  4. Al final, tenemos 14.776.336 combinaciones posibles

Y finalmente, en tercer lugar, volvamos a los 4 números y también consideremos a la persona sin demasiada experiencia en el uso de Internet. Un usuario así, pensaría: "Un número de 4 cifras... fácil de recordar… mmm… dejame pensar... ah, ya sé! La fecha de nacimiento!". Este caso no es traído de los pelos, es el caso de un compañero de trabajo que usa la fecha de nacimiento de su hijo como contraseña. Algo para nada recomendable, y va el porque.

Tomando los números de 0000 a 9999, cualquier fecha de nacimiento regular, caería por ejemplo entre el  año 1900 y el 2008 (considerando tanto a los abuelos como a los hijos). Es decir, las 10.000 posibilidades originales se redujeron a 108! Muy peligroso para Internet.

Resumiendo en una tabla:

Opción Combinaciones posibles
Opción de contraseña del Banco Galicia, BBVA Banco Francés y Banco Santander Río (4 caracteres numéricos) 10.000
4 caracteres alfanuméricos 14.776.336  (1500 veces la opción de lo bancos).
6 caracteres alfanuméricos (estándar en internet, pero aún esto se considera débil)) 56.800.235.584 (5 millones de veces la opción de los bancos).
Opción de los mismos bancos para transferir dinero a otra cuenta (8 caracteres numéricos)) 100.000.000 combinaciones.
4 caracteres alfanuméricos más coma, punto, punto y coma, corchetes, etc.. (128 caracteres)) 268.435.456 posibilidades.
Usuario de internet inexperto que usa fecha de nacimiento como contraseñass 108 combinaciones.

Percibo que la principal razón de esto, es la interoperabilidad de las plataformas. Es decir, simplificar la tarea al usuario cuando opere desde el cajero automático, desde el teléfono (fonobanco) o desde la pc. Esto le "evitaría tener tantas contraseñas".

El caso es que mientras desde un cajero o desde  un teléfono, necesitamos tener acceso al dispositivo para corroborar nuestra identidad. En el cajero, tenemos una tarjeta física más la contraseña de acceso. En el teléfono, queda registrado el número desde donde se operó.

Para operar por Internet no hace falta tal acceso. Simplemente se necesita una PC. Lo que da posibilidad de acceder desde cualquier parte: casa, trabajo, cyber, Bolivia, Santiago…

El punto es que por simplificar la tarea del usuario, ponen en peligro su dinero (nada más, ni nada menos).

En resumen, la banca online de Argentina permite un acceso muy débil a las cuentas de los clientes. En el peor de los casos, probar tan solo 108 combinaciones posibilitaría el acceso a dichas cuentas.

Vos, lector, vivís en otro país? Cómo es la banca online allí?

Nota al margen: El famoso candado de los navegadores, no protegen al usuario en este sentido. Que un sitio tenga candado indica que toda la información que viaja desde la PC al banco va encriptada. No se protege la intromisión en las cuentas.

1 comentario:

Pablo Pizarro dijo...

Quería compartir un artículo relacionado de Silicon News.

Las empresas descuidan la seguridad ante la Web 2.0

" muy pocas prestan atención a los riesgos de seguridad que puede conllevar comunicarse sin ningún tipo de encriptación. En concreto, un 65 por ciento de las empresas norteamericanas no hace nada para evitar que terceras personas puedan captar las comunicaciones internas.

El sector bancario es uno de los que se ha visto más afectado por la Web 2.0. Los bancos ofrecen una amplia gama de servicios al cliente para que éste opere desde su propia casa, pero también tienen que cuidar al máximo el sistema de seguridad.

Los bancos tendrán que estar seguros de que no han perdido el control de la integridad de sus datos si usan la Web 2.0"

.- http://www.siliconnews.es/es/news/2008/02/03/las_empresas_descuidan_la_seguridad_ante_la_web_2_0