Chile, los bancos, y Firesheep
~
Actualización: Un lector – mas avispado que yo – apunta que el Banco del Estado carga el formulario de acceso en un iframe que si es encriptado. El sitio del Santander probablemente hace algo parecido, lo que implica que mis críticas en este artículo están equivocadas. Creo que aún así el diseño de estos sitios es deficiente, porque no permiten confirmar a un usuario en forma fácil (por ejemplo, en la barra de dirección) que el sitio esta encriptado como debe ser, y verificar la seguridad del certificado. Pero aún así, el punto del artículo más abajo era otro, y como uno de mis pasatiempos favoritos es echar pericos contra periodistas que no corrigen sus errores como corresponde, la versión del artículo más abajo corrige el error.
~
El año pasado, cuando comencé a recibir un sueldo regular en Chile, finalmente abrí una cuenta corriente en ScotiaBank. Como me imagino que le pasa a muchos, no le dí demasiada importancia a la elección, aparte de que la mantención de la cuenta fuera barata. Para mi horror, sin embargo, me encontré con que el sitio de acceso a mi cuenta en el banco era absolutamente inseguro, es decir, no usaba un sistema de encripción cliente-servidor que permitiera codificar y verificar el envío de el nombre del usuario y la contraseña. O en castellano, al acceder al sitio del banco, mi navegador favorito no mostraba el famoso «https://» antes de la dirección. La falta de acceso seguro a sus sitios pone en peligro a sus clientes, permitiendo posibles ataques en que el usuario y contraseña les sean robados. Mala, mala cosa.
No fue la única razón, pero después de haberles comunicado este problema en el lenguaje más claro que pude y no haber recibido respuesta satisfactoria, decidí cambiarme de banco. Obviamente, prefiero un banco al que le importe tan poco la privacidad y la protección de datos de sus clientes si voy a guardar todo mi plata en sus cajas fuertes. Justo en el período en que había abierto una cuenta en otro banco, ScotiaBank se puso las pilas, y hoy en día sus clientes pueden acceder a su cuenta vía una página segura. Un poco tarde para mí, pero bien por ellos.
Me acordé de este episodio al leer la noticia de la aparición de FireSheep, un add-on para Firefox que permite a cualquier usuario – incluso el que no tiene idea de lo que es SSL – interceptar las cookies que intercambian navegadores y sitios durante una sesión y así ver el sitio de las víctimas. Y aunque sabía que mi ex-Banco se había avispado, me dí una vuelta rápida por los bancos de nuestra querida patria.
Y [estos días] aunque la inmensa mayoría de los bancos tienen acceso seguro a sus páginas (bien por ellos y sus clientes).
P.S.: A propósito de FireSheep, vale la pena mencionar que los autores no crearon este add on para facilitar el acceso ilegítimo a cuentas ajenas, sino para forzar a los sitios que proveen servicios con acceso (o sesiones) inseguro a corregir este problema. Pero no se olvide, querido lector, que aunque han hecho el acceso tecnicamente posible, aún así es ilegítimo. Robarse la tele del vecino esta mal, aunque haya dejado la puerta abierta. O en este caso, porque el cerrajero no le dijo que cualquier llave la puede abrir.
~
Estimado, como buen informatico tambien me habia dado el trabaj ode revisar mi banco (Banco Estado) y resulta que la caja del login si funciona con ssl, ya que es cargada a traves de un iframe con la direccion respectiva, incluyendo el https por lo que los datos ya viajan encriptados.
Banco Santander no lo hace, lamentablemente.
Cristóbal,
Gracias por la aclaración. Artículo enmendado!
La verdad es que parece que se perdió algo de tu post original, así que no me queda muy claro de qué estás hablando. Visitaste los bancos, ¿y qué encontraste?
@Eduardo,
No se perdió, sino que lo corregí, porque en el artículo original indicaba que dos bancos (Bancoestado y Santander) no estaban usando encripción en sus páginas principales. Esto es incorrecto, como apunta Cristóbal. Lo que pasa es que lo usan en un iframe (al menos el estado), y por lo tanto hay al menos un nivel de encripción. Ergo la corrección y modificación del artículo.
Estoy investigando un poco más antes de cometer otro error.
Saludos.
Aunque se use un iframe y éste sea con SSL, ¿Cómo sabe el usuario si el certificado es válido? ¿Qué no está siendo redirigido a otro sitio que también tiene SSL?
¿Qué sentido tiene no encriptar toda la comunicación?
Así que, por muy encriptado que sea el sitio, si el usuario no puede verificar su autenticidad, de poco sirve para garantizar seguridad.
@Germán,
Sin duda, tienes razón, algo que intenté atacar con la actualización. El problema de como tienen diseñados sus sitios esos bancos es que básicamente están diciendo «confía en nosotros», y no dan toda la información que el usuario requiere para juzgar la seguridad del sitio.
Aunque ese es un tema un poco distinto que «no usan encriptación».
Saludos.