~

Actualización: Un lector – mas avispado que yo – apunta que el Banco del Estado carga el formulario de acceso en un iframe que si es encriptado. El sitio del Santander probablemente hace algo parecido, lo que implica que mis críticas en este artículo están equivocadas. Creo que aún así el diseño de estos sitios es deficiente, porque no permiten confirmar a un usuario en forma fácil (por ejemplo, en la barra de dirección) que el sitio esta encriptado como debe ser, y verificar la seguridad del certificado. Pero aún así, el punto del artículo más abajo era otro, y como uno de mis pasatiempos favoritos es echar pericos contra periodistas que no corrigen sus errores como corresponde, la versión del artículo más abajo corrige el error.

~

El año pasado, cuando comencé a recibir un sueldo regular en Chile, finalmente abrí una cuenta corriente en ScotiaBank. Como me imagino que le pasa a muchos, no le dí demasiada importancia a la elección, aparte de que la mantención de la cuenta fuera barata. Para mi horror, sin embargo, me encontré con que el sitio de acceso a mi cuenta en el banco era absolutamente inseguro, es decir, no usaba un sistema de encripción cliente-servidor que permitiera codificar y verificar el envío de el nombre del usuario y la contraseña. O en castellano, al acceder al sitio del banco, mi navegador favorito no mostraba el famoso «https://» antes de la dirección. La falta de acceso seguro a sus sitios pone en peligro a sus clientes, permitiendo posibles ataques en que el usuario y contraseña les sean robados. Mala, mala cosa.

No fue la única razón, pero después de haberles comunicado este problema en el lenguaje más claro que pude y no haber recibido respuesta satisfactoria, decidí cambiarme de banco. Obviamente, prefiero un banco al que le importe tan poco la privacidad y la protección de datos de sus clientes si voy a guardar todo mi plata en sus cajas fuertes. Justo en el período en que había abierto una cuenta en otro banco, ScotiaBank se puso las pilas, y hoy en día sus clientes pueden acceder a su cuenta vía una página segura. Un poco tarde para mí, pero bien por ellos.

Me acordé de este episodio al leer la noticia de la aparición de FireSheep, un add-on para Firefox que permite a cualquier usuario – incluso el que no tiene idea de lo que es SSL – interceptar las cookies que intercambian navegadores y sitios durante una sesión y así ver el sitio de las víctimas. Y aunque sabía que mi ex-Banco se había avispado, me dí una vuelta rápida por los bancos de nuestra querida patria.

Y [estos días] aunque la inmensa mayoría de los bancos tienen acceso seguro a sus páginas (bien por ellos y sus clientes).

P.S.: A propósito de FireSheep, vale la pena mencionar que los autores no crearon este add on para facilitar el acceso ilegítimo a cuentas ajenas, sino para forzar a los sitios que proveen servicios con acceso (o sesiones) inseguro a corregir este problema. Pero no se olvide, querido lector, que aunque han hecho el acceso tecnicamente posible, aún así es ilegítimo. Robarse la tele del vecino esta mal, aunque haya dejado la puerta abierta. O en este caso, porque el cerrajero no le dijo que cualquier llave la puede abrir.