La seguridad de la información bancaria es un aspecto vital de los bancos y compañías financieras. A continuación les compartimos el artículo realizado por el Consultor en Seguridad de la Información Santiago Hernandez, donde muestra algunos puntos claves en seguridad de la información en el sector bancario como sus riesgos.
«Actualmente en Colombia la seguridad ofrecida por los bancos en internet no cumple con las buenas prácticas internacionales y recibe una calificación reprobatoria».
El acceso masivo a las nuevas tecnologías ha permitido a los bancos ofrecer a través de internet acceso a de forma virtual a sus sucursales. Lastimosamente en los últimos años se han encontrado graves vulnerabilidades en los protocolos de seguridad sobre los cuales se transmite la información entre los clientes y los bancos. La existencia de estas vulnerabilidades permite la posible interceptación y alteración de los datos, tales como; credenciales de acceso, números de cuenta, pagos, autorizaciones, etc…
Las vulnerabilidades son descubiertas de forma periódica, por lo cual es importante que las instituciones que prestan sus servicios en línea hagan una validación regular de las mismas. Situación que no se presenta habitualmente. Por lo cual se decidió hacer una validación sobre los cinco bancos colombianos más grandes en el mercado.
- Banco de Bogotá
- Bancolombia
- Banco de Occidente
- Banco Popular
- Davivienda
La validación se realizó a través de la herramienta SSL Labs de la firma Qualys. La herramienta pondera una calificación con letras (A-F), siendo A la nota más alta y F la más baja con un corte de aprobación mínimo de C.
Resumen de hallazgos
A continuación se presentan los resultados obtenidos luego de probar cada una de las páginas web transaccionales de los bancos.
- Banco de Bogotá: F
- Bancolombia: C
- Banco de occidente: F
- Banco Popular: F
- Davivienda: F
Promedio: F
En la gráfica anterior se muestra el porcentaje de recurrencia de las vulnerabilidades conocidas sobre los cinco bancos probados.
Como se puede evidenciar hay unas falencias endémicas sobre la configuración de los protocolos de seguridad en los servicios virtuales ofrecidos por los grandes bancos colombianos. Lo cual pone en riesgo a sus clientes quienes realicen transacciones sobre redes compartidas o públicas. Por lo cual es necesario que se implemente un plan de acción inmediato en busca de solucionar estas falencias.
Glosario
Poodle: Vulnerabilidad sobre el protocolo seguro HTTPS (SSLv3/TLS) mediante la cual se puede descifrar los datos mediante cambios en la transmisión. Reportada inicialmente en Octubre de 2014.
Cifrados inseguros: Algoritmos de cifrado que poseen debilidades conocidas, mediante las cuales se puede descifrar los datos.
Firma de certificado insegura: La posibilidad de encontrar colisiones en el algoritmo SHA1 es alta con los avances tecnológicos actuales. Por lo cual imitar una firma de un certificado válido es posible.
Protocolos modernos no habilitados: El servidor no tiene disponible las ultimas versiones de los protocolos de seguridad.
No soporta FS (Forward Secrecy): FS es una propiedad de los canales de comunicación seguros, mediante el cual las comunicaciones previas no pueden ser descifradas si la llave maestra es encontrada o robada.
SSLv3: Protocolo de comunicaciones seguras, obsoleto y vulnerable.
Evidencias
Davivienda
Vulnerabilidades encontradas:
- Poodle
- Cifrados inseguros
- Firma de certificado insegura
Banco de Bogotá
Vulnerabilidades encontradas:
- Poodle
- Cifrados inseguros
- Firma de certificado insegura
- Protocolos modernos no habilitados
- No soporta FS
Banco de Occidente
Vulnerabilidades encontradas:
- Poodle
- Cifrados inseguros
- Firma de certificado insegura
- Protocolos modernos no habilitados
- No soporta FS
Banco Popular
Vulnerabilidades encontradas:
- Poodle
- Cifrados inseguros
- Protocolos modernos no habilitados
- No soporta FS
Bancolombia
Vulnerabilidades encontradas:
- SSLv3
- Cifrados inseguros
- No soporta FS
Escrito por
Santiago Hernández
Consultor de Seguridad de La Información
