La AI alerta de la falta de seguridad en los accesos a la banca online

Cloud

La Asociación de Internautas alerta sobre la existencia de una tendencia a analizar cada vez con menor detalle las distintas tecnologías de protección.

La banca online está expuesta “a toda serie de riesgos” por la falta de fiabilidad de los mecanismos de verificación de la identidad de los usuarios, de acuerdo con el último informe elaborado por los consultores de seguridad telemática Pentest y que publicó la Asociación de Internautas (AI).

El estudio subraya que los sistemas de firma de banca electrónica, ya sea basados en testigos en la Red (“tokens”) o en teclados virtuales, distan mucho todavía de poder considerarse como soluciones “robustas”. “Prácticamente todos adolecen del mismo fallo: su seguridad se implementa -en gran medida- a través de un protocolo, “http”, que jamás se diseñó para ser seguro, sino solo funcional”, explica el estudio.

A este respecto, el informe insiste en que el principal problema de seguridad de las aplicaciones Web es “su propia naturaleza”: la falta de seguridad en el propio protocolo de comunicaciones. Igualmente, resalta que la gran mayoría de métodos de “firma” que utiliza la banca electrónica son susceptibles de verse comprometidos “por toda una serie de vectores de ataque”.

No obstante, el análisis puntualiza que aunque los riesgos de los mecanismos de verificación de la identidad no se pueden eliminar completamente, sí que se pueden reducir en gran medida mediante la realización de pruebas periódicas especializadas sobre los sistemas de seguridad empleados.

En ese sentido, la Asociación de Internautas alerta sobre la existencia de una tendencia a analizar cada vez con menor detalle las distintas tecnologías de protección. “A veces se confía ciegamente en ciertos mecanismos clásicos, sin tener en cuenta que tan importante es un estudio de las particularidades de cada escenario concreto, como el del diseño en general y su específica implementación”, señala la asociación.