El estudio realizado en la Universidad de Michigan ha destapado que más del 75 por ciento de los sitios Web de bancos encuestados tenían por lo menos un defecto de diseño que podría hacer vulnerables a los clientes ante los ladrones cibernéticos permitiendo que pudiran apoderase de su dinero o incluso de su identidad.
Atul Prakash, un profesor en el Departamento de Ingeniería Eléctrica y Ciencias de la Computación y los estudiantes de doctorado Laura Falk y Kevin Fronteras han examinado meticulosamente los sitios Web de 214 instituciones financieras durante el 2006. Los resulados fueron presentados por primera vez en el Simposio sobre Seguridad y Privacidad Util durante la reunión en la Carnegie Mellon University el 25 de julio.
Estos defectos de diseño no son errores que pueden arreglarse con un simple parche. Según el estudio normalente se derivan del trafico y el diseño de estos sitios web. Las fallos incluyen la colocación de registro en las casillas-y la información de contacto sobre páginas web inseguras, así como no mantener a los usuarios en el sitio que visitó inicialmente. Prakash dice que algunos bancos han tomado medidas para resolver estos problemas ya que estos datos se recopilan, pero en general todavía cre que necesariamente se podrian mejorar
"Para nuestra sorpresa, defectos de diseño que pudieran poner en peligro la seguridad son generalizados y estan incluidos en las paginas web de los más grandes bancos del país", dijo Prakash. "Nuestra atención se centró en los usuarios que tratan de ser cuidadosos, pero desafortunadamente algunos sitios de bancos hacen que sea difícil para los clientes hacer que sean correctas y seguras las decisiones cuando se hace banca en línea".
Los defectos de dejar grietas en la seguridad que los hackers pueden explotar para obtener acceso a información privada y las cuentas no es una sorpresa, dice el equipo de intrusos de la FDIC, mientras que aseguran que son relativamente raras en comparación con los delitos financieros y como el fraude de las hipotecas y la comprobacion el fraude, es un problema creciente para los bancos y sus clientes.
Un reciente informe de incidente de Tecnología de la FDIC, fue elaborado a partir de informes de los archivo de actividades sospechosa de los bancos trimestralmente, en los que se detecto 536 casos de intrusión, con una pérdida media por incidente de $ 30.000. Que se suma a una de cerca de US $ 16 millones de pérdidas en el segundo trimestre de 2007. La Intrusiones en los equipos aumentarón en un 150 por ciento entre el primer trimestre de 2007 y el segundo. En el 80 por ciento de los casos, la fuente de la intrusión es desconocida, pero se produjeron durante la alguna operación de banca en línea, señala el informe
Los defectos de diseño que ha señalado Prakash y su equipo son los siguientes:
* Colocación de cajetines de acceso de seguridad a páginas inseguras: Un 47 por ciento de los bancos son culpables de ello. Un hacker podría redirigir los datos introducidos en las cajetiness o crear una copia falsa de la página de información para recopilar datos. En una conexión inalámbrica, es posible llevar a cabo el ataque del "hombre en el medio" sin cambiar la URL de banco por la del usuario, de modo que incluso un cliente alerta podría ser víctima. Para resolver este problema, los bancos deberán utilizar el protocolo de modelo normalizado "Secure Socket Layer" (SSL) en las páginas que solicitan información sensible, dice Prakash. (las páginas protegidas con –SSL comienzan con https en lugar de http). Mayoría de los bancos utilizar la tecnología SSL para algunas de sus páginas, pero sólo una minoría son seguras de esta manera.
* Poner en contacto información y asesoramiento en materia de seguridad sobre páginas inseguras: En el 55 por ciento, con la mayoría de los delincuentes este fue el fallo. Un atacante podría cambiar una dirección o número de teléfono y crear su propio centro de llamadas para reunir datos privados de los clientes que necesitan ayuda. Los bancos tienden a ser menos prudentes con la información que es fácil de encontrar en otros lugares, dice Prakash. Pero los clientes confian de que la información sobre el sitio del banco es correcta. Este problema podría resolverse mediante la consecución de estas páginas con el protocolo estándar SSL.
* Después de haber una violado de la cadena de confianza: Cuando el banco redirecciona a los clientes a un sitio fuera del dominio del banco para determinadas operaciones sin previo aviso, que no ha podido mantener un buen contexto para las decisiones de seguridad, dice Prakash. Se encontró con este problema en el 30 por ciento de los bancos investigados. A menudo el aspecto de los cambios en el sitio, así como la URL es difícil saber para el usuario si puede confiar en este nuevo sitio. La solución, dice Prakash, es advertir a los usuarios que va a salir del sitio web del banco a un nuevo sitio de confianza. O el banco podría incluri en su home index todas sus páginas en el mismo servidor. Este problema a menudo surge cuando los bancos externalizan algunas funciones de seguridad.
* Permitir la insuficiencia de identificadores de usuario y contraseñas: Los investigadores buscaron sitios que utilizan números de la seguridad social o las direcciones de correo electrónico asi como las IDs de los usuario. Si bien esta información es fácil para los clientes de recordar, también es fácil de adivinar o descubrir. Los investigadores también buscaron sitios que no han tienen una política de contraseñas o permiten que las contraseñas sean débiles. El veintiocho por ciento de los sitios estudiados tenían uno de estas fallos .
*Inseguridad en la seguridad del E-mailing y la información sensible: Los datos de los e-mail se dirigen generalmente pero no es seguro, dice Prakash, sin embargo, el 31 por ciento de los sitios Web de los banco tiene este tipo de fallos . Estos bancos ofrecen e-mail o declaran las contraseña. En el caso de las declaraciones, los usuarios a menudo no se les dijo si recibirá un enlace, la declaración, o una notificación de que la declaración estaba disponible en su correo. La notificación no es un problema, pero un e-mail con una contraseña, o un vínculo o una declaración de que tiene disponible su, no es una buena idea, dice Prakash.
Prakash inició este estudio después de notar todos estos fallos en sus propios sitios Web de instituciones financieras. El documento es un denominado "Análisis de seguridad de sitios web para el usuario y defectos visibles de diseño". Falk y Fronteras son estudiantes en el Departamento de Ingeniería Eléctrica y Ciencias de la Computación.