Banca Electrónica: nuevos vectores de ataque

Las metodologías que se describen en el siguiente informe no son nuevas ni presentan ninguna técnica "desconocida" o novedosa en cuanto a la base técnica en la que se sustentan. El presente informe, sin embargo, sí que muestra un nuevo enfoque en el uso de las técnicas "tradicionales" de intrusión para conseguir romper la seguridad de los sistemas de firma que utiliza la banca electrónica. Las conclusiones que se desprenden del estudio son que, actualmente, la gran mayoría de métodos de "firma" que utiliza la banca electrónica son susceptibles de verse comprometidos por toda una serie de vectores de ataque.

Resumen ejecutivo

El acceso en Internet a las aplicaciones web de uso restringido, se protege normalmente mediante una combinación de usuario y contraseña que se debe facilitar antes de entrar en la zona "privada". La banca on-line emplea además como sistema de seguridad adicional, y para las operaciones de riesgo, un mecanismo de protección conocido habitualmente como "firma". Cuando un usuario desea realizar una transferencia entre cuentas por ejemplo, se le solicita que se identifique (que firme). Esta identificación se lleva a cabo de distintas maneras en función del banco: unas entidades utilizan teclados virtuales, otras una tarjeta de coordenadas, otros dispositivos físicos que generan claves de un solo uso, etc.

Lo que tienen en común todos estos sistemas de firma, es que están destinados a identificar al usuario que realiza la operación, para esa operación en particular. Dicha identificación se realiza ...

If you are already a vLex customer, Access Here