Seguridad en Banca Electrónica y Operadores de Criptomonedas
La seguridad en el mundo del dinero electrónico, las criptomonedas y todas las transacciones que se realizan por Internet
(como la banca electrónica) depende principalmente de la encriptación o cifrado. La transmisión de estos datos de manera «segura» es esencial. Como hemos visto recientemente con las revelaciones en Wikileaks gracias a Julian Assange y Edward Snowden sobre el espionaje llevado a cabo por la NSA (Agencia Nacional de Seguridad de USA). A raíz de estas revelaciones se han puesto de manifiesto vulnerabilidades en sistemas que se consideraban seguros como la encriptación de las transacciones bancarias que realizamos en Internet a través de la Web o Apps (HTTPS, SSL y TLS). La NSA efectivamente tiene capacidad para descifrar gran parte de estas comunicaciones seguras como podemos ver en los documentos filtrados por Snowden.
Habrá quien piense que es difícil tener la potencia de proceso y los conocimientos para emprender este tipo de ataques. Quizás ahora solo lo pueda hacer la NSA u otra gran agencia estatal, pero recordemos que la potencia de cálculo disponible crece de manera exponencial, también hay que mencionar otras tecnologias como la computación cuántica. Lo que hoy en día es casi imposible puede ser viable en cuestión de meses.
En Criptomonedas.org hemos realizado un análisis de seguridad entre distintas distintas plataformas, páginas webs de los principales bancos españoles, banca electrónica o banca online. También hemos analizado la seguridad de las principales plataformas de Bitcoin, criptomonedas y exchanges. Las conclusiones son sorprendentes.
Ningún banco español de los analizados cuenta con un certificado electrónico de media o alta seguridad
La primera preocupación que tienen los usuarios al conocer la existencia de las criptomonedas es la seguridad. Tanto de la moneda digital en si, como de los servicios existentes como exchanges y Carteras/Monederos (wallets) online. Cómo en cualquier servicio de Internet, la seguridad de la transmisión, procedencia, integridad y confidencialidad de los datos recae principalmente en el cifrado o criptografía.
Ranking y clasificación de seguridad de la banca electrónica de los principales bancos españoles.
Sabemos que la seguridad en la banca electrónica se refuerza con sistemas adicionales como la autentificación de dos factores, el uso de tokens, confirmación por SMS de transacciones, etc. Sin embargo, en nuestro análisis dejamos en evidencia las debilidades de las primeras barreras de seguridad, que entre otras cosas permiten la monitorización del tráfico, robo de claves etc.
Informe preliminar:
| Posición (primero el mas seguro) | Vulnerabilidades | Calificación de seguridad (0 a 10) |
| 1. BBVA | Firma débil. | 5+ |
| 2. BANKINTER | Firma débil. | 5+ |
| 3. BANKIA | Firma débil. POODLE SSL | 5- |
| 4. IBERCAJA | Firma muy débil. POODLE SSL | 4 |
| 5. BANCO POPULAR | Firma muy débil.POODLE SSL y TLS | 4 |
| 6. LA CAIXA | Firma muy débil. POODLE SSL y TLS | 4- |
| 7. BANCO SANTANDER | Firma muy débil. POODLE SSL y TLS | 3 |
| 8. BANCO SABADELL | Firma muy débil. POODLE SSL y TLS | 3- |
Tenemos que aclarar que el análisis es principalmente de los protocolos de comunicación segura HTTPS asi como las capas de transporte seguro (SSL / TLS). También hemos realizado un criptoanalisis de la calidad de los sistemas de cifrado (certificados digitales y sistemas de hashing) y algunas vulnarabilidades de los servidores como el PODDLE. Estos no son los únicos factores que definen el grado de seguridad pero si son esenciales ya que son la primera «barrera» de protección.
Es destacable que ningún banco español de los analizados cuenta con un certificado electrónico de máxima seguridad (el primer requisito para establecer una conexión segura). Es mas, ni siquiera de seguridad media. Esto no dice nada positivo de estos servicios de banca electrónica, ya que la calidad de los citados certificados (que son emitidos por terceros -autoridades certificadoras de confianza-) depende principalmente del coste que estos bancos quieran asumir. Es decir, que si gastan un poco mas obtienen un certificado de mayor calidad, lo peor es que estamos hablando de variaciones de precio del solo unos cientos de euros al año.
Curiosamente, todas las plataformas de criptomonedas analizadas superan ampliamente la seguridad de los bancos, se mueven en niveles de 9+, Poloniex, Bitstamp, BTC-E, etc… .Webs como meneame.net que es una web de «noticias» cuentan con mas seguridad a nivel de HTTPS que casi toda la banca electrónica de España.
Otra curiosidad es que el Deutsche-Bank en Alemania tiene una seguridad de 8 y un certificado digital de seguridad alta, sin embargo en su web en España no es así.
Algunas de las herramientas utilizadas: Qualys y propias.
- News
- Alternative
- Banner
- Featured
- Plain
- Condensed
IngDirect = A
No es lo óptimo, pero no está tan mal.
————
Laboral Kutxa anda mal: se queda con nota C
————
https://www.ssllabs.com/ssltest/analyze.html?d=https%3A%2F%2Foi.bankia.es : Bankia saca nota C
————
El Banco Santander saca dos notas: C y F. Espero que la oficina de banca online use el servidor que saca C que, aunque es muy
mala nota, no es la pésima de F.
Sea como fuere, es una vergüenza lo del Santander y su seguridad en Internet.
Aquí hay captura de las notas del Santander: http://i.imgur.com/ZMy3bkq.jpg
Nosotros como explicamos en otro comentario no solo tenemos en cuenta la calidad de la conexión SSL sino también la del certificado digital que también es importante.
Saludos
Gracias. Más:
IngDirect = A
No es lo óptimo, pero no está tan mal.
———
Laboral Kutxa anda mal: se queda con nota C
Gracias
** ¿Es seguro tu banco online? (test SSL) **
Si operas con tu banco desde internet te recomiendo que hagas este test: https://www.ssllabs.com/ssltest/
Y luego nos lo cuenta aquí, por favor
————
Openbank y Triodos se quedan en una mediocre (algo insegura) nota B.
Bankialink saca nota decente (A-), pero no alcanza la máxima seguridad, A+.
Todos los bancos online deberían sacar la nota A+, que garantiza la mayor seguridad posible en lo referido al examen.
http://www.adslzone.net/postt382762.html
Es una de las herramientas que hemos utilizado para este estudio. Otra métrica muy importante es la calidad del certificado digital para la que hemos utilizado Calomel.
Saludos