Bugs y Exploits

Desde la Asociación de Internautas y con la colaboración del Ministerio de Ciencia y Tecnología se enseña a los usuarios de la banca por internet unas normas para perder el miedo a usar la banca electrónica. La mayoría de los bancos están a la orden del día en temas de seguridad y reconocemos que sus servidores, transferencia y cualquier tipo de operación es segura.

08-02-2004 - Pero la cautela usada por el usuario y perder el miedo a usar este tipo de producto en auge, pierde toda su seguridad cuando un banco no realiza bien su trabajo. De nada sirve que el cliente siga unas pautas de seguridad si el banco no cumple lo mas fundamental en temas de seguridad.

El fallo de seguridad que voy a describir es bastante grande por parte de Ibercaja, esperamos que en un futuro corrijan este tremendo fallo o despiste por parte de esta entidad y pongan más cuidado.

Al propio estilo de Kevin Mitnick (el hacker mas buscado de la historia por robar información usando sus conocimientos informáticos y aprovechándose de la ignorancia de sus víctimas), el otro día en una sucursal de Ibercaja fuimos testigos de un acto al que muchos clientes no darían importancia al desconocer la gravedad de esta irregularidad por parte de Ibercaja. Mientras nos informaban de ciertos productos de esta entidad bancaria, se presentó un individuo bien vestido y con presencia de profesional de cualquier sector de ventas, la persona que nos atendía le dio las buenas tardes y le preguntó "qué desea" a lo que el hombre amablemente le contesto "soy el encargado de zona y vengo a por los contratos de la banca electrónica". Este desconocido en ningún momento se acreditó como perteneciente a Ibercaja ni facilitó ningún dato para confirmar que era encargado de dicha tarea, en la sucursal no lo conocía nadie y a continuación le contestaron, "sí, espere un momento que se lo preparamos, pero nos tiene que firmar un papel", le prepararon los contratos de los clientes que contrataron este producto, se los dieron y se marchó con ellos, a continuación comente "menuda seguridad tiene esto" la persona que nos atendió nos miro incrédula y con un desconocimiento claro de la implicación del comentario.

Como se vé cualquiera puede ir a una sucursal de Ibercaja bien vestido, comentar "vengo a por los contratos de la banca electrónica" y a continuación se los dan. Para toda persona metida en seguridad sabrá de sobra que este hecho es un GRAVE ERROR DE SEGURIDAD, donde en dichos contratos se revela la información del cliente; nombre, apellidos, DNI, fecha de nacimiento, número de cuentas asociadas y en algunos casos puede estar hasta el código de identificación. Por desgracia muchos usuarios tienen la mala costumbre de usar claves fáciles como fecha de nacimiento, etc, se darán cuenta de que el fallo es tremendo y puede ocasionar graves problemas a los clientes online de Ibercaja, pero no solo para ser víctimas de un posible hurto en sus cuentas, también su datos pueden ser usados para otros propósitos como clonación de tarjetas bancarias (crédito o débito), tal y como nos comentó la Guardia Civil la ultima vez que denunciamos la estafa a los usuarios de otro banco.

Desde este artículo denunciamos esta imprudencia por parte de Ibercaja y esperamos que solucionen este problema lo antes posible ya que se trata de un tremendo fallo de seguridad.

De nada sirve que el cliente tenga unas pautas de seguridad o pierda el miedo al uso de la banca electrónica cuando su propia entidad no pone medios para ofrecer una máxima seguridad a sus clientes.


Referencias de Kevin Mitnick;
Tsutomu Shimorura, Experto en seguridad de sistemas.
John Markoff, Periodista y reportero para el San Francisco y New York Times.

Realizado por;
José María Luque Guerrero
Comisión de seguridad en la red. www.seguridadenlared.org
Asociación de Internautas. www.internautas.org