Recientemente vi aparecer en la web del banco ING Direct la posibilidad de poder firmar electrónicamente las transacciones bancarias realizadas. Eso sí; sólo con los certificados digitales de clase 2 emitidos por la autoridad de certificación CERES de la FNMT.

Al principio pensé: por fin los sistemas inseguros de contraseña o de tarjetas de códigos están pasando a mejor vida. Teniendo en cuenta
que me dedico profesionalmente al tema de la certificación digital, siempre es una satisfacción ver que se evoluciona hacia el buen camino.

Pero mi sorpresa fue grande al ver el inseguro sistema utilizado para realizar una firma electrónica...

Y es que la aplicación bancaria te pide que le pases la ruta de disco del fichero con el certificado digital en formato PKCS12, es decir, incluyendo la clave privada y el password que lo protege!!!



Esto a simple vista puede parecer lógico, pero abre la posibilidad a un ataque de phishing claro, consistente en suplantar la página de ING Direct y enviar al servidor el fichero que contiene el certificado y la clave privada y su password, secuestrando la identidad digital del ciudadano.

Con ello el atacante. aparte de poder suplantar a la victima en el banco, también va a poder suplantarlo en los múltiples trámites online (http://www.cert.fnmt.es/index.php?o=cert) que se pueden realizar utilizando certificado digital de CERES como medio de autenticación fuerte.

No se entiende el empleo de este sistema rupestre, en vez de utilizar protocolos de acceso a la clave privada, como son el CSP, PKCS11, sobre repositorios de claves privadas seguros (almacenes de certificados del sistema operativo, tarjetas criptográficas, etc...), que no requieren que el usuario informe manualmente de la clave privada, cosa muy peligrosa.

En conclusión; estamos ante una actuación que pone de manifiesto la falta de un asesoramiento correcto en cuanto a implantación segura de la firma electrónica (responsabilidad de la propia ING Direct) y una falta de auditoria de los proyectos que utilizan los certificados digitales (responsabilidad de la propia FNMT).

Como siempre que hay una distribución no clara de responsabilidades, lo acaba pagando el ciudadano de a pie.


Fuente: www.kriptopolis.com