Una de las formas más populares de estafa por Internet es el “phishing”, sistema que suplanta la identidad de un sitio web, haciendo que el propio usuario entregue sus datos personales a hackers para hacer uso malicioso de ellos.
Los bancos han lanzado numerosas campañas para que evitar esta situación, entregando consejos como: nunca hacer click en enlaces que nos llegan a nuestros correos electrónicos y verificar la dirección web a la cual estamos accediendo.
Pero de acuerdo a secureless, un portal encargado de revelar falencias de seguridad en los sitios web de distinto ámbito, la culpa no sería totalmente de los usuarios, como afirman las entidad bancarias.
“En Chile, los bancos tienen una campaña contra el “phishing” donde se limitan a entregar manuales y decir ‘no ingreses tus datos donde no debes’, pero realmente no se preocupan de tener mecanismos de validación y protección, permitiendo que cualquier persona pueda suplantar su identidad y usar la confianza que tiene el usuario en el sitio”, informaron desde el blog “El rincón de Zerial”.
Afirman que el portal comenzó a trabajar en una investigación en búsqueda de vulnerabilidades del tipo XSS y CRSF además de otras que puedan afectar directamente al usuario.
“Nuestro propósito es dejar en claro que los bancos deben ser competentes y responder por las fallas de seguridad que tienen. Hasta ahora, según nosotros, como este tipo de vulnerabilidades no les afecta a ellos, sino que afecta a los clientes, no se preocupan lo suficiente”, comentaron.
Para aquellos que no saben de qué se tratan este tipo de vulnerabilidades, XSS y CSRF, hicieron una breve descripción de ambas.
“Las vulnerabilidades XSS permiten realizar modificaciones en los sitios web por el lado del cliente, cuando una entidad bancaria con certificado ssl (https) tiene este tipo de vulnerabilidad, se convierte en un sitio potencial para ser atacado y sus usuarios los afectados…”.
“Por otro lado tenemos los ataques CSRF, que combinado con XSS, prácticamente es posible hacer lo que queramos con el usuario: llevarlo de un sitio a otro, pasar parámetros de un sitio falso a uno verdadero, etc.”
Por ahora, mientras las entidades no tomen mayores cartas en el asunto de la seguridad web que afecta a sus clientes, sólo queda seguir siendo precavidos y no caer en prácticas fraudulentas de este tipo.
