¿Cuán seguro son las instituciones financieras en materia informática en nuestro país? No mucho. Al menos eso se desprende de una serie de un test conocidos por BioBioChile, que demuestran varias brechas de seguridad de los bancos chilenos.
Se trata de unas revisiones de seguridad en torno a un nuevo sistema de ataque informático conocido como DROWN Attack, nombre que responde a las siglas de Decrypting RSA with Obsolete and Weakened eNcryption, y que no es otra cosa que una brecha en las conexiones seguras HTTPS.
Alberto Zenteno, Ingeniero Civil en Informática y columnista de tecnología en BioBioChile, nos explica el Drown Attack. “Todas las páginas web que manejan datos muy delicados deben contar con un protocolo de seguridad. Estos protocolos se aseguran que la información que enviaré o recibiré del servidor no pueda ser interceptada por un tercero y mucho menos, modificada. ”
“Anteriormente –aclara– se utilizaba un protocolo llamado SSLv2 para encriptar las conexiones HTTPS, al cual se le descubrió muchas vulnerabilidades y ahora se utiliza el TLS, supuestamente inviolable. Sin embargo muchos servidores actuales, a pesar de utilizar el protocolo TLS, siguen dando soporte y permitiendo el uso de SSLv2. Los hackers se han aprovechado de esto y han podido introducir una nueva versión del ‘Ataque Hombre Intermedio’ llamada Drown Attack”.
¿Qué significa esto? “ En este ataque, el hacker intercepta la comunicación entre el Usuario (Cliente) y la Página (Servidor). Teniendo acceso a todos los datos que pueda enviar o recibir, sin que el usuario se dé cuenta. En el caso de las páginas https, puede capturar las contraseñas de tarjetas bancarias y… queda la tole tole”, concluye.
De esta forma, el Drown Attack rompe el cifrado, lo que le permite leer y robar comunicaciones sensibles, que van desde aspecto de cliente a información financiera de una institución.
La Universidad de Ciencia Aplicada de Münsten (Alemania) elaboró una herramienta de prueba online para verificar qué sitio web está bajo condiciones de seguridad. Al consultarlo en distintos bancos chilenos, las pruebas fueron negativas.
Como se observa en las capturas, los principales bancos chilenos están con varias brechas de seguridad, incluyendo además al Servicio de Impuestos Internos (SII). BioBioChile intentó obtener un comentario de cada uno de los bancos expuestos, sin embargo prefirieron no comentar y otros no responder.
Agencia UNO
Ante esto, acudimos hasta la Superintedencia de Bancos e Instituciones Financieras (SBIF), desde donde se nos comentó no existe reglamento que regule la seguridad informática de los bancos chilenos, a diferencia por ejemplo de otras superintendencias donde se norma el uso de sitios web, como la de Pensiones.
A lo más, la SBIF podría exigir la no revelación de datos personales y sensibles de las personas, sin embargo en pleno 2016 y era conectada, no existe unidad al interior que pueda velar por la ciberseguridad.
Fuentes en la industria comentaron a BioBioChile que de momento no ha habido casos de DROWN Attack en Chile, y que la vulnerabilidad está siendo controlada.
