Economía
Bancos chilenos presentan graves brechas de seguridad inform√°tica y nadie los regula
Publicado por: Eduardo Woo
¬ŅEncontraste alg√ļn error? Av√≠sanos visitas

¬ŅCu√°n seguro son las instituciones financieras en materia inform√°tica en nuestro pa√≠s? No mucho. Al menos eso se desprende de una serie de un test conocidos por BioBioChile, que demuestran varias brechas de seguridad de los bancos chilenos.

Se trata de unas revisiones de seguridad en torno a un nuevo sistema de ataque inform√°tico conocido como DROWN Attack, nombre que responde a las siglas de Decrypting RSA with Obsolete and Weakened eNcryption, y que no es otra cosa que una brecha en las conexiones seguras HTTPS.

Alberto Zenteno, Ingeniero Civil en Inform√°tica y columnista de tecnolog√≠a en BioBioChile, nos explica el Drown Attack. “Todas las p√°ginas web que manejan datos muy delicados deben contar con un protocolo de seguridad. Estos protocolos se aseguran que la informaci√≥n que enviar√© o recibir√© del servidor no pueda ser interceptada por un tercero y mucho menos, modificada.‚Ä®”

“Anteriormente –aclara– se utilizaba un protocolo llamado SSLv2 para encriptar las conexiones HTTPS, al cual se le descubri√≥ muchas vulnerabilidades y ahora se utiliza el TLS, supuestamente inviolable. Sin embargo muchos servidores actuales, a pesar de utilizar el protocolo TLS, siguen dando soporte y permitiendo el uso de SSLv2. Los hackers se han aprovechado de esto y han podido introducir una nueva versi√≥n del ‘Ataque Hombre Intermedio’ llamada Drown Attack‚ÄĚ.

¬ŅQu√© significa esto? “‚Ä®‚Ä®En este ataque, el hacker intercepta la comunicaci√≥n entre el Usuario (Cliente) y la P√°gina (Servidor). Teniendo acceso a todos los datos que pueda enviar o recibir, sin que el usuario se d√© cuenta. En el caso de las p√°ginas https, puede capturar las contrase√Īas de tarjetas bancarias y‚Ķ queda la tole tole”, concluye.

De esta forma, el Drown Attack rompe el cifrado, lo que le permite leer y robar comunicaciones sensibles, que van desde aspecto de cliente a información financiera de una institución.

La Universidad de Ciencia Aplicada de M√ľnsten (Alemania) elabor√≥ una herramienta de prueba online para verificar qu√© sitio web est√° bajo condiciones de seguridad. Al consultarlo en distintos bancos chilenos, las pruebas fueron negativas.

GALER√ćA DE IM√ĀGENES | Haz clic para ampliar

Como se observa en las capturas, los principales bancos chilenos están con varias brechas de seguridad, incluyendo además al Servicio de Impuestos Internos (SII). BioBioChile intentó obtener un comentario de cada uno de los bancos expuestos, sin embargo prefirieron no comentar y otros no responder.

Agencia UNO

Agencia UNO

Ante esto, acudimos hasta la Superintedencia de Bancos e Instituciones Financieras (SBIF), desde donde se nos comentó no existe reglamento que regule la seguridad informática de los bancos chilenos, a diferencia por ejemplo de otras superintendencias donde se norma el uso de sitios web, como la de Pensiones.

A lo más, la SBIF podría exigir la no revelación de datos personales y sensibles de las personas, sin embargo en pleno 2016 y era conectada, no existe unidad al interior que pueda velar por la ciberseguridad.

Fuentes en la industria comentaron a BioBioChile que de momento no ha habido casos de DROWN Attack en Chile, y que la vulnerabilidad est√° siendo controlada.

Tendencias Ahora