11:24 17/12/02
¿ES SEGURA LA BANCA ONLINE?
Mercè Molist
¿Podría un intruso colarse en un banco o caja a través de su ventanilla en la web y husmear cuentas de clientes? La respuesta es sí, un secreto a voces que comparten, a partes iguales, las entidades financieras y la comunidad hacker. Hace unos meses, en Suecia, un joven congregó a la prensa para mostrarles cómo entraba en tres de los cuatro bancos más importantes del país, aprovechando un fallo muy conocido en su servidor web marca Microsoft. Hizo transferencias, interceptó tráfico de clientes, consiguió acceso total ("root") y nadie pudo seguirle.Madfran, miembro del grupo hacker español SET, sólo pone en duda que el intruso se llevase dinero: "Lo que está en peligro son los datos de los clientes, pero difícilmente su dinero. Si das una orden de transferencia quedas retratado en todos los puntos de destino, salvo que organices un complejo sistema de enlaces entre cuentas". Es el punto fuerte de la banca electrónica, pero eso no evita que algunos hackers se diviertan curioseando en sus entresijos y, de vez en cuando, se atrevan a contarlo.
El servicio web es sólo uno de los caminos para entrar en un banco. Programas mal configurados, la inocencia de los clientes que envían su contraseña en respuesta a mensajes electrónicos fraudulentos, escuchas en línea, son otros métodos. Según Madran, "en un rápido muestreo hecho en España, de seis bancos, dos establecían una conexión segura SSL "después" de autentificarse, lo que significa que alguien con paciencia y situado en el mismo nodo, puede espiar el identificador y contraseña".
Otro camino es atacar las compañías que operan con el banco. Dice Madfran: "Un ataque así puede ser interpretado por el banco como un movimiento, tal vez inusual pero legal. Todas las operaciones que el intruso haya generado serán objeto de litigio entre el banco y el cliente, dificultando las acciones para clarificar lo sucedido. Una variante del caso anterior es la intrusión desde el interior del propio banco, instalando programas que permitan la entrada por el exterior: muchos bancos se han pasado a redes "ethernet", lo que facilita enormemente la instalación de bichos raros desde dentro, para anular sus defensas".
¿Existe algún modo de saber si nuestro banco es seguro? "No, aunque hay grandes diferencias entre países. En España, casi siempre son sistemas basados en contraseña, mientras en el norte de Europa priman los lectores de tarjetas o "digipass". Todos tienen sus puntos débiles y fuertes, aunque personalmente no creo una buena opción la identificación del usuario por el DNI, ya que puede ser robado o adivinado por otros métodos". ¿Los bancos pequeños son más vulnerables que los grandes? "No he encontrado diferencias". ¿Es verdad que no se enteran, si los robos son pequeños?. "Falso. Lo que puedes intentar es robar de una cuenta que no tiene movimento, perteneciente a personas que han fallecido".