<El Otro Blog>

Traficando Sueños y Cafeina.

Menú
Buscar
Saltar al contenido.
  • Inicio
  • Quien soy?
  • Acerca de…
  • Suscribite a <El Otro Blog>

Familiar

Tu cuenta bancaria, es segura? Estudio comparativo de Seguridad en Bancos de Paraguay

Leyendo Security by Default encontre un analisis de la seguridad de los sitios de banca online de los bancos españoles, y se me ocurrio hacer un estudio similiar aplicado a los bancos locales.

El estudio fue realizado a los bancos autorizados a operar por el BCP [si me olvide de alguno me avisan], y toma 4 parametros de seguridad, dando como resultado que tan seguro es la web del banco.

Estos parametros son:

  • Soporte a SSLv2: Que significa esto? SSL es un Protocolo Criptográfico o de cifrado que se utiliza para dar conexiones seguras(no interceptables) en Internet, el protocolo fue evolucionando hasta su versión 3, cosa que el hecho que un sitio soporte la versión 2 es un riesgo de seguridad, dado que es obsoleto y con algunos agujeros de seguridad, la calificación ideal es que NO SOPORTE SSLv2.
  • Certificado SSL con Validación Extendida: Hay diferentes tipos de certificados, estan los certificados normales SSL y los extendidos, estos últimos son mas caros(aprox. 1000$) que los certificados normales (aprox. 200$), ademas para obtener un Certificado con Validacion Extendida la entidad tiene que pasar mas requisitos, esto es lo que lo hace mas seguro. Se puede comprobar fácilmente porque la barra de dirección del navegador cambia como en esta imagen se puede ver el candado y el recuadro verde, en un sitio con un certificado ssl normal solo se vería el candado.
  • Longitud de la Clave de Encriptación: cuanto mayor sea el numero, es mas dificil de descifrar, es mas seguro, lo ideal para un banco es 2048.
  • Soporte a algoritmos “debiles”: Se toma como “debil” un algoritmo que la longitud de la clave en la conexion sea de 64bits o menos, si soporta estos algoritmos, es un punto negativo.

Una vez definidos los parámetros a evaluar sin dar mas vueltas…

Resultados:

Hacé click para ver en tamaño completo

Obs: El orden es según la calificación obtenida, el color verde significa aprobado y el rojo reprobado, la calificación es por “puntos obtenidos” puede ser o no un indice de seguridad total, por ultimo esta la dirección de la cual se tomo la muestra, el login del usuario del Home Banking.

Para entender mejor podríamos establecer una escala de:

  • 4 puntos = Optimo
  • 3 puntos = Notable
  • 2 puntos = Aceptable
  • 1 punto = Preocupante
  • 0 puntos = Reprobado

Con un vistazo nos damos cuenta que ningún banco paso la prueba en un 100%, aunque hay algunos parámetros que son mas importantes que otros .

El de menor importancia a mi parecer es el Certificado SSL Extendido, ya que es una certificación, un banco sin esa certificación podría cumplir los requisitos y no tener “ganas” de pagar 1000$ al año, aunque esa suma para un banco es nada.

Los mas importantes(una vez mas según mi experiencia) son el soporte de SSLv2 y el de Algoritmos débiles, estos parámetros si son muy importantes porque si dan negativo, como en muchos de los resultados, el banco esta mucho mas expuesto.

Metodología aplicada

Esta parte es un poco técnica, es para que quien quiera pueda comprobar los resultados, si no entendés saltea a la conclusión, todo ok ;)

Verificación SSL v2:
openssl s_client -ssl2 -connect servidor:443
Tipo de certificado (Normal / EV):
Cualquier navegador actual (Chrome, Firefox, IE)
Longitud clave pública:
openssl s_client -connect servidor:443
Soporte de algoritmos débiles:
openssl s_client  -cipher LOW:EXP -connect servidor:443

Conclusión

Si un banco tiene 0/4 no quiere decir que automáticamente sea un colador, se podría considerar un sitio “seguro”, pero que podría ser MUCHÍSIMO mas seguro.

Es preocupante el hecho que solo 4 bancos tienen una puntuación de 2 para arriba, lo peor de todo que estas medidas de seguridad no significan un gasto demasiado grande, mas aun para un banco, generalmente es contar con la voluntad política y el personal adecuado, sino, capacitar a la gente que maneja su seguridad.

Es cierto que en la mayoría de estos bancos uno no puede hacer “transferencias” desde su web, pero “alguien” podría acceder a información confidencial, acaso a alguien le gustaría que cualquiera supiera su estado bancario?

Ojala que se tome mas enserio la seguridad en general, pero me parece que siendo una entidad que maneja dinero y mucha información personal tendrían que ser los primeros interesados en hacer algo al respecto.

Si tenes alguna pregunta o comentario, no dudes en hacerlo.

Y tu banco, que calificación tiene?

2 Nov, 2010Marcelo Elizeche Landó 1024, 2048, algoritmos, Amambay, analisis, banca, banca online, banco, Banco nacional de fomento, Bancos, banking, bcp, bits, BNF, certificado, chrome, Citibank, clave, Continental, electronica, encriptacion, estudio, EV, Familiar, firefox, hacker, HSBC, IE, Itapua, iTau, login, online, openssl, Regional, rsa, security, seguridad, ssl, sslv2, sslv3, Sudameris, tls, Validacion Extendida, Verisign, Vision Banco, web 24 comentarios

Info


Suscribite al Feed RSS

Suscribite!! Im Jack’s RSS FEED. Tyler Durden

Categorias

  • Android (2)
  • Boludeces (24)
  • Divagues (25)
  • Gmail (2)
  • google (4)
  • HP (4)
  • humor (9)
  • Informes (2)
  • Internet (21)
  • Links (1)
  • Linux (15)
  • N95 (5)
  • Nokia (5)
  • noticias (1)
  • Proyectos (1)
  • Seguridad (1)
  • Sin Categoria (12)
  • Tutoriales (24)
  • Ubuntu/Kubuntu (12)
  • Windows (6)

Posts Más Vistos

  • Como saber el modelo exacto de una Notebook HP Pavilion
  • Nueva presentacion de Los Simpsons
  • Actualizá Ya!! Nuevos Firmwares para los N95: N95-1 v35.0.002 N95-2 v35.0.001 N95-3 35.2.001 N95-4 35.2.002

Contactos



Follow @melizeche

Seguime en Twitter

  • RT @thering26: https://t.co/dY3flMzSeO --- 2 hours ago
  • RT @SpiritofLenin: Is that insect called 'Europe?' --- 4 hours ago
  • RT @elkballoloco: https://t.co/qhmdrzul1U --- 5 hours ago
  • RT @AdamRutherford: https://t.co/tZSYZA9LJG --- 5 hours ago
  • RT @emel0371: I wonder if an ant is bathing in the rain? 🙆👌🐜 Congratulations on the spectacular shot ☟👏👏👏 Anagha Peethambaran Shot on Redmi… --- 5 hours ago
Follow @melizeche

Comentarios Recientes

serelmejor en Actualizá Ya!! Nuevos Firmware…
JOAQUIN en Acceder al Bios Setup de una A…
click to find out mo… en Un Año no es nada ……
Kliem en Mp3 en Edgy Eft
Allan en Actualizá Ya!! Nuevos Firmware…

Blogs Amigos

  • El Diario de un Neurotico
  • Entre tuxes y pepinos
  • Internet en Paraguay
  • Matt
  • Miniblog de Sacoleiro
  • Si Yo Pude, Tu Puedes
  • Ternura Porno
  • Zoopolitica

Links

  • Asociacion de Usuarios de Internet del Paraguay
  • Iniciar Sesion
  • KLIK DVD Social Club
  • Mambonegro

Hasta el momento se leyeron

  • 339.811 divagues( o articulos)

Android Boludeces Divagues Gmail google HP humor Informes Internet Links Linux N95 Nokia noticias Proyectos Seguridad Sin Categoria Tutoriales Ubuntu/Kubuntu Windows

acer actualizar alcohol alias aliases Amambay Android apple aspire banco Bancos bash bcp bios blog blogger blogs Boludeces casi certificado Chile chiste comic divague Divagues dv6000 El Otro Blog el universo y todo firefox Firmware Flash Lite Foto geek google HP Hp Pavilion Hp Pavilion dv6000 humor Internet Itapua iTau Kubuntu la respuesta de la vida Linux muerte N95 N95 8GB navidad navidad prostituida Nokia Nokia Software Updater notebook openssl paraguay Pavilion que paso? Regional RM-159 RM-160 RM-320 RM-421 seguridad setup ssl Sudameris tekoreismo Tiempo tutorial Ubuntu vida visitas web windows me xkcd Yo

Archivo

  • julio 2015
  • mayo 2014
  • abril 2014
  • octubre 2013
  • febrero 2013
  • mayo 2012
  • diciembre 2010
  • noviembre 2010
  • agosto 2010
  • julio 2010
  • junio 2010
  • abril 2010
  • febrero 2009
  • enero 2009
  • octubre 2008
  • septiembre 2008
  • agosto 2008
  • julio 2008
  • mayo 2008
  • abril 2008
  • marzo 2008
  • febrero 2008
  • diciembre 2007
  • noviembre 2007
  • octubre 2007
  • agosto 2007
  • julio 2007
  • mayo 2007
  • abril 2007
  • diciembre 2006
  • noviembre 2006
  • octubre 2006
  • septiembre 2006
  • julio 2006
  • junio 2006
  • enero 1970

Cualquiera Ya

Los 10 Mejores Blogs Locations of visitors to this page Add to Technorati Favorites web stats

Blogalaxia
Technology Blogs - BlogCatalog Blog Directory
Crea un blog o un sitio web gratuitos con WordPress.com.
Cancelar
Privacidad & Cookies: este sitio usa cookies. Al continuar usando este sitio, estás de acuerdo con su uso. Para saber más, incluyendo como controlar las cookies, mira aquí: Política de Cookies.