24 thoughts on “Tu cuenta bancaria, es segura? Estudio comparativo de Seguridad en Bancos de Paraguay

  1. Que tema este, por 1000 doláres la info estaría un poco más segura. A la gente todavía no le interesa mucho este tema, pero cuando el e-banking entre en auge hay que ver. Excelente Marcelo.

  2. mmmm..está bueno el análisis, pero creo que con el resultado final le estás matando a algunos bancos, la mayorías de estas páginas son informativas no más, no de home banking, osea NO necesitan la seguridad aquí analizada, eso faltaría explicar un poco más porque los “simple mortales” leen este informe y van corriendo a quitar su dinero o no entran a la web nunca más.. xD
    No conozco todas las webs pero la de ITAU solía usar y estoy casi seguro que tiene SSL EV.. (cuando era interbanco tenía)

    Está bueno el blog, chauuuuu

    • El url que se toma es el dominio del acceso al login del home banking, justamente es donde importa, es facil de comprobar entra a la pagina de cada banco y busca el link para loguearte al Home Banking y vas a ver, justamente por eso deje la metodología que utilicé, para que cualquiera pueda comprobarlo, si me equivoque según tu criterio en alguna url a analizar u en otra cosa, las correcciones o consejos son totalmente bienvenidos!
      Como dije en la conclusión, si bien no quiere decir que el banco con baja calificación sea un colador, puede ser mucho mas seguro.
      Lo del SSL EV es demasiado fácil de comprobar, fijate, entra si querés al login de hotmail https://login.live.com y fijate como cambia la barra a verde, después entra a cualquiera de los bancos y mira, itau no tiene.

  3. am dijo:

    Esta MUY bueno este estudio! Te felicito por hacerlo.

    Pero en realidad hay problemas que van mas alla de los certificados.

    Por ejemplo, Bancos en EEUU ya no usan contrasenas simples sino “Multi-factor authentication” que consiste de varias verificaciones para asegurar que el usuario no es un hacker. Algo simple que se puede hacer es guardar un cookie que identifica la maquina del usuario. Si el usuario no tiene el cookie tiene que contestar mas preguntas (elegidas al azar de una coleccion de opciones). Esto hace que solo robar o adivinar la contrasena no sea suficiente.

    Otra cosa.. los bancos que aqui envian DEMASIADA informacion en sus emails! En EEUU los bancos en el email siempre enmascaran el numero de cuenta y otras informaciones privadas haciendo asi mas dificil la labor de tener la informacion si es que alguien entra en tu email. Los bancos de aca dicen TODO en cada email.

    Finalmente, hay el problema de legislacion. Quien es responsable si haquean mi cuenta y me roban dinero? El banco o yo?

    Falta mucho que mejorar todavia, pero articulos como este presionan a los bancos a hacer un mejor trabajo con seguridad!

  4. Carla Fabri dijo:

    Agradezco tu interés y respuesta. No tengo mayor movimiento en mi cuenta por la sencilla razón de que el dinero no abunda en ella. Me parece que el banco todavía sigue algo distante de la informática. Los gerentes y cajeros todavía conocen cara a cara a sus clientes, cosa que es muy agradable. A lo mejor le tienen miedo a los haqueos. No sé. Saludos

    Carla

  5. Nestor dijo:

    Somos del equipo Tecnico de Vision Banco, deseariamos poder compartir contigo una merienda de trabajo.
    Somos el Nestor, Carlos, Lino y Raquel Recalde y aguardamos tu disponibilidad.
    Aguardamos tu llamado al 0981 176251.
    Saludos

  6. Ricardo dijo:

    Intersante el articulo, como caso de estudio, pero deben tener encuenta que:
    – No todos lo Bancos operan con transaccional.
    – El análisis es muy superficial.
    – Todos los Bancos están obligados por la SIB a tener pruebas de Hackeo Etico, llevadas adelante por empresas, no por indivíduos unipersonales, una vez al año, Interno y Externo. Y el análisis que se realiza es mas profundo.
    – El comentario no es concluyente, por lo tanto no se puede hacer un juicio de valor a partir del mismo, ni decir tal o cual banco esta con menos seguridad.
    – El campo de Seguridad informática es mucho mas que un acceso a información pública desde la web.
    – Existen riesgos de confidencialidad, de integridad, de Disponibilidad y cada insitución tiene su mecanismo para minimizar el impacto de los mismos.

    Cordial saludo.

  7. luis dijo:

    Marcelo,
    Te felicito por tu iniciativa y te insto a que sigas escribiendo artículos sobre Seguridad.
    Coincido con algunas apreciaciones de EnriGimenez y am.
    Algunas observaciones con respecto al artículo:
    a) Longitud del Certificado: Es un tema apasionante donde pueden aparecer varias opiniones; es cierto que 1024 bits de encriptación es suficiente y que es deseable 2048 bits; que en algún momento seria el estándar.

    A modo de ejemplo adjunto dos opiniones contrapuestas, de dos regiones distantes, una de nuestro ambiente y otro fuera de nuestro ambiente:

    Caso 1) Boletín Oficial de la República Argentina de fecha 9 de junio del 2010, Pág. 20; Sección Comisión nacional de Valores
    2.3. Encripción.
    Todo el tráfico protocolar entre el cliente y la entidad autorregulada deberá estar cifrado con claves de 128 bits de longitud mínima en el caso de algoritmos de criptografía simétrica, y claves de 1024 bits de longitud mínima en el caso de algoritmos de criptografía asimétrica (o de clave pública).
    Caso 2) La seguridad del criptosistema RSA está basado en dos problemas matemáticos: el problema de factorizar números grandes y el problema RSA. El descifrado completo de un texto cifrado con RSA es computacionalmente intratable, no se ha encontrado un algoritmo eficiente todavía para ambos problemas. Proveyendo la seguridad contra el descifrado parcial podría requerir la adición de una seguridad padding scheme.
    Las claves RSA son normalmente entre 1024-2048 bits de longitud. Algunos expertos creen que las claves de 1024 bits podrían comenzar a ser débiles en poco tiempo; con claves de 4096 bits podrían ser rotas en un futuro. Con 256 bits o menos, puede ser factorizado en pocas horas con un computador personal, usando software libre. Con tiene 512 bits o menos, puede ser factorizado por varios cientos de computadoras como en 1999. Un dispositivo hardware teórico llamado TWIRL descrito por Shamir y Tromer en el 2003 cuestionó a la seguridad de claves de 1024 bits. Actualmente se recomienda que sea como mínimo de 2048 bits de longitud.
    En la columna de Encripción yo le daría la siguiente calificación: 1024 – OK, 2048 o mayor – Deseable.
    b) Te recomiendo re plantear la columna “Certificado SSL EV”; si te parece sácalo; te propongo esta opción bajo las siguientes consideraciones:
    1) La gente que conoce de Certificados te puede decir que no hay ninguna diferencia entre un “Secure Site” y un “Secure Site with EV” ver referencia de http://www.verisign.com/ssl/buy-ssl-certificates/compare-ssl-certificates/index.html
    2) Le facilitas a que alguien diga que este análisis es tendencioso a fin de que se adquiera de Verisign u otro proveedor la barra iluminada; el cual no tiene ningún aporte de Seguridad, sino más bien de imagen (Marketing), con un costo extra que habría que ver si se justifica.
    Ante cualquier duda o consulta relacionado a Seguridad, favor no dudes en contactarme.
    Te tiro una idea para tu próximo artículo; “2FA”
    Saludos,

  8. Julio dijo:

    Muy buen trabajo, excelente inciativa.

    Estoy en esto de la criptografia y certificados desde hace años. Si necesitas alguna ayuda tirame un email.

    Como dicen arriba, todo esto esta muy lindo, pero si al final es solamente un password lo que necesitas para entrar a la cuenta, no importa que certificado o algoritmo uses, la cuenta de tus clientes puede estar en riesgo facilmente. Todos los bancos deberian incluir alguna forma de “Multi-factor authentication” para darle más seguridad a sus clientes.

    Saludos.

  9. Emilio dijo:

    Indudablemente, un tema realmente apasionante, y tambien apoyo la idea de autenticación de un mínimo de dos factores para autenticación. Si solo se trata de un password, seguirá siendo débil.

    • Eso es cierto pero este estudio se enfoca en la posibilidad de la captura de datos por un tercero(Man in the Middle) o algun malware, cosa que podria ser mas peligroso porque el banco no detectaria como algo extraño, sino como un cliente mas que esta entrando a su cuenta.

  10. yo creo que en paraguay todavia no hay bancos “virtuales” la mayoria solo muestra informacion y no se pueden realizar más que mirar el saldo de una cuenta o saber el movimiento del mes.

    Y no creo que sea razonable implementar ello porque es un arma de doble filo

Deja un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s