14 febrero 2010

Reutilización de credenciales de e-banking

Hace relativamente poco publicamos un post sobre lo complicado que es gestionar diferentes identidades digitales para todos los servicios que consumimos en Internet, debido fundamentalmente a la heterogeneidad y variedad de los mismos.

Sin embargo, me gustaría dar a conocer los resultados de un estudio realizado por parte de la empresa Trusteer, en el que deja claro que un alto porcentaje de los internautas (un 73%) utiliza la MISMA contraseña de su banca online para al menos otro servicio online. Y además, un 47% de los usuarios utilizan ambos, identificador y contraseña, en al menos otro servicio. Para concluir estos porcentajes, han escogido una muestra de 4 millones de PCs, por lo que no parece que el estudio se haya hecho entre una pandilla de amigos.

¿Qué consecuencias pueden darse por esta mala práctica? Pues que un inteligente atacante (en este caso es más probable que sea alguien que te conoce) pueda intentar conseguir el identificador y/o contraseña de un usuario en otro tipo de servicio y probar si coincide con la de la banca online de la víctima.

Los bancos cada vez inventan nuevos mecanismos de seguridad (OTP, clave de firma, tarjetas de coordenadas, certificados digitales,...) para proteger al usuario al menos a la hora de realizar operaciones críticas como por ejemplo las transacciones electrónicas. Asimismo los propios servicios de banca online suelen asignar directamente el nombre de usuario y una contraseña aleatoria a cada usuario, para que ni siquiera éste tenga que pensarse qué identificador/contraseña elegir.

Esto me recuerda lo cierto que es, lo que nuestro compañero Yago comentó en el Security Blogger Summit 2010. La seguridad de las acciones de los usuarios en Internet no deberían dejarse en sus manos (o al menos, no todas) y que es más seguro dárselo lo más hecho posible. El usuario ni tiene ni quiere preocuparse por la seguridad, quiere que funcione y que los procedimientos sean ya lo más seguros posibles.

Está demostrado que los ataques que mayor éxito tienen son todos aquellos que conlleven en engañar al usuario para involucrarlo en revelar sus credenciales: phishing, ingeniería social (esta pregunta cae en el examen de cualquier certificación de seguridad) y acceso a sitios inseguros (aquellos operados por cibercriminales que puedan ofrecer servicios gratuitos a cambio de un inocente registro).

Aún así, hay que seguir adelante con las campañas de concienciación, buenas prácticas e información a los usuarios, puesto que si con ellas, se siguen cometiendo ciertas aberraciones, si existiera aún más desinformación, la situación sería aún peor.

El informe original de Trusteer, así como sus recomendaciones e indicaciones lo podéis descargar de aquí

2 comments :

svoboda dijo...

Uno de los problemas a la hora de elegir credenciales diferentes en sitios o servicios diferentes, viene porque en muchos sitios te obligan a utilizar un nombre de usuario en concreto, vease DNI o email, que no son difíciles de conseguir. Esto hace que tengas el mismo credencial, como mínimo el mismo usuario, en varios sitios. Además, el tener el mismo usuario, hace que incoscientemente pongas la misma contraseña, ya que para el cerebro es mucho más difícil asociar un usuario y varias contraseñas, que un par usuario/contraseña.

Está claro que se podría crear una cuenta de Gmail, por ejemplo, por servicio para poseer usuarios diferentes en cada uno de estos, y luego gestionarlas todas desde la cuenta "habitual" pero esto sería muy trabajoso para la mayoría de gente.

svoboda dijo...

Uno de los problemas a la hora de elegir credenciales diferentes en sitios o servicios diferentes, viene porque en muchos sitios te obligan a utilizar un nombre de usuario en concreto, vease DNI o email, que no son difíciles de conseguir. Esto hace que tengas el mismo credencial, como mínimo el mismo usuario, en varios sitios. Además, el tener el mismo usuario, hace que incoscientemente pongas la misma contraseña, ya que para el cerebro es mucho más difícil asociar un usuario y varias contraseñas, que un par usuario/contraseña.

Está claro que se podría crear una cuenta de Gmail, por ejemplo, por servicio para poseer usuarios diferentes en cada uno de estos, y luego gestionarlas todas desde la cuenta "habitual" pero esto sería muy trabajoso para la mayoría de gente.