Calificación de seguridad de banca móvil e Internet

Dado que gran parte de nuestras operaciones bancarias ahora se realizan en nuestras computadoras y teléfonos inteligentes, es importante que esos servicios sean seguros.

Cada año, calificamos la seguridad de los servicios de banca en línea y banca móvil de los principales bancos y sociedades de crédito hipotecario que ofrecen cuentas corrientes.

En nuestra última prueba, los voluntarios llevaron a cabo una serie de tareas, mientras que un equipo de expertos de la firma de ciberseguridad 6point6 probaba las defensas de cada banco.

La siguiente tabla muestra cómo les fue a 15 bancos y sociedades de crédito hipotecario en los principales factores que probamos en septiembre y octubre de 2021. Las cifras porcentuales ilustran cuán importante fue esa área de seguridad para el puntaje general de la prueba.

Esta tabla solo tiene en cuenta la seguridad en línea: si está buscando las mejores cuentas corrientes, según las calificaciones de los clientes y nuestros expertos, haga clic aquí.

¿Cómo probamos la seguridad de la banca digital?

Todos los proveedores tienen procesos que no son visibles en el tipo de prueba que llevamos a cabo (solo podemos analizar las funciones de seguridad disponibles para el cliente), pero nuestras pruebas compararon a los bancos en lo siguiente:

Analizamos si los bancos admiten versiones obsoletas de ‘Seguridad de la capa de transporte (TLS)’, donde los datos se codifican para que solo usted y su banco puedan leerlos, o si tienen cifrados débiles (algoritmos para cifrar y descifrar datos).

También verificamos si los encabezados de seguridad de mejores prácticas están en su lugar para proteger contra una amplia gama de ataques.

Y notamos dónde se cargaron los scripts (lenguaje de programación) desde fuentes externas. Preferimos que esto se mantenga al mínimo porque, si bien los bancos tienen procesos rigurosos de diligencia debida, los piratas informáticos pueden comprometer a terceros.

La aplicación móvil de un banco debe poder detectar si se está ejecutando en un entorno seguro o no. Así que probamos si las aplicaciones bloquean herramientas de análisis como ‘Frida’; aunque estas herramientas son útiles para los investigadores de seguridad, los piratas informáticos también podrían usarlas para encontrar vulnerabilidades.

Los bancos fueron penalizados si no cumplían con los últimos estándares de seguridad de correo electrónico. Estos incluyen DMARC, que significa «autenticación, informes y conformidad de mensajes basados ​​en dominios», y ayuda a su proveedor de correo electrónico a bloquear mensajes maliciosos que intentan imitar a su banco.

También buscamos dominios o subdominios bancarios (p. ej., computer.which.co.uk es un subdominio de which.co.uk) que no deberían ser accesibles en Internet o que utilizan software obsoleto y, por lo tanto, potencialmente vulnerable.

Calificamos a los bancos según la información que requieren para acceder a las cuentas y lo fácil que es recuperar nombres de usuario o contraseñas.

Verificamos si te permiten elegir contraseñas inseguras o si impiden el uso de administradores de contraseñas (estos te ayudan a realizar un seguimiento de múltiples contraseñas de forma segura y evitan malas prácticas como el uso de contraseñas débiles/comunes).

Las contraseñas por sí solas no son suficientes. Otorgamos las mejores calificaciones si los bancos piden a los clientes que usen un lector de tarjetas o su aplicación de banca móvil para iniciar sesión cada vez. Muchos envían un código de acceso de un solo uso a través de SMS, pero consideramos que es la forma menos segura de autenticar a los clientes porque los delincuentes interceptan cada vez más este tipo de mensajes.

La configuración de un nuevo beneficiario y la edición de los detalles de la cuenta deberían requerir verificaciones adicionales para verificar que realmente eres tú quien realiza los cambios.

Queremos que los bancos envíen notificaciones cuando se modifiquen los detalles para alertarlo sobre una posible infracción.

Los marcamos si estos mensajes incluían un número de teléfono o un enlace web, ya que los estafadores a menudo replican mensajes de texto y correos electrónicos para engañarlo para que los llame o ingrese sus datos en un sitio web falso.

Si los bancos nunca incluyeran números o enlaces en las comunicaciones, los intentos de estafa serían más fáciles de detectar.

Solo debería poder iniciar sesión en su banco desde una computadora a la vez. Los bancos fueron sancionados por una ‘gestión de sesión’ deficiente si nos permitían acceder a cuentas desde varios navegadores o redes informáticas al mismo tiempo; esto debería marcarse como un posible ataque.

También marcamos a los bancos si le permiten usar los botones de avance/retroceso en los navegadores sin pedirle que inicie sesión nuevamente.

Los bancos deberían cerrar su sesión después de cinco minutos de inactividad, pero no todos lo hicieron en nuestra prueba. También queremos que permitan el cierre de sesión con un clic en lugar de pedirle que confirme la decisión primero. Si bien la solicitud de confirmación cumple con las pautas de la industria, creemos que es más seguro cerrar la sesión al instante.

¿Qué es la autenticación fuerte de clientes?

Se les ha dicho a los bancos que introduzcan un enfoque de múltiples capas para el inicio de sesión en la banca en línea y los pagos con tarjeta en línea, bajo las nuevas regulaciones de ‘autenticación fuerte del cliente’ (SCA).

Esto implica múltiples verificaciones de identificación, como proporcionar una contraseña más un código de acceso de un solo uso generado en un lector de tarjetas o enviado por mensaje de texto a su teléfono móvil.

Las reglas de la SCA para la banca en línea se aplican desde el 14 de marzo de 2020 y, a partir del 14 de marzo de 2022, el regulador hará cumplir los requisitos para los pagos con tarjeta en línea.

¿Por qué es importante SCA?

¿Cual? ha pedido durante mucho tiempo que los bancos exijan una segunda forma de autenticación al iniciar sesión.

Puede parecer una mano dura obligar a los clientes a usar un segundo dispositivo, pero las contraseñas por sí solas no son lo suficientemente buenas.

Los detalles de inicio de sesión débiles pueden robarse, filtrarse o obtenerse fácilmente de los sitios de redes sociales y, si un pirata informático penetrara la primera capa de defensa, tendría acceso a detalles confidenciales, como el historial de pagos y los números de tarjeta, lo que podría dificultar cualquier intento de estafa posterior. Convincente.

¿Cómo hacen los bancos los cheques SCA para la banca?

Los bancos deben identificar a cada cliente utilizando al menos dos de estos factores independientes:

  • algo que solo tú sabes (una contraseña o PIN)
  • algo que solo usted posee (un lector de tarjetas o un dispositivo móvil registrado) y
  • algo que solo tú eres (una huella digital o un patrón de voz).

Algunos bancos ofrecen un dispositivo físico para generar códigos de acceso únicos de un solo uso (OTP) que sirven como evidencia de ‘posesión’.

El lector de tarjetas Barclays PINSentry y Nationwide requiere que inserte su tarjeta de débito para generar la OTP, mientras que los dispositivos HSBC/First Direct Secure Key generan códigos cuando ingresa un PIN. Estos bancos también ofrecen versiones digitales de sus lectores de tarjetas/dispositivos para usuarios móviles.

La mayoría de los bancos también le permiten autenticarse al iniciar sesión a través de la aplicación de banca móvil (en algunos casos, simplemente puede usar una identificación de huella digital para que sepan que es usted quien inicia sesión).

Otra opción son las OTP enviadas por mensaje de texto (SMS) a un teléfono móvil. Pero queremos que los proveedores los eliminen gradualmente, ya que los SMS son vulnerables a los ataques de intercambio de Sim donde los delincuentes interceptan los mensajes.

Lloyds, Metro, Nationwide, Santander, The Co-operative Bank y TSB…

Deja una respuesta

Tu dirección de correo electrónico no será publicada.