Los administradores de seguridad de banca electrónica de La Caixa se merecen un buen tirón de orejas. Bien es verdad que la seguridad electrónica está sobrevalorada y que luego acaba dependiendo de la seguridad que los usuarios tengan en cuenta, es decir, de las prácticas del usuario más que de la organización de destino, pero eso no es óbice para que se pongan las pilas en cuanto a arreglar algunas cosillas, varias de las cuales mantienen errores de concepto y concepción.
Si se intenta entrar por una URL que antiguamente promocionaron como válida http://www.lineaabierta.com, uno se encuentra con ese certificado asociado a la URL equivocada, con lo que el mensaje que recibe del navegador le puede hacer pensar que está entrando en una web peligrosa.
Está claro que no hay peligro, puesto que se identifica como XXX.lacaixa.es pero no como lineaabierta.com. Si ese dominio ya no desea continuar usándose, deberían ser capaces (nivel DNS) de redireccionar las peticiones al mismo a una URL de XXX.lacaixa.es que presente el certificado correcto.
No es difícil, es más, a mí me llevaría poco más de 5 minutos hacerlo… jejeje… Así que supongo que deben de tener profesionales capacitados para corregirlo, aunque no haya voluntad de hacerlo.
Hay un dicho en seguridad (informática) que dice que la fortaleza de la misma se mide en función de su eslabón más débil.
No tiene ningún sentido que tengan esta posible puerta de entrada en la que el usuario se identifica con un número que teclea y proporciona el PIN con un número que teclea, siendo posible su interceptación por medio de no demasiado complejos programas de registro de tecleo (los famosos malware keyloggers), teniendo también ésta que muestro a continuación en la que exigen al usuario que introduzca su PIN (forzosamente) mediante un teclado virtual, mucho más seguro que un teclado físico.
Sabiendo que se puede acceder mediante la forma anterior, es decir, mediante un PIN de teclado real… es absurdo mantener las dos maneras.
Por cierto, por cuestiones, supongo, de dificultad de implementación, también es mediante PIN de teclado el acceso desde un smartphone, así que seguimos igual de torpemente confiados.
Ni hablar de la banca telefónica, cuya comunicación, obviamente, no viaja encriptada.
Aunque, peor que todo esto, ya lo avancé al principio, es el hecho de que los usuarios lleven a cabo prácticas como usar la misma clave para entrar en una banca electrónica que la que utilizan para muchas otras cosas cuyo nivel de seguridad no tiene nada que ver (contraseñas del móvil, por ejemplo, que nos ve teclear cualquiera) o la del correo electrónico.
Por no hablar de dejarse, tras de sí, sesiones abiertas en navegadores ubicados en lugares públicos (conviene aprender a dejar limpio de rastro el navegador usado antes de terminar de usarlo), así como hacer búsquedas en google para encontrar URLs de lugares cuya seguridad es relevante, lo que puede conducir a caer en el más simple de los ataques: web spoofing, suplantación de identidad de una web a la que le damos todos los datos que nos pida sin darnos cuenta de lo que está escrito en la URL del navegador. Si quieres ir a una web de seguridad sensible (banca, comercio electrónico, email, etc…) ve siempre directamente, introduciendo la URL en el lugar destinado a ello en el navegador, nunca vía un buscador… o atente a las posibles consecuencias.
La verdad es que me sorprende que no sucedan más vulneraciones de seguridad de las que ocurren… o se reportan, dada tanta mala praxis.
