Fragilidad en la seguridad del Home Banking: Banco de Venezuela.

En estos días me contactó una persona desde Venezuela, para expresar su inquietud con respecto al proceso de cambio de claves del Home Banking del Banco de Venezuela, cuestión que es recomendable hacer cada cierto tiempo, como un hábito de seguridad.

Es importante dejar claro los casos en donde se debe cambiar la clave del Home Banking:

  • Por olvido de clave o usuario.
  • Por vencimiento.
  • Por sospecha de uso por parte de terceros no autorizados.

Esta persona, cuando procede a ingresar al Home Banking, el sistema automáticamente le pide que debe cambiar su clave, ya que la misma ha expirado (algunos Bancos en Venezuela fijan un tiempo de vigencia de las claves, el cual puede ser de 30, 60, 90, 120 O 180 días, al transcurrir este tiempo definido, es obligatorio cambiar la clave).

Hasta acá todo pareciera que está bien, ya que forma parte de las buenas prácticas de seguridad de las entidades financieras para proteger a sus clientes . Sin embargo, cuando detallamos los datos que pide el Banco de Venezuela para el cambio de claves, preocupa con demasía lo siguiente:
En primer lugar, y como pueden observar en la imagen, piden los siguientes datos:

  • Pide el numero de la tarjeta de débito.
  • Seleccionar el tipo de documento de identidad
  • Número del Documento de Identidad.

A simple vista no parece raro, ya que se trata de datos que comúnmente se solicitan para realizar estas operaciones de seguridad.

El tema se pone más delicado cuando se pasa a la siguiente fase:

Como pueden observar el sistema solicita directamente al usuario que ingrese la nueva contraseña, siendo que otros Bancos (siguiendo las normas de buenas prácticas de seguridad de Home Banking) piden como requisito obligatorio ingresar previamente la contraseña actual, para validar la identidad del titular de la cuenta bancaria, y luego poder hacer efectivo el cambio de clave.

Este paso previo es fundamental para la seguridad de los clientes del Banco, ya que de lo contrario sería considerado como una fisura en el diseño de seguridad del Home Banking, dejando a los clientes a merced de la delincuencia, que puede aprovechar esta debilidad y apropiarse de los fondos de una manera relativamente fácil, con sólo apoderarse del Documento de identidad, Nº de tarjeta y tarjeta de coordenadas.

Esta omisión la considero grave por la siguiente razón, la cual voy a explicar con un breve caso hipotético en el que se pueden ver afectados los clientes del Banco:

Hurtan o roban a una persona de sus pertenencias (cartera y celular), incluyendo su documento de identidad, tarjetas de débito o crédito y la tarjeta de coordenadas del Banco (es normal que las personas carguen con estos documentos). El delincuente una vez en poder de los documentos antes mencionados y sin conocer la clave de acceso a la banca digital de su víctima, puede ingresar a la página web del Banco de Venezuela, en la sección “BDV enlinea Personas”, e indicar que olvidó la contraseña, luego sólo debe ingresar los datos que tiene en su poder para hacer efectivo el cambio de claves y tener acceso a la cuenta.

DATO IMPORTANTE: De acuerdo a lo que manifiestan algunos clientes del Banco de Venezuela, el tiempo estimado para hacer efectivo el cambio de clave, es de aproximadamente 2 minutos.

Registro de Cuentas de Terceros u Otros bancos.

El delincuente una vez con acceso al Home Banking de la víctima, puede registrar cuentas de terceros donde serían transferidos ilegalmente los fondos.

A partir de este momento el delincuente tiene vía libre para hacer lo que quiera, ya que sólo se pide como elemento de seguridad para la validación del registro del nuevo destinatario, las claves de la tarjeta de coordenadas o Token por SMS (según lo relatado por algunos clientes del Banco, afirman que el SMS nunca llega o llega como mucho retraso, por eso prefieren el uso de la tarjeta de coordenadas)

El tiempo juega a favor del Delincuente

Como se indicó líneas arriba, el tiempo estimado para realizar la operación de cambio de contraseña es de aproximadamente 2 minutos, sumado al tiempo que se emplearía para el registro de nuevos destinatarios, serían 3 minutos más. En total, un delincuente una vez apoderado de los documentos e información necesaria de su víctima, necesitaría 5 minutos aproximadamente para cambiar la clave y transferir los fondos ilegalmente.

No se necesita ser un “Ciberdelincuente puro” para ejecutar este tipo de acciones delictivas, que si bien implica el uso indebido de sistemas de información y comunicación, accesos no autorizados o sabotajes a sistemas protegidos, el modus operandi es tan sencillo que cualquiera lo puede realizar.

La importancia de las preguntas de seguridad.

En seguridad informática, hay un área que se conoce como “Control de Accesos”, cuya función es validar la identidad de un sujeto o ordenador, para acceder a un recurso o información dentro de un sistema informático.

Generalmente un usuario para poder validar su identidad en un sistema informático debe proporcionar:

  • Algo que conoce (contraseñas o password, preguntas de seguridad)
  • Algo que tiene (tarjeta de coordenadas, Token)
  • Algo que es (Datos biométricos, huellas, voz, entre otros)

En el caso del cambio de claves del Banco de Venezuela, el cliente que haya olvidado su contraseña, sólo debe utilizar como metodo para validar su identidad algo que posee (Nº de Documento, Nº de Tarjeta de Débito y Tarjeta de Coordenadas), cuestión que lo expone a altos riesgos, en virtud de tratarse de instrumentos físicos que generalmente se tiene encima, y pueden ser objetos de hurto o robo.

Consideró que lo mínimo que debería exigir el banco a su cliente, además de proporcionar algo que posee, es pedirle que responda las preguntas de seguridad que en teoría sólo sabe él, y de esta manera tener mayor seguridad de que quien solicita el cambio de claves es el titular de la cuenta, y no un tercero que pudo hurtar o robar los documentos anteriormente mencionados.

Las bancos se preocupan mucho por brindar las mejores funcionalidades a sus clientes en cuanto a la Banca On-line, la usabilidad es un característica que mucha veces destaca sobre cualquier otra, incluso la seguridad, cuestión que a veces se exagera.

Comparto un vídeo demostrativo sobre el tema que estamos tratando:

Medidas de seguridad para clientes de banca electrónica.

Si utiliza su celular para recibir códigos o tokens del Banco, procure mantenerlo siempre bloqueado a través de Patrones de Bloqueo, PIN o claves.

Desactivar las notificaciones emergentes de la pantalla de bloqueo. (Aprende cómo haciendo click aquí). Es importante hacerlo ya que muchas veces el banco envía códigos de seguridad vía SMS, y estos se pueden leer sin necesidad de desbloquear el móvil.
Evite en lo posible de guardar en su móvil imágenes o archivos que contengan claves o códigos de seguridad bancaria. En caso de hacerlo, protegerlos con claves de bloqueo.

Medidas de Seguridad en el Home Banking.

No existe fórmula mágica para garantizar una seguridad 100% efectiva, sin embargo se puede minimizar los riesgos potenciales con la utilización de procedimientos, herramientas y buenas prácticas de una forma sinérgica.

El Banco de la Nación de Argentina nos dice las medidas de seguridad mínimas que debemos seguir a la hora de utilizar los canales electrónicos de nuestro Banco:
El Banco “NUNCA” le solicitará que informe o confirme sus claves o datos a través de un correo electrónico.

Evitar, en lo máximo posible, el acceso a Home Banking desde lugares PÚBLICOS, como por ejemplo Ciber-Cafés, universidades, colegios, locutorios, etc.

No acceda al Sitio Web del Banco utilizando links. Siempre escriba en el navegador la dirección de Internet correspondiente: www.subanco.com.

Recuerde su contraseña de acceso a Home Banking y no la divulgue, esta es personal e intransferible.

Siempre que tenga alguna duda comuníquese con su Banco.

2
Deja un comentario

avatar
1 Comment threads
1 Thread replies
0 Followers
 
Most reacted comment
Hottest comment thread
2 Comment authors
Rafael M. MartinezUnDudanteElemental Recent comment authors
  Subscribe  
newest oldest most voted
Notify of
UnDudanteElemental
Guest
UnDudanteElemental

Saludos querido iluminado. Desde mi humilde opinion: 1.- Pienso que tal como tiene mucho de elemento físico ( pues el usuario es obligado a imprimir en papel las coordenas ) entonces es el usuario quien tiene una mayor carga en garantizar su propia seguridad, ya que el banco le está dando los elementos necesarios que garantizan su seguridad electrónica. 2.- Me explicaré mejor, con un ejemplo ilustrativo: Usted es responsable del acceso a su hogar porque resguarda la llave de su casa, la llave es su seguridad, si usted pierde la llave o alguien se le roba y accede a… Read more »

Rafael M. Martinez
Admin

El Standard lo establece el ISO 27001. Estadísticas no hay porque en Venezuela el gobierno sencillamente no las genera. Tanto la Sundde y Sudeban no llevan estadísticas detalladas y las pocas que poseen no las hacen publicas. Lo mismo ocurre con el CICPP y el MP. Lo que si puedo decirte, es que el sistema de coordenadas por si solo no es suficiente. De cada 10 casos de accesos indebidos a cuentas bancarias a través de interne, llevados por mi escritorio, en 5 las coordenadas se adquirieron mediante phishing, en 3 por hurto y en 2 por familiares. En todos… Read more »

Scroll hacia arriba

Pin It on Pinterest