Habrá quien piense que es difícil tener la potencia de proceso y los conocimientos para emprender este tipo de ataques. Quizás ahora solo lo pueda hacer la NSA u otra gran agencia estatal, pero recordemos que la potencia de cálculo disponible crece de manera exponencial, también hay que mencionar otras tecnologias como la computación cuántica. Lo que hoy en día es casi imposible puede ser viable en cuestión de meses.
En Criptomonedas.org hemos realizado un análisis de seguridad entre distintas distintas plataformas, páginas webs de los principales bancos españoles, banca electrónica o banca online. También hemos analizado la seguridad de las principales plataformas de Bitcoin, criptomonedas y exchanges. Las conclusiones son sorprendentes.
Ningún banco español de los analizados cuenta con un certificado electrónico de media o alta seguridad
La primera preocupación que tienen los usuarios al conocer la existencia de las criptomonedas es la seguridad. Tanto de la moneda digital en si, como de los servicios existentes como exchanges y Carteras/Monederos (wallets) online. Cómo en cualquier servicio de Internet, la seguridad de la transmisión, procedencia, integridad y confidencialidad de los datos recae principalmente en el cifrado o criptografía.
Ranking y clasificación de seguridad de la banca electrónica de los principales bancos españoles.
Sabemos que la seguridad en la banca electrónica se refuerza con sistemas adicionales como la autentificación de dos factores, el uso de tokens, confirmación por SMS de transacciones, etc. Sin embargo, en nuestro análisis dejamos en evidencia las debilidades de las primeras barreras de seguridad, que entre otras cosas permiten la monitorización del tráfico, robo de claves etc.
Informe preliminar:
Posición (primero el mas seguro) | Vulnerabilidades | Calificación de seguridad (0 a 10) |
1. BBVA | Firma débil. | 5+ |
2. BANKINTER | Firma débil. | 5+ |
3. BANKIA | Firma débil. POODLE SSL | 5- |
4. IBERCAJA | Firma muy débil. POODLE SSL | 4 |
5. BANCO POPULAR | Firma muy débil.POODLE SSL y TLS | 4 |
6. LA CAIXA | Firma muy débil. POODLE SSL y TLS | 4- |
7. BANCO SANTANDER | Firma muy débil. POODLE SSL y TLS | 3 |
8. BANCO SABADELL | Firma muy débil. POODLE SSL y TLS | 3- |
Tenemos que aclarar que el análisis es principalmente de los protocolos de comunicación segura HTTPS asi como las capas de transporte seguro (SSL / TLS). También hemos realizado un criptoanalisis de la calidad de los sistemas de cifrado (certificados digitales y sistemas de hashing) y algunas vulnarabilidades de los servidores como el PODDLE. Estos no son los únicos factores que definen el grado de seguridad pero si son esenciales ya que son la primera “barrera” de protección.
Es destacable que ningún banco español de los analizados cuenta con un certificado electrónico de máxima seguridad (el primer requisito para establecer una conexión segura). Es mas, ni siquiera de seguridad media. Esto no dice nada positivo de estos servicios de banca electrónica, ya que la calidad de los citados certificados (que son emitidos por terceros -autoridades certificadoras de confianza-) depende principalmente del coste que estos bancos quieran asumir. Es decir, que si gastan un poco mas obtienen un certificado de mayor calidad, lo peor es que estamos hablando de variaciones de precio del solo unos cientos de euros al año.
Curiosamente, todas las plataformas de criptomonedas analizadas superan ampliamente la seguridad de los bancos, se mueven en niveles de 9+, Poloniex, Bitstamp, BTC-E, etc… .Webs como meneame.net que es una web de “noticias” cuentan con mas seguridad a nivel de HTTPS que casi toda la banca electrónica de España.
Otra curiosidad es que el Deutsche-Bank en Alemania tiene una seguridad de 8 y un certificado digital de seguridad alta, sin embargo en su web en España no es así.