Cómo hackear el homebanking

¿Sos usuaria de HomeBanking? te contamos porqué estos sistemas no son tan seguros.

En algún punto, la seguridad siempre se basa en la confianza. Si se trata de una casa confiamos en las rejas; una caja fuerte, confiamos en la dificultad de la combinación; si es un candado, confiamos que sólo nuestra llave lo abre. ¡Pero sabemos que pueden ser vulnerables!

Lo mismo ocurre con las comunicaciones en la web, donde la confianza está puesta en las intermediarias. ¿Qué significa esto? Por ejemplo, cuando accedemos al home banking para administrar los fondos de nuestra cuenta, nos conectamos al servidor web del banco a través de múltiples intermediarias.

Supongamos que estamos en nuestro trabajo, abrimos el navegador en la PC que nos dieron (no es nuestra, por lo que no la instalamos nosotras), estamos conectadas a la red de la empresa, la cual se conecta al proveedor de internet (ej: Speedy, Arnet, etc), esta proveedora se puede conectar a otras operadoras de la red Internet, luego se conecta a la proveedora de Internet de nuestro banco, y finalmente, al cabo de todo ese recorrido, la conexión llega al servidor donde está el sistema de home banking. Son muchas las intermediarias que transmitirán nuestra comunicación privada con el banco.

Realmente, las especialistas no confiamos en las intermediarias, por eso se inventó una manera de cifrar la información para que no la puedan leer ni falsificar. Cuando la comunicación web está cifrada, la dirección web en el navegador comienza por “https://…” en vez de “http://…”, la “s” se supone que significa seguridad.

Vamos a explicar de manera accesible para todas cómo funciona, y cómo se puede espiar y alterar, las comunicaciones cifradas en la web.

Para simplificar, vamos a explicarla con ejemplos del mundo físico, que todas conocemos bien. Supongamos que yo, Pablo, quiero enviar información confidencial a Pedro, a través de una mensajera, sin que la mensajera ni nadie pueda leerlo en el camino. Un sobre sería fácil de violar. Entonces antes de enviar información confidencial, le envío una carta simple a Pedro pidiéndole me envíe un candado abierto del cuál solo él tenga la llave. Cuando la mensajera vuelve trayendo el candado de Pedro, guardo en una cajita blindada el documento confidencial, la cierro con el candado y se la entrego a la mensajera para que la devuleva Pedro con el mensaje. Pedro es el único que tiene la llave del candado para leer la información confidencial que le envié. Sencillo, ¿verdad?

Pero la mensajero podría haber cambiado el candado por uno que ella pudiera abrir, luego de leer la información pondría el candado original de Pedro y le entregaría el mensaje. Con lo cual nuestro sistema necesita algunas precauciones más. Para evitar que la mensajera cambie los candados, acuerdo con Pedro que los candados tendrán número de serie tan particular que haga prácticamente imposible para una mensajera encontrar un candado con el mísmo número de serie, entonces si lo cambia me daré cuenta inmediatamente y no enviaré la información.

A grandes rasgos, ése es el mecanismo de seguridad de la web. En el mundo digital se lo llama método de claves pública/privada, la clave pública es un candado que permite cifrar el mensaje de tal manera que sólo pueda descrifrarlo quien tenga la correspondiente clave privada, es la llave que abre el candado. Los supuestos códigos de serie que permitirían verificar la autenticidad del candado, son unos servicios llamados CA (Autoridades de Certificación, siglas en inglés) que se encuentran en nuestro navegador web.

El sistema es bueno, pero seguimos confiando en algo: en que la lista de CA en el navegador que estamos usando es correcta. Al menos ahora el asunto está en nuestras manos.

homebank

Pero si alguien pudiera acceder a nuestro navegador y alterar la lista de Autoridades de Certificación, veríamos como válidos los candados adulterados.

En realidad, es fácil adulterar nuestro navegador, ¡y es que nadie verifica la lista de CAs que tiene su navegador! Si una instala sus propios navegadores y los descarga desde el sitio web original de la desarrolladora, puede estar más o menos segura de que usa un navegador no adulterado, pero si una navega en la red de una empresa, o en cybers/locutorios, o mediante un celular, entonces ¡casi seguro el navegador fue instalado por una tercera en la cual creemos que podemos confiar!

Hecha la ley, hecha la trampa, y los sistemas preparados para interceptar las comunicaciones supuestamente seguras existen y ¡están disponibles en internet!

Si se dan maña podrán probar por ejemplo este software y experimentar interceptando sus propias comunicaciones. (No intercepten comunicaciones de terceras si no están seguras de lo que hacen, podrían tener serios problemas legales).

En un próximo artículo explicaremos cómo verificar, fácilmente y sin conocimientos técnicos especializados, si sus conexiones cifradas están siendo espiadas por alguna intermediaria. Mientras tanto… ¡¡a seguir confiando!!!

-Share this page-
submit to reddit Hire a Professional Programmer

http://www.pablorizzo.com/

compartí, discutí, comentá

Deja un comentario

Loading Facebook Comments ...