Era digital, el rol de los Gobiernos y sus brazos fiscalizadores, y papel de bancos e instituciones financieras

Publicado originalmente en facebook, grupo de "Gobierno Digital".

¿Sabían ustedes que en los seis últimos meses, si usted tiene cuenta en el banco de Andrónico... estuvo, o está aún parcialmente expuesto a que le roben la clave sin necesariamente un correo de phishing, y después lo dejen en $1 en su balance?

O planteado de otra manera. Si ud. es un atacante malicioso: ¿Para que pagar de mi cuenta propia, si conozco unos cuantos miles de otros clientes que pueden pagar por mí?

Presento a ustedes, una presentación por Eduardo Riveros, Estudiante del Magister en Ciencias en el DCC, FCFM de la Universidad de Chile; después del enlace hay un breve detalle de los puntos críticos.

En resumen:

1.- Si saben tu RUT (rutificador y datos de SERVEL, alguien?), y roban la clave de acceso, pueden ver todo, y hacer avances en efectivo desde tarjetas, etc. Ya han habido casos de ese tipo de estafa.

2.- Pero ahora, si logran entrar una vez a tu cuenta, el segundo factor (digipass fisico o en teléfono móvil)... ¿Protege, cierto? Lamentablemente, se demostró que no. Ni siquiera solo teniendo digipass físico.

Ah, y la semana pasada, reporté a SBIF este enlace, que muestra que es factible sin que uno sepa, hacer que la página del banco filtre credenciales de acceso a un atacante malicioso.

El banco supo de esto por seis meses, pero se desconoce íntegramente el estado de las reparaciones; dado el segundo enlace que fue hace muy poco, me temo que no están totalmente solucionados todos los temas.

Yo tengo mi cuenta cerrada en dicho banco... por otros motivos de aprendizaje en vida real.

Con estas dos cosas, creo que nunca más volveré a ese banco, pero esa es una decisión netamente personal.

Reflexiones

Al parecer el banco tendría problemas de visión, estrategia, táctica y entendimiento de la actualidad; mi apreciación personal es que se quedaron en la época de los télex y teletipos. Ni hablar de pasar a tener un proceso de desarrollo y despliegue de software equiparable a los de Amazon u otras empresas tecnológicas del tipo FANG.

Pero también, hay falta de visión desde el estado chileno hacia el tema.

• ¿Existe una unidad de fiscalización que haga este tipo de inspecciones a las empresas o instituciones reguladas?

Me temo que la respuesta es un rotundo 'No'.

• ¿Qué medidas debe tener el estado, como garante ya de un gobierno digital? Para efectos prácticos está fomentando uno.

1.- Contemplar multas en miles de UTA (unidades tributarias anuales). A los bancos les saldrá más barato pagar programas de bug-bounty ("pago por reporte de errores"), y mejorar/evolucionar sus procesos de desarrollo para evitar exponerse a las multas.

2.- El estado debe tener una unidad de seguridad investigativa-ofensiva que se dedique a buscar vulnerabilidades de este tipo en entidades donde se efectuen transferencias de fondos. Bancos, Las tarjetas de crédito de casas comerciales, o las AFP.

Si esa unidad encuentra una vulnerabilidad, multa.

3.- Incluso, debiese contemplarse la posibilidad de caducar licencia bancaria, o intervenir la institución.

Por otro lado, para otros temas, como aquellos que implican uso de Firma Electrónica Avanzada, la unidad de seguridad debería también efectuar búsqueda de vulnerabilidades, para ver como minimizar los problemas. Los temas monetarios son una cosa, pero quién protege ante errores en temas de 'firma irrepudiable legalmente' (a priori, pero queda en uno demostrar fraude).

Vi una vez un caso de que quedó indexado y cacheado en google, un pdf que contenía el usuario y password de un servicio de FEA usado por una municipalidad para firmar documentos relativos a temas de tránsito: permisos de circulación, etcétera. Me imagino las posibilidades de mal uso de una firma válida ante notario: lo 'más amable' sería inscribirlo en un partido político.

Hace relativamente poco, después del problema de Infineon con una biblioteca usada para generación de llaves en los certificados digitales incluidos en las cédulas de identidad, varios países europeos estuvieron expuestos a tener documentos de identidad falsificables en tiempo razonable. ¿Cómo está Chile al respecto, dado que siempre compramos la tecnología?

Los avances en temas de Gobierno Digital, deben incluir la seguridad en mente, desde el principio: en el desarrollo de las soluciones, antes de publicar, y en la explotación misma. En este último caso, con el estado como fiscalizador activo y con poder de sanción efectivo.

Grand Finale: queda como ejercicio propuesto para el atacante malicioso, el automatizar los intentos de ingreso y registrar éxitos y fracasos, y hacerse de una lista de usuarios con recursos, o incluso monitorear sus hábitos de gasto.

Otra pregunta: ¿Andrónico usará su propio banco para sus operaciones personales?