Zerial es un experto en seguridad que mantiene un blog donde publica algunas de las fallas que encuentra por ahí en la red, de las que sin duda hay muchas. Donde uno no esperaría encontrar problemas de seguridad es en los bancos – un lugar al que le confiamos nada menos que nuestro dinero. Sin embargo, este es el caso del Banco Santander en Chile, que tiene expuesto su código fuente.
La vulnerabilidad corresponde al tipo “Local File Include + Directory Traversal = Source Code Disclosure”, que permitía acceder a archivos de código del banco. Revisando los datos, Zerial descubrió que el desarrollo del código fuente corresponde al año 2006 – hace casi seis años – lo que revelaría poca preocupación de parte del banco respecto a este tema. Además, esta vulnerabilidad está presente desde hace al menos un año, dice Zerial.
Con esto, “tienes acceso al core de la aplicación, puedes entender cómo funciona el sistema del banco de forma interna, cómo son los procesos de negocio, etc. Esto ayuda al atacante a conocer mejor a su víctima”, señala Zerial.
Una de las fallas más curiosas, sin embargo, apareció poco después y afecta al sistema de pagos automáticos de cuentas (PAC/PAT). Esta falla permite que alguien entre a tu cuenta y asigne pagos automáticos, sin confirmación ni autorización de la persona dueña de la cuenta. Un ataque así sólo haría que pagues tus cuentas, pero de todos modos es una intrusión a tu cuenta personal.
“En Santander hay muchas vulnerabilidades, ésta es sólo una de ellas. Existen varios Cross-Site Scripting (XSS) que afectan a distintas secciones del Santander. Este tipo de vulnerabilidades sí que afectan directamente a los clientes. Santander se caracteriza por tener muchos agujeros de seguridad en sus procesos de negocios (validaciones)”, opina Zerial.
La primera vulnerabilidad, que permitía el acceso al código fuente, incluso estaba indexada en Google. Sin embargo, este problema parece haberse solucionado en los últimos días. El asunto del PAC/PAT, sin embargo, seguiría operativo.
– ¿Cuál consideras que es el peor descuido de Santander en este caso?
El descuido de ellos es claramente que externalizan servicios como la seguridad y el desarrollo y confían plenamente en esas empresas. Y ante amenazas y advertencias, que simplemente no respondan. No son capaces de manejar y canalizar el incidente.
– ¿Qué puede hacer una persona para protegerse?
Nada, es tarea del banco. El usuario no tiene como protegerse.
El banco no ha emitido una respuesta oficial a este caso Pueden ver la respuesta del banco más abajo. Personas que contactaron a ejecutivos de cuenta por este problema recibieron respuestas que descartan que la vulnerabilidad exista. Por otro lado, Zerial fue contactado por TAISA, la empresa que desarrolla el sistema del banco, que admitió que los problemas son reales y que están trabajando para corregirlos. Al menos esta compañía reaccionó bien.
No hay que descartar que otros bancos se encuentren en situaciones similares (aquí algunos otros ejemplos), considerando que en este lado del mundo varios servicios bancarios y de pago de cuentas todavía dejan bastante que desear.
Actualización:
Banco Santander respondió a nuestras consultas al respecto. El gerente de Banca Electrónica, Laureano Cuesta, aseguró que “esta vulnerabilidad fue revisada por tres entidades independientes, y las tres concluyeron que estaba protegida ante intentos de inyección de código malicioso. De todas maneras, y para no generar innecesaria preocupación en nuestros clientes, se procedió a limitar el acceso al código de esa página”.
Respecto a que el código correspondiera a un desarrollo del año 2006, Cuesta afirmó que “Banco Santander tiene más de 350 transacciones implementadas en más de 5.000 páginas de códigos de fuente, y éstas se modifican de acuerdo a las necesidades de los clientes y a condiciones de seguridad. Esto implica que no es extraño encontrar páginas que tengan 5 años de antigüedad, frente a otras páginas que fueron implementadas hace menos de un mes. Eso es normal en el ciclo de vida de los grandes sitios transaccionales”.
Sobre los problemas en el sistema de pago automático de cuentas (PAC/PAT), “también se hizo una revisión completa por parte de tres entidades independientes. En base a esto podemos asegurar que actualmente esta transacción es segura”.
Cuesta insistió en que el sitio web es seguro y que está en permanente monitoreo y revisión. También afirmó que una empresa externa realiza “hackeo ético” todos los años para revisar posibles fallas. “Cada vez que se detecta un riesgo, ya sea por nuestros propios equipos, por clientes o por expertos independientes, se trabaja de inmediato en reparar dichas fallas”, afirmó.
Link: El rincón de Zerial
