Chile: Sencillito y MisCuentas son más seguros que Servipag

Chile: Sencillito y MisCuentas son más seguros que Servipag

por

Y pagar de forma presencial es más seguro que las tres juntas

Como complemento a la “vergonzosas” brechas de seguridad en el sitio de Servipag, El rincón de Zerial no sólo decidió nuevamente analizar de forma profunda al afectado, sino además incluir a sus más directas competencias, Sencillito y MisCuentas, en lo que a portales de pago de cuentas se refiere. El mismo palo ahora para todos.

Cortecía de El Rincón de Zerial

Por la borda quedan todos las críticas que decían que era una fijación, o que el resto de portales era igual o peor. Dejando de lado las vulnerabilidades de las que sufría Servipag, se corrió una segunda tanda de pruebas para evaluar qué tan susceptibles son los tres portales son ante ataques simples y clásicos que irrumpen las entrañas de los sitios. Los resultados, según el mismo sitio, son “alarmantes”:

  1. Servipag: Passwords sin cifrar, permite el tráfico sin http seguro, no usa tokens de seguridad en sus formularios, permite realizar peticiones desde sitios/formularios falsos, no usa captcha.
  2. Sencillito: Al no requerir registro de usuario se libera de todas las criticas, este servicio es el mas sencillo y el más seguro
  3. MisCuentas: Passwords cifrados, tiene un buen mecanismo de recuperacion de contraseña, las transacciones se realizan mediante HTTP seguro, no usa tokens de seguridad y tampoco utiliza captcha, permitiendo peticiones desde sitios/formularios falsos.

Para quienes no entendieron lo anterior, en CHW tenemos el don de traducir al español lo ininteligible: de todos ellos Sencillito es el que sale mejor parado al no requerir registro previo del navegante, eliminando de raíz todas las posibles brechas de seguridad que afectasen negativamente al usuario. Aunque se puede falsificar el formulario de pago… ¿Quién querría hacerlo para pagar nuestras cuentas?

MisCuentas queda en un virtual segundo lugar, ya que sólo puede ser víctima de la obtención de contraseñas por fuerza bruta. El proceso completo requiere un montón de tiempo (días, semanas, meses), pero de cierto modo es posible y el éxito puede dar a lugar a un fraude. La irrupción a la base de datos del servidor sería infructuosa si el atacante decide atacar por esta vía, dada que las contraseñas están protegidas.

Servipag quedó en un incómodo tercer lugar, pero para entender esta posición en la que se encuentra la empresa hay que remontarse algunas horas atrás. En un comunicado a través de Facebook, el Gerente de Operaciones de Servipag (cuyo nombre real no aparece) comentó que “la seguridad de los datos de los usuarios, las operaciones y las transacciones se encuentran seguras y resguardadas bajo exigentes parámetros y estándares nacionales e internacionales”, ya que las vulnerabilidades sólo amenazaron “la interfaz pública de la página”.

Servipag enviando la contraseña "prueba" en texto plano.

Pero El rincón de Zerial deja ver que nuevamente la empresa cae en un embuste, declarando que “es inaceptable que un sistema que dice ser seguro obligue al usuario a escribir una password [contraseña] con un límite de caracteres”, además de mencionar que las mismas, consistentes en sólo números, no están cifradas. En teoría, se puede emplear la técnica de fuerza bruta para adivinarlas en cosa de minutos o segundos (es apenas un millón de combinaciones), robar información, o incluso cruzarla con otros servicios como correo electrónico, PayPal y otros. Todo lo anterior eleva la siguiente pregunta: ¿Existe algún “Estándar Internacional” que avale el almacenamiento de contraseñas sin cifrar? Eso sin contar el resto de problemas analizados.

Algo que no ha hecho la compañía, pero que personalmente puedo hacer, es recomendar el uso de una diferente contraseña en cada servicio. Ningún sitio es 100% seguro, es cosa de recordar los hackeos de LulzSec y su historial de ataques a sitios gubernamentales, o el mismo traspié que sufrió la PlayStation Network. Por la misma razón los bancos siempre tienen un vigilante privado y armado.

Link: Análisis de seguridad: Servipag vs Sencillito vs MisCuentas (El Rincón de Zerial)