Securi+: Nuevo sistema de seguridad de Caja España.

Caja España ha creado un nuevo sistema de seguridad para su operativa en banca online (Oficina Virtual) denominado Securi+.

Securi+ se basa en la generación de claves de un único uso a través de 3 opciones, un dispositivo de pequeño tamaño, un programa en Java para el teléfono móvil o a través de SMS, con diferentes costes o a cambio de créditos del programa de puntos de la entidad.

Con dichas 3 opciones el usuario tendrá una clave generada en el momento de acceder a  la página de Oficina Virtual, que se confontrará con otra generada por el servidor. Una vez se haya accedido, la página nos mostrará un código de confirmación que podremos corroborar con una de las 3 opciones anteriores a modo de verificar que estamos navegando por la página de la entidad y no por una copia.

Esta confirmación sirve para evitar el ataque de phising según la entidad, pero sin embargo dicha petición de clave generada y confirmación se hace después de haber ingresado el usuario y la clave. Creo que esto es un GRAVE error de orden, en el caso de un ataque de phising el usuario ya habrá dado su usuario y clave antes de darse cuenta, con la molestia de tener que cambiarla, aunque luego el atacante no pueda entrar sin la necesidad de dicho generador de  claves.

Sin embargo, si el proceso fuera anterior a tener que introducir el usuario y clave, el atacante únicamente obtendría una clave que variaría a los pocos minutos según ese aparato, y por tanto, el ataque sería totalmente ineficaz y sin causar ninguna molestia al usuario y víctima.

3 comentarios

Deja un comentario

Uso de cookies

Este sitio web utiliza cookies, como casi todas, y la ley nos obliga a avisarte. Si continúas navegando estarás dando tu consentimiento a la política de cookies, pinche el enlace para mayor información.

ACEPTAR