Conduce Chile

Al. Ser 17 bancos me tinca que hakearon alguna tienda o sitio donde se usaron las tarjetas no al banco en si.

Enviado desde mi MHA-L09 mediante Tapatalk

Cuando publiqué la noticia la embarrada apareció publicada mucho mayor. Afortunadamente, en la rectificación de la misma el alcance de la filtración fue bastante menor y mucho más fácil y rápido de mitigar.

Realmente una verguenza....

Aunque yo no soy muy entendido en informatica y seguridad, pero aqui va una consulta para los entendidos....

En la informatica no existe sistema que sea "inhackeable"? O simplemente tenemos bancos vulnerables porque cuentan con sistemas mas baratos y/o poco actualizados en cuanto a seguridad? Porque si es la ultima opcion, la SBIF debería partirlos en multas... pero en Chile dudo que pase eso.


Enviado desde mi iPhone utilizando Tapatalk

  Desde el punto de vista técnico no existen los sistemas infalibles y nunca van a existir. Con miles de millones de líneas de código en la cadena de todos sistemas, los cuales son realizados por seres humanos. Solamente existen desarrollos respecto a prácticas y procedimientos seguros de trabajo. No obstante, aunque los sigas al pie de la letra siempre existirán vulnerabilidades ya sea porque existen errores de programación, que muchas veces no son errores sino técnicas legítimas, errores a nivel del hardware, o porque los delincuentes descubren nuevas formas de bypasear los controles de seguridad y las contramedidas para esos nuevos ataques son sólo posibles de generar una vez que se comprende la naturaleza de los mismos.

  Respecto a responsabilidades, la primordial es mantener los sistemas con sus parches al día y decomisionar y reemplazar sistemas obsoletos que aún se encuentren en uso. En la práctica eso no sucede de manera sistemática porque aplicar parches significa recertificar que estos no afectan al funcionamiento del mismo sistema o sus integraciones, o porque existen sistemas "irreemplazables" o que requieren inversiones gigantescas.

  También se da que aplicar parches es peligroso incluso cuando ya han sido probados en ambientes de pruebas, alguna cosa puede fallar al instalarlo en ambientes productivos y dejar todo el sistema caido por días (si bien existen procedimientos de contigencia y vuelta atrás o rollback, a veces la aplicación de estos procedimientos puede ser muy larga si estás, por ejemplo, haciendo una recuperación de un backup de gran volumen de datos). Entonces se da la paradoja que el riesgo de parchar puede ser evaluado como mayor que el riesgo de sufrir un ataque (o que el costo de parchar sea mayor que el costo de sufrir un ataque).

  Otra de las variables complejas, tiene que ver con el personal interno, como le sucedió al Banco de Chile y también al BCI en el pasado. En donde gente que tiene privilegios altos sobre los sistemas, que son necesarios para poder darles mantenimiento o administración, se aprovecha de éstos para beneficio propio.

  Y la mejor prueba empírica de que no existen sistemas "seguros" es que los mismos fabricantes de software top del mercado, que invierten miles de millones de dólares todos los años en mejorar sus softwares y tienen a los mejores talentos del mundo trabajando, viven mes a mes en el juego del gato y el ratón liberando parches para mitigar vulnerabilidades.

y adicionando a lo que dices, el bendito usuario, ese ser humano pelotudo que cuando alguna pagina está bloqueada, pone su celular a compartir internet para ver el partido de futbol y todo, absolutamente todo el esfuerzo de TI se va a la cresta por ese angelito, que muchas veces es el mismo que usa su pendrive personal en la pega, que da el correo corporrativo para sus cosas personales ( y despues le llega un correo del tipo " ZOZITO, LE SACAMOS UN PARTE, MIRE, PINSHE ACA" y el aweboldo va pincha y descarga la wea que sea ) cuando existen 785628985 protocolos que le indican que eso no se hace, pero como el hijo del Lusho, que entro ayer al instituto a estudiar computación le dijo que no pasaba ná, va y hace mil pelotudeces.

No existen sistemas infalibles con usuarios pelotudos, es mas, aun hay embarazos no deseados, cuando los condones los venden hasta en los kioskos.

 

la bendita capa 8 .. esa maldita interfaz entre la silla y el teclado

y adicionando a lo que dices, el bendito usuario, ese ser humano pelotudo que cuando alguna pagina está bloqueada, pone su celular a compartir internet para ver el partido de futbol y todo, absolutamente todo el esfuerzo de TI se va a la cresta por ese angelito, que muchas veces es el mismo que usa su pendrive personal en la pega, que da el correo corporrativo para sus cosas personales ( y despues le llega un correo del tipo " ZOZITO, LE SACAMOS UN PARTE, MIRE, PINSHE ACA" y el aweboldo va pincha y descarga la wea que sea ) cuando existen 785628985 protocolos que le indican que eso no se hace, pero como el hijo del Lusho, que entro ayer al instituto a estudiar computación le dijo que no pasaba ná, va y hace mil pelotudeces.

No existen sistemas infalibles con usuarios pelotudos, es mas, aun hay embarazos no deseados, cuando los condones los venden hasta en los kioskos.

Jajajaja!
Toda la razón!

Acá en la pega vivimos luchando para que no se nos caigan las agendas, no entre software malicioso etc, pero los angelitos viven parchándose con proxys virtuales y Se cae la mandanga porque no encuentran nada más lindo que escuchar música en YouTube toda la mañana y se comen todo el ya miserable y lastimoso ancho de banda.

es raro porque casi todo incluyendo los PAT se hace a través de Transbank... el sistema de Lan podria ser, no recuerdo ningun otro que opere fuera de transbank.

aca el agujereado fue un tercero, no se hackearon tantos bancos a la par... se robo una base da datos, bastante antigua por cierto considerando que de todas las tarjetas filtradas un porcentaje menor esta operativa y activa.... por ahi escuche que salto altiro transbank a aclarar que no fue el atacado y no tenia que ver... como dijeron por ahí, lo mas probable es que haya sido algún servicio online, pero a mi me llama la atencion que la base de datos sea antigua, osea a quien hackearon ? a msn ? a fotolog ?
 

El Servicio de Impuestos Internos
Se ha percatado que en diversos despachos alrededor del Pais, Ud. ha propuesto esquemas para evadir el pago de impuestos y hemos detectado anomalias en su situacion fiscal. Para evitar una sancion en su contra que puede ser una multa de hasta 75 UTM.

   Le recomendamos seguir nuestro: manual de recomendaciones.

                                                                                                                   
   (Abrir Manual)

Me llegan correos asi todos los dias, tambien con infracciones, citaciones de la PDI, etc  dan unas ganas de abrir los link, que ni te cuento jajaja.

Jajajaja!
Toda la razón!

Acá en la pega vivimos luchando para que no se nos caigan las agendas, no entre software malicioso etc, pero los angelitos viven parchándose con proxys virtuales y Se cae la mandanga porque no encuentran nada más lindo que escuchar música en YouTube toda la mañana y se comen todo el ya miserable y lastimoso ancho de banda.

Realmente el principal giro de los bancos es cuidar nuestras lks.,  prestarla a terceros y tenerlas cdo. las requiramos y que no se las roben, tan simple como eso y para eso pagamos, pero por regla general harto malo e inseguro el servicio, páginas caídas, clonación de tarjetas, hackeo de cuentas, anda a encontrar a la ejecutiva (o) para preguntar algo y un largo etc. creo que el sistema deja harto que desear por no decir malo.

 el mercado financiero falla o la fiscalización o las 2 cosas.

   Es cierto, pero no es tan simple como lo pones. Los bancos se ven obligados a adoptar tecnologías que no son nada de baratas para poder dar el servicio y la inmediatez que los clientes desean. Estas tecnologías, así como quienes las utilizan, tanto empleados como clientes, son imperfectas.

   Las tecnologías van mejorando, pero también la habilidad de los inescrupulosos que intentan robarte. Además, es inviable tanto práctica como económicamente que un banco mude de tecnología todas las semanas, cada vez que una nueva y mejorada es desarrollada.

   Al final es un juego de riesgos. Los riesgos siempre existen, son parte de la vida. Los puedes asumir tú, los puedes mitigar (por ejemplo, contratando alarma o un guardia para tu casa) o los puedes compartir (comprando seguros o depositando tu plata en el banco en vez de debajo del colchón), pero no los puedes eliminar. 

   Una institución como la SBIF, puede poner requisitos mínimos de mitigación de riesgos, pero no puede multar cada vez que estos se materializan si estos requisitos se estaban cumpliendo.

 Esto es lo mismo que demandar a la PDI, Carabineros, al poder Judicial o al estado porque te robaron el auto o robaron tu casa y ellos no te protegieron adecuadamente ni pusieron tras las rejas a todos los delincuentes que existen en el mundo y a los que existen en potencia (todos fueron primerizos alguna vez). Otro ejemplo sería que demandes a todos los servicios médicos/farmacéuticos y clínicos porque te enfermaste de X cosa que no tiene cura.

  Todos estos sistemas, que están para apoyar el bien común son siempre reactivos. ¿te imaginas a una farmacéutica vendiendo un medicamento para una enfermedad que no existe aún?

No hay problema con eso mientras respondan cuando corresponda.

Por ej. el robo de dinero anterior, era dinero de los clientes y se hicieron los lesos al no admitirlo, pero tambien cubrieron...

Ahora, como mencionaban en otro post, la ingenuidad y falta de preocupacion de la gente es un tema y no hay mucho que hacer al respecto... aca en la oficina me tienen chato con el cambio de contraseña... validan que no hayas tenido la misma antes, etc... en cambio los bancos, solo el BCI te pide cambiarla periodicamente, el Santander y BBVA que son los otros que tengo nunca me han pedido un cambio en años.

  Yo creo que los bancos no piden cambios de contraseña tan frecuentemente porque es una joda para ellos mismos. La gente las cambia y después se les olvida (y como las contraseñas jamás deben ser anotadas en un papelito jejeje) y terminan llamando al banco para que se las reseteen. Es un cuento de nunca acabar. Yo mismo que soy informático, cuando cambio las claves después NPI que puse cuando intento ingresar a un servicio que ocupo una vez por mes. jajajajaja

  Eso además sumado con que tienes que recordar la clave del correo, de la red, del gmail, del banco A, del banco B, del sistema del cliente Z, Y, X, y HU termina haciendo que o usas la misma clave en todos lados o las tienes todas anotadas con el riesgo que eso conlleva (y anda a perder el archivo donde están anotadas...)

  Es un tema sin solución, incluso la biometría no termina siendo más que una clave que representa las características biométricas del dedo, la retina, la cara u otra parte del cuerpo que por muy encriptada que se almacene o se transmita igualmente debe convertirse a su forma original en algún lugar para poder ser utilizada y vulnerada.

Quizás fui muy sutil para decir que los bancos, como muchas otras empresas, sobre todo de mercados regulados dan un servicio como la &(/&(/%(/&/, osea, en chileno servicios caros y malos.

 Que los riesgos, que los sistemas, que la ecuación, que la hipotenusa ....naaaa pésimo servicio y caro. Si quiero asumir el riesgo yo guardo las lks debajo del colchón y ahí estoy pagando un seguro de mierda todos los meses, seguridad que me debe dar el propio banco sin "adicionales".

 Realmente, no sé como hay gente que defiende o justifica a este y en gral. a los bancos, si al final del día que les roben, que les "hackeen" las páginas o sus sistemas es problema de ellos, no del cliente y si no pueden garantizar la seguridad de sus sistemas, por que no le caducan su licencia???