El Banco de Santander tiene problemas de seguridad con las cookies

Escrito por Adrián Crespo
Seguridad

Ni siquiera una gran entidad bancaria como es el Banco de Santander se libra de tener problemas de seguridad en sus servicios en línea. Ya habíamos hablado varias veces en RedesZone sobre la información que puede ser almacenada en las cookies, que son utilizadas por los navegadores y que muchas veces éstas también son utilizadas por buscadores o agencias de publicidad para ofrecer publicidad personalizada según los intereses de los usuarios.

Sin embargo, un usuario del servicio de banca en línea ha descubierto que en las cookies que son utilizadas por la entidad, se guarda información confidencial del usuario. En concreto, la información que se guarda es la clave de acceso al espacio personal y los números de las tarjetas de crédito.

¿Utilizas el servicio de banca en línea del Banco de Santander?

Como indicábamos con anterioridad, ha sido un usuario de los servicios de la filial del banco en Reino Unido el que ha hecho saltar la alarma. Aunque muchos de vosotros pensaréis que la operativa con la que trabaja el servicio es totalmente distinta con respecto a la de España, ésto no es así y sólo la apariencia es la cambia, siendo todo lo que se encuentra por debajo idéntico en ambas.

¿En que consiste el fallo de seguridad?

Aunque parezca grave por tratarse de un entidad bancaria, ésto en parte sí que es verdad. Sin embargo, para que el usuario se viese afectado, haría falta que su equipo estaría afectado por un ataque XSS, que permitiría la ejecución de código malicioso utilizando el navegador de internet y así poder acceder a la información contenida en las cookies.

Habiendo dicho ya la forma gracias a la cual podría ser aprovechado el fallo de seguridad, vamos a hablar ahora sobre el propio fallo. Una vez que el usuario ha iniciado sesión en Supernet (servicio de banca en línea del Santander en España), la aplicación guarda la contraseña en una cookie de navegación. Ésta cookie será utilizada posteriormente para guardar más datos personales del usuario, como el ID dentro del sistema, los PIN de compra y verificación y los números de tarjetas de crédito.

Aunque es verdad que esta cookie una vez que el usuario ha cerrado sesión es eliminada y no permanece en el sistema, si nuestro equipo está sufriendo un ataque XSS es probable que toda la información contenida en esa cookie pueda ser robada por el atacante.

El Santander tiene conocimiento de ésto

Expertos en seguridad le han hecho llegar esta información a los responsables de seguridad del Banco de Santander (tanto en España como en Reino Unido) y aunque no han dado ningún tipo de información han afirmado que estará arreglado lo más pronto posible.

Artículos de interés:

Fuente | The H Security


Continúa leyendo
  • ubuntu32

    El santander tiene una p*** mierda de banca electrónica no deja cambiar la clave de acceso , o llamas a un 902 o vas al puto banco

  • Epic Sax Guy

    Lamentable.

    Casi todas las entidades tienen graves agujeros de seguridad en su servicio de Online banking.

    Menos mal que en España cambié mis cuentas a bancos más razonables y sin comisiones.

  • sec022

    ¿Puedes aportar pruebas de todo esto que estás diciendo?

  • Tienes la fuente de donde ha sido obtenido. Además he podido leer esta mañana la contestación de los responsables del banco y han afirmado que a pesar de que suceda esto, no supone un peligro para los usuario porque estos datos no permitirían la validación en el servicio de los usuarios. Nos lo creemos pero vamos, a mi no me hace ni pizca de gracia que suceda eso

  • Pingback: Un virus infecta ordenadores y los utiliza en ataques DDoS()

  • sec022

    Sólo diré que los fallos encontrados en la banca online de Santander UK no son extensibles a Supernet. Es falso lo que dices de que “Aunque muchos de vosotros pensaréis que la operativa con la que trabaja el servicio es totalmente distinta con respecto a la de España, ésto no es así y sólo la apariencia es la cambia, siendo todo lo que se encuentra por debajo idéntico en ambas”.

    • Pues según lo que dices la del Santander y Banesto son distintas. Pero ya te digo yo que no y aquí cuento con la palabra del director de zona la zona norte d Banesto.

      Tu dices que no se extienden pero no dices el motivo ni das justificaciones

      • sec022

        Yo también se de lo que hablo. La arquitectura que subyace a todo esto es “la misma” (salvando diferencias que entre diferentes bancas online pueden ser enormes). Sin embargo por encima de ellas corren aplicaciones, que como podrás imaginarte pueden no tener que ver una con otra en absoluto.

        Y aquí cuentas con mi palabra, que no soy director de Banesto pero conozco lo que se ejecuta en estos sitios “muy de cerca”. Demasiado 😀

        • El articulo no habla de que el sistema de login sea distinto o no, porque eso si que es distinto tanto en supernet y banesto y en banco de santander uk. Lo que me refiero las cookies poseen el mismo funcionamiento en estos servicios a lo que no se si estaras de acuerdo o no pero es el problema al que se hace mencion y que intentamos explicar 😉

      • sec022

        La cookie no contiene la misma información en esas bancas online que mencionas. Concretamente (y ciñéndome al artículo original del que parte toda la noticia –> http://seclists.org/fulldisclosure/2012/Oct/101) una de las cookies parece ser propia de Santander UK y la otra pese a que comparte nombre con otras bancas online no tiene el mismo contenido una vez decodificada.

        A lo que voy es que la deducción por la que los problemas que se han encontrado en la banca online de santander uk son extensibles a todos los bancos del grupo es incorrecta.

        ¿Quiere eso decir que el resto de las bancas online del grupo están exentas de problemas? Probablemente no. No obstante esas vulnerabilidades a las que se hace referencia en la noticia no están presentes por extensión en Supernet y/o Banesto