Ni siquiera una gran entidad bancaria como es el Banco de Santander se libra de tener problemas de seguridad en sus servicios en línea. Ya habíamos hablado varias veces en RedesZone sobre la información que puede ser almacenada en las cookies, que son utilizadas por los navegadores y que muchas veces éstas también son utilizadas por buscadores o agencias de publicidad para ofrecer publicidad personalizada según los intereses de los usuarios. Os recomendamos leer nuestro tutorial sobre para qué sirve el robo de cookies.
Sin embargo, un usuario del servicio de banca en línea ha descubierto que en las cookies que son utilizadas por la entidad, se guarda información confidencial del usuario. En concreto, la información que se guarda es la clave de acceso al espacio personal y los números de las tarjetas de crédito.
¿Utilizas el servicio de banca en línea del Banco de Santander?
Como indicábamos con anterioridad, ha sido un usuario de los servicios de la filial del banco en Reino Unido el que ha hecho saltar la alarma. Aunque muchos de vosotros pensaréis que la operativa con la que trabaja el servicio es totalmente distinta con respecto a la de España, ésto no es así y sólo la apariencia es la cambia, siendo todo lo que se encuentra por debajo idéntico en ambas.
¿En que consiste el fallo de seguridad?
Aunque parezca grave por tratarse de un entidad bancaria, ésto en parte sí que es verdad. Sin embargo, para que el usuario se viese afectado, haría falta que su equipo estaría afectado por un ataque XSS, que permitiría la ejecución de código malicioso utilizando el navegador de internet y así poder acceder a la información contenida en las cookies.
Habiendo dicho ya la forma gracias a la cual podría ser aprovechado el fallo de seguridad, vamos a hablar ahora sobre el propio fallo. Una vez que el usuario ha iniciado sesión en Supernet (servicio de banca en línea del Santander en España), la aplicación guarda la contraseña en una cookie de navegación. Ésta cookie será utilizada posteriormente para guardar más datos personales del usuario, como el ID dentro del sistema, los PIN de compra y verificación y los números de tarjetas de crédito.
Aunque es verdad que esta cookie una vez que el usuario ha cerrado sesión es eliminada y no permanece en el sistema, si nuestro equipo está sufriendo un ataque XSS es probable que toda la información contenida en esa cookie pueda ser robada por el atacante.
El Santander tiene conocimiento de ésto
Expertos en seguridad le han hecho llegar esta información a los responsables de seguridad del Banco de Santander (tanto en España como en Reino Unido) y aunque no han dado ningún tipo de información han afirmado que estará arreglado lo más pronto posible.