Home / Noticias / Los Token RSA y Banco Popular #popularenlinea

Los Token RSA y Banco Popular #popularenlinea

Como algunos saben la firma RSA* (inglés) ha ofrecido a sus clientes cambiar los tokens que son utilizados por sus clientes para loguearse en sistemas internos o en servicios bancarios, estos mismos son los utilizados por el Banco Popular en su servicio online, popular en línea. Esta dedición fue tomada después de RSA haber sido hackeada a través de un tipo de ataque APT (Advanced Persisten Threat). Este acontecimiento ha afectado a aproximadamente más de 40 millones de Usuarios. ¿Pero que decisiones ha tomado el Banco Popular al respecto? 

Bueno, aunque la compañia RSA informó que este ataque no ponía en peligro directamente a ninguno de sus clientes, si habían vulnerabilidades en los algoritmos de los token y que trabajaban en solucionarlo. Pero poco después fue atacada una firma de defensa de los Estados Unidos, Lockheed Martin, quien dijo:

El algoritmo utilizado por RSA para generar los números está disponible al dominio público, así que lo único que detiene a un hacker de crear estos números es el conocimiento de lo que se hace llamar como el “registro semilla”.

Es decir, es una situación un tanto riesgosa, y no como para pensar: “No ombe, a esos hackers no les importa este país, eso sólo pasa allá en los Estados Unidos”. No es el Mundo del Juguete que está siendo afectado, sino el Banco Popular, y donde hay dinero hay intereses.

Pero a todo esto, el Banco Popular nos envía un Link el día de ayer en el cual el Popular comunica lo siguiente:

El Banco Popular Dominicano informa a sus clientes que el uso de los tokens, utilizados en la operativa de Internet Banking, sigue siendo seguro y confiable, de acuerdo a la información ofrecida por la compañía RSA hasta la fecha. RSA mantiene abierto, no obstante, un proceso de investigación. El banco también ha puesto en marcha una serie de medidas de seguridad, entre ellas, un monitoreo exhaustivo de cualquier movimiento fuera de lo común realizado con estos dispositivos. El Banco Popular recalca que los clientes usuarios de tokens no están en una posición de riesgo, pero recuerda que sigue siendo responsabilidad del usuario proteger su dispositivo, no entregar su código y evitar que esa información sea accesible por terceras personas.

Esperamos que el Banco Popular esté consciente de la información que aquí presentamos, y que aunque hayan tomado como medida hacer un “monitoreo exhaustivo”, deben tener en cuenta que existe un riesgo considerable y tal vez la mejor decisión sería solicitar a RSA el cambio de los Tokens, e indicar a todos sus clientes pasar por oficina a buscar los Tokens nuevos, al igual que inhabilitar los que actualmente están circulación una vez se haya iniciado el proceso.

Aunque con esto no queremos decir que dudamos de la profesionalidad del Banco Popular y/o de su Equipo de Respuesta contra Incidentes, al realizar sus procesos de Seguridad de la Información, pero sí es mejor prevenir que lamentar.

¿Te gustó este artículo? Seguro te gustarán otros más...

About Gustavo Valverde

Co-fundador y Editor en Jefe de Linkeado. Especialista en tecnologías de consumo y amante de la tecnología móvil. Me dedico a la Consultoría de Riesgos de TI y Seguridad Informática. Puedes seguirme en Twitter o en Google+.