EMOLTV

Transacciones en línea: Sitio denuncia fallas de seguridad en portales de pagos

Detectaron tres vulnerabilidades en un importante sitio nacional. Aquí, algunos consejos para hacer trámites sin arriesgar la pérdida de datos.

03 de Agosto de 2011 | 08:32 | Por Alexis Ibarra O., El Mercurio
imagen
Cheo González, El Mercurio

SANTIAGO.- La seguridad de los sitios de pago en línea está en entredicho. Esto luego que un sitio especializado en seguridad informática denunciara que la web de Servipag tiene tres brechas de seguridad que permitirían acceder a datos de los usuarios si es que un hacker se lo propusiera.


Servipag es usado para pagar cuentas de servicios como el agua, el gas o colegiaturas, entre otras.


El hallazgo fue realizado por Fernando Lagos, investigador en temas de seguridad (conocido en la red como Zerial) y que colabora con sitios como Hacklab.cl y Secureless.org.


Lagos encontró fallas graves y críticas que permiten -en palabras sencillas- navegar en los directorios del servidor, leer archivos y sus contenidos, pero también que un hacker tome el control.


"Afectan directamente al usuario ya que facilita el robo de datos, la suplantación de identidad y también permite el phishing (cuando una página falsa reemplaza a una verdadera)".


Jaime Briggs, director regional de Seguridad en Soluciones Orion, coincide con Lagos en que las fallas son alarmantes. "Los sistemas de pagos en línea deberían mantener un nivel de seguridad muy alto y con una buena capacidad de respuesta frente a las amenazas de seguridad", explica el especialista.


El problema mayor -explica Brigss- es cuando un usuario utiliza la misma contraseña en todos los sitios, lo que permite que un hacker utilice esas passwords y contraseñas en otros sitios.


Servipag reconoce la existencia de las vulnerabilidades denunciadas, pero según Jaime Baraqui, gerente de operaciones de Servipag, ningún dato crítico de los usuarios está comprometido.


"Al momento de pagar, el sitio se conecta directamente con WebPay o el banco, y son ellos los que manejan esa información", aclara. "Nosotros no almacenamos datos de tarjetas de crédito, débito o números de cuenta corriente".


Además, dice Baraqui, las bases de datos con la información de registro de los usuarios están en servidores distintos que están constantemente monitoreados por Neosecure.


Resguardos del usuario


Servipag fue uno de los sitios analizados por Lagos. Los otros dos fueron Sencillito y MisCuentas.


Según el especialista, Sencillito sería el más seguro dado que no expone al usuario al no requerir información para registrarse. Le sigue MisCuentas y luego Servipag.


"Resulta preocupante el nivel de seguridad de los sitios, y mientras no arreglen los problemas yo recomendaría no usarlos", dice Briggs.


El especialista advierte que un usuario no se da cuenta de si un sitio específico tiene un buen nivel de seguridad. Pero sí puede tomar ciertos resguardos para evitar que su dinero llegue a manos de terceros. Entre ellos, actualizar constantemente el navegador y el antivirus, sólo usar el PC personal para hacer transacciones, establecer password distintas en cada sitio y no conectarse a redes WiFi desconocidas.


Roban datos de The Sun


Información personal de lectores del diario The Sun que participaban en encuestas y concursos fue robada por hackers . Rupert Murdoch (propietario del periódico) envió un mail a los afectados en que explica que datos como su nombre, fecha de nacimiento, e- mail y teléfono estaban comprometidos.

EL COMENTARISTA OPINA
¿Cómo puedo ser parte del Comentarista Opina?