“Esta es una historia de seguridad. Es un caso de vulnerabilidad bancaria pero no vamos a mencionar el banco, sólo les vamos a contar la historia”.
Así comenzó la presentación que Eduardo Riveros, estudiante de ingeniería civil en computación y magíster en ciencias en computación de la Universidad de Chile, hizo ante un grupo de desarrolladores y expertos en seguridad informática en abril pasado. Y la que ha generado polémica en el sector.
Junto al profesor Alejandro Hevia, Riveros realizó la investigación que atractivamente tituló “Gran Promo: Todas tus compras Gratis”, la que se inició en junio del año pasado, cuando el Banco de Chile realizó un concurso para ganar pasajes dobles a Estados Unidos.
El concurso consistía en que cada cliente debía enviar un link a 50 contactos para que se inscribieran. Quien enviara primero los 50 cupos, ganaba pasajes para sí y para los otros 50 “pasajeros”.
Eduardo junto a un grupo de compañeros de la universidad participaron en el concurso, detectando falencias en su implementación, específicamente que algunos de los requisitos no eran cumplidos por los ganadores. Hicieron el reclamo, pero no recibieron respuesta desde la institución.
Un mes después, el mismo banco hizo otro concurso con el mismo premio, pero esta vez la inscripción debía incluir transferencias hechas entre los inscritos, es decir, debían inscribirse además en la aplicación de seguridad del banco para realizar transacciones bancarias.
Tras una serie de pruebas, Riveros y su equipo pudieron comprobar que los mensajes de autorización enviados desde la aplicación al banco podían ser alterados.
Comprobaron que era posible vulnerar la autorización de una transferencia desde la cuenta de uno de los contactos agregados a la agenda del cliente. Es decir, que con el mismo código con el que se aprueba el ingreso de un nuevo contacto a la agenda de la cuenta, se pueden realizar transacciones.
También detectaron que las autorizaciones pueden ser utilizadas indefinidas veces por los mismos montos. Incluso, se podían generar tres autorizaciones por el mismo monto en el mismo momento.
En ese momento, relata Riveros, tras la sorpresa vino el temor, por lo que reportaron la falla al banco.
En dos reuniones con gerentes y los desarrolladores informáticos del banco, documentaron sus hallazgos y presentaron un ejemplo en el que lograban demostrar que era posible realizar giros y transferencias alterando las autorizaciones.
Las autoridades del banco, relata Riveros, se mostraron bastante impresionados por lo descubierto y se comprometieron a solicitar una solución a las vulnerabilidades lo antes posible.
Algunas vulnerabilidades se solucionaron, pero otras se mantuvieron por al menos seis meses más.
Incluso, luego desarrolló pruebas con transferencias a cuentas de otros bancos y los problemas de seguridad se presentaban también. Las claves de coordenadas se podían compartir entre cuentas de usuarios incluso.
Esta presentación fue hecha el 25 de abril de 2018, en el OWASP Latam Tour 2018 de Chile. OWASP (Open Web Application Security Project) es una organización que realiza conferencias en todo el mundo buscando crear conciencia sobre la seguridad de las aplicaciones.
Pagos en línea y Transbank
Estas vulnerabilidades incluso afectarían al sistema de pago del mismo banco a través de Web Pay, portal de pagos en línea con tarjetas de crédito y débito de Transbank.
En su ejemplo, Riveros compra a través de una página web un juego de Play 4, por más de $40 mil. A pesar de mostrar que su cuenta corriente no tenía fondos, basta con ingresar el RUT de un amigo (el que consiguió en otra página sólo ingresando el nombre) y pudo realizar la compra.
“Basta con conseguir una autorización y una cuenta del banco para acceder a los fondos de cualquier cliente de éste”, es la alarmante conclusión de Riveros en su presentación.
A pesar de que nunca menciona el banco, y sólo se refiere a él como Banco Del País, al momento de mostrar el video de la demostración se aprecia que corresponde al Banco de Chile.
Como equipo investigador, propusieron al banco deshabilitar el uso de “SecurApp” hasta solucionar la vulnerabilidad para todos los clientes del banco.
“SecurApp” es un mecanismo digital de firma que autoriza las transacciones, explica un encargado de seguridad bancaria a El Dínamo.
El último reporte fue presentado al banco el 28 de marzo, a lo que contestaron el 23 de abril asegurando que han solucionado algunos de los puntos vulnerados y que enviarán un informe a la brevedad. La presentación de Eduardo Riveros no sólo impresionó a quienes lo vieron en el salón del DUOC UC donde expuso, sino que tuvo repercusiones posteriores.
A través de una carta enviada a Eric Parrado, superintendente de Bancos e Instituciones Financieras, cuatro ingenieros civiles en computación decidieron relatar esta situación a la autoridad, “con el propósito de proteger lo derechos de los clientes, la fe pública y mantener la confianza en el sistema bancario chileno”, según se lee en la misiva a la que tuvo acceso El Dínamo.
Roberto Sapiain, uno de los firmantes, asegura que incluso él mismo reportó una vulnerabilidad que permitía robar contraseñas de clientes.
Expertos en el tema afirmaron a El Dínamo que las vulnerabilidades en la autenticación (ingreso de usuario y clave) y autorización son las áreas críticas en las que se presentan falencias que afectan a los clientes.
Incluso, un arquitecto de seguridad de un banco, que pidió reserva de su identidad, asegura que estas vulnerabilidades expuestas por Riveros y Sapiain siempre se han sabido, pero que no se trabaja en ellas, ya que mantener los sitios activos demanda todo el esfuerzo de los equipos de desarrollo de los bancos, no siendo prioridad la resolución de estas fallas.
La misma fuente asegura que todos los bancos deben hacer reportes de seguridad anuales a la Superintendencia de Bancos (SBIF) en los que se deben incluir las contingencias detectadas cada mes, para lo que se contrata a empresas externas que los realicen. Sin embargo, comentan desde esta industria, estos reportes no siempre se presentan argumentando, entre otras razones, el desgaste que implica responder a las innumerables contingencias que se presentan a diario.
