Villacorp Blog Exclusivo en Mexico de Contraespionaje y Hacking Profesional

Exclusiva: Espionaje a Bancos

Cuando acudo a alguna Sucursal Bancaria, tengo la costumbre de analizar las Redes Inalámbricas cercanas, para identificar el nivel de protección que utilizan. Como Investigador en Seguridad, esa información me resulta bastante interesante para enriquecer los Cursos de adiestramiento que imparto.

Hace algunos días estaba cerca de una Sucursal de Bancomer, cuando detecté algo que me llamó poderosamente la atención: la Red de esa Institución Financiera está usando un mecanismo de seguridad conocido como WEP (como puede observar en el campo "Security" en el mapa que obtuve, y que muestro en la imagen superior).

Ese tipo de Seguridad se considera bastante primitiva, porque en la práctica, deja a la Red totalmente vulnerable al Espionaje de sus Comunicaciones. Como demuestro en el Curso Master Hacking, "hackear" una infraestructura con esas características es cuestión de minutos usando las herramientas adecuadas.

Lo preocupante es que esta no es la primera vez que detectó mecanismos inseguros en los Bancos. Hace algunas semanas, por ejemplo, identifiqué el mismo problema en esta Sucursal de Banorte:

Y esta, es otra Sucursal del mismo Banco:

Siendo organizaciones altamente reguladas, me sorprende que Instituciones Financieras sigan utilizando WEP como esquema de Seguridad, porque en diversos Estándares Internacionales ya se considera obsoleto (incluso se encuentra prohibido).

Además, el uso de WEP fue el origen del ataque a la Empresa Heartland, uno de los más costosos de la historia.

Entonces, por qué lo siguen empleando?? Mi teoría es que están cayendo en el mismo error que comete la mayoría de las organizaciones: asignar prioridad a la Seguridad Administrativa en lugar de la Técnica. Si estos Bancos hubieran efectuado una Auditoría Técnica de su infraestructura inalámbrica, el uso indebido de WEP ya hubiera sido detectado.

Como mencioné en este artículo, tenemos que asignar prioridad al aspecto Técnico de la Seguridad si realmente buscamos blindar a nuestras Empresas contra delitos cibernéticos.

Por último, cabe aclarar que toda la información que recopilé sobre esas Redes Bancarias y que muestro en este artículo, la obtuve usando técnicas totalmente pasivas (no intrusivas). Es decir, en ningún momento usé métodos ilegales para tratar de accesarlas sin autorización.

Por supuesto, en estos momentos un delincuente sin esas consideraciones éticas puede estar espiando todas las comunicaciones en esas redes de forma furtiva, sin que nadie se entere...

© 2012 Javier Villanueva. Todos los derechos reservados.