Muchos bancos minoristas del Reino Unido están dejando a sus clientes expuestos al fraude al no implementar protecciones en los sitios web y permitir que los usuarios establezcan contraseñas ridículamente inseguras para usar sus servicios en línea, según la organización de derechos del consumidor Which?.
La investigación de Which?, realizada con la asistencia de la firma de seguridad 6point6, probó la seguridad de las aplicaciones móviles y en línea de los 15 proveedores de cuentas corrientes más grandes del Reino Unido, midiendo criterios como el cifrado y la protección, el inicio de sesión y la administración y navegación de cuentas.
Los bancos fueron calificados con una puntuación que va del 1 al 100 %, y aunque ninguna de las organizaciones encuestadas cayó en la mitad inferior de esa escala, los bancos peor calificados (Metro Bank, Virgin Money y TSB) obtuvieron una puntuación del 53 %, 56 % y 59%, respectivamente.
“Los bancos deben liderar la batalla contra el fraude, pero nuestras pruebas de seguridad han revelado fallas preocupantes cuando se trata de mantener a las personas a salvo de la amenaza de que sus cuentas se vean comprometidas”, dijo Jenny Ross, editora de dinero en Which?.
“Nuestra investigación refuerza la necesidad de que los bancos mejoren su juego para combatir el fraude utilizando las últimas protecciones para sus sitios web y no permitiendo que los clientes configuren contraseñas inseguras. También queremos que los bancos dejen de enviar datos confidenciales a los clientes a través de mensajes de texto SMS, ya que esto podría dejar la puerta abierta a los estafadores”.
Entre algunos de los temas descubiertos, ¿Cuál? dijo que Metro Bank obtuvo la puntuación más baja por una serie de razones, incluido el uso retenido de mensajes de texto SMS para verificar a los clientes cuando inician sesión, lo que fácilmente puede poner los mensajes en riesgo de ser secuestrados por actores maliciosos, y las debilidades en los subdominios de su sitio web que podrían permitir que sus servidores se vean comprometidos. También dijo que faltaban dos encabezados de seguridad en el sitio web de Metro Bank, lo que significa que el navegador de un cliente puede no funcionar correctamente cuando lo usa.
Mientras tanto, Virgin Money fue arrestado por permitir que los clientes establezcan contraseñas que incorporen su nombre y apellido, y por no usar las protecciones DMARC que bloquean o ponen en cuarentena las comunicaciones falsas de los estafadores. TSB también perdió puntos por este motivo, y porque sus servicios de banca móvil y en línea usaban las mismas credenciales y por su uso continuo de verificación por SMS al iniciar sesión.
Pero estos no fueron los únicos bancos que adoptaron una actitud descuidada con respecto a la seguridad cibernética del cliente. ¿Cual? también destacó a Triodos Bank por permitir a los clientes usar credenciales no seguras, y Monzo, que fue citado por una aplicación móvil particularmente insegura que, entre otras cosas, no pide a los usuarios que inicien sesión cada vez que acceden a ella.
Se encontraron otros problemas en HSBC, NatWest, Santander, Starling Bank y Co-Operative Bank, que aún permitían contraseñas fáciles de adivinar que potencialmente contienen datos personales. Mientras tanto, se descubrió que Lloyds, Nationwide, Santander y el Co-Operative Bank todavía usaban la verificación por SMS, First Direct y Lloyds tenían sitios web inseguros y Nationwide estaba rezagado en DMARC.
¿Cual? dijo que los hallazgos fueron particularmente alarmantes dado que los casos de fraude bancario por Internet casi se duplicaron durante los primeros seis meses de 2021. Sin embargo, en el otro extremo de la escala, sus evaluadores elogiaron a HSBC por haber prestado mucha atención a la seguridad cibernética y, en particular, al cifrado. puntuando bien en todas las categorías evaluadas para obtener un total de 81%. NatWest (incluido Royal Bank of Scotland) y Barclays fueron los otros dos puntos altos.
¿Cual? dijo que aunque la banca en línea es generalmente segura, los ciberdelincuentes están constantemente mejorando su juego y el sector bancario debe hacer más para seguirles el ritmo. Está llamando a todos los encuestados a hacer más para mejorar la seguridad de sus servicios en línea.
Brett Beranek, vicepresidente y gerente general del negocio de biometría y seguridad de Nuance, comentó: “Esta última advertencia de Which? sobre la seguridad de las contraseñas no debería sorprendernos. Los PIN y las contraseñas son una herramienta arcaica, que ya no sirven para su propósito. Las contraseñas se venden en la web oscura, se explotan para actividades fraudulentas e incluso les han costado a personas desafortunadas grandes sumas de dinero en términos de contraseñas olvidadas para proteger las criptomonedas.
“Con el aumento del fraude, nunca ha sido más importante para los líderes bancarios garantizar que sus clientes reciban una experiencia más sofisticada y segura. La biometría autentica a las personas de inmediato en función de sus características únicas, eliminando la necesidad de recordar PIN, contraseñas y otras credenciales basadas en el conocimiento que son propensas a ser explotadas por estafadores y brinda tranquilidad y seguridad a los usuarios finales”.