Como usuario de banca electrónica, es muy probable que hayas recibido un token, ese pequeño dispositivo para generar claves de acceso a tu cuenta bancaria a través de Internet. Estos tokens utilizan [**SecurID**](http://en.wikipedia.org/wiki/SecurID), un mecanismo diseñado por una de las compañías de seguridad más importantes y pretigiadas: RSA. Tales tokens son utilizados por más de 40 millones de personas repartidos en unas 30.000 organizaciones bancarias y de gobierno alrededor en todo el planeta. Según [reporta la misma RSA](http://www.rsa.com/node.aspx?id=3872), SecurID esta en riesgo luego de suceder lo siguiente:
> Recientemente, nuestros sistemas de seguridad identificaron un ciber ataque en extremo sofisticado contra RSA. Tomamos un serie de agresivas medidas contra la amenaza para proteger nuestro negocios y a nuestros clientes, incluso hemos fortalecido nuestra infraestructura […]
>
> Nuestra investigación nos ha llevado a creer que el ataque pertenece a la categoría Amenza Persistente Avanzada. Nuestra investigación también reveló que como resultado del ataque fue extraída información de nuestros sistemas. En particular, la información está relacionada con SecurID
RSA confía en que la información robada no permite un ataque directo a ninguno de sus clientes usuarios de SecurID –es decir, los usuarios de tokens para banca electrónica–. No obstante, es importante mencionar que el riesgo es latente porque es probable que la seguridad ofrecida SecurID haya perdido efectividad, más aún ante un posible ataque de mayores dimensiones. RSA estará trabajado, dicen, estará en contacto directo con sus cliente para fortalecer la seguridad del sistema. Además, ha publicado una [lista de recomendaciones](http://www.sec.gov/Archives/edgar/data/790070/000119312511070159/dex992.htm) que coloco aquí gracias a la traducción de [Hacking.mx](http://hacking.mx/noticias/atacan-a-rsa-security/) para los interesados:
* Se recomienda a los clientes aumentar su enfoque en la seguridad para aplicaciones de redes sociales y el uso de las aplicaciones y sitios web por cualquier persona con acceso a sus redes críticas.
* Se recomienda a los clientes cumplir con las políticas de contraseña segura y PIN.
* Se recomienda a los clientes seguir la regla del mínimo privilegio en la asignación de funciones y responsabilidades a los administradores de seguridad.
* Se recomienda a los clientes volver a educar a sus empleados sobre la importancia de evitar correos electrónicos sospechosos, y recordarles el no proporcionar los nombres de usuario u otras credenciales a nadie, sin verificar la identidad de la persona y autoridad. Los empleados no deben acceder a contestar solicitudes de credenciales por e-mail o teléfono y deberán informar cualquier intento.
* Se recomienda a los clientes prestar especial atención a la seguridad en torno a sus directorios activos, haciendo pleno uso de sus productos [SIEM](http://www.rsa.com/node.aspx?id=3182), así como la aplicación de dos factores de autenticación para controlar el acceso a los directorios activos.
* Se recomienda a los clientes seguir de cerca los cambios en los niveles de privilegios de usuario y derechos de acceso utilizando tecnologías de control de seguridad como SIEM, y considerar la adición de más niveles de aprobación manual para los cambios.
* Se recomienda a los clientes realizar hardening, monitorear constantemente, y limitar el acceso físico y remoto a la infraestructura que aloja el software de seguridad crítica.
* Se recomienda a los clientes examinar sus prácticas de help desk para la fuga de información que podría ayudar a un atacante realizar ataques de ingeniería social.
* Se recomienda a los clientes actualizar sus productos de seguridad y los sistemas operativos con los últimos parches.
La recomendación de quien les escribe es **mantenerse informados** y contactar a su banco para recibir asesoría apropiada. No sabemos lo que sucederá con la información que obtuvieron los hackers, lo cierto es que si los algoritmos de cifrado están implementados como es debido, los riesgos se ven reducidos.
Algo tendrán que hacer para solucionar el problema, tendran que poner más seguridad aun, los hakers son un problema muy fuerte.
Supongo que las contraseñas están separadas de la llave, y si obtienen el algoritmo de la llave, quizá no les sirva sin usuario y contraseña.
Ya es una capa menos en seguridad, y talvez una importante en muchos casos, no solo bancos.
Ese ataque lo califico como «Terrorismo Corporritvo». Tiene la apariencia se estar dirigido exclusivamente a lo que se robaron. Igual que el gusano stuxnet.
Los Tokens RSA son malos desde diseño, con la «semilla» se puede obtener toda la secuencia de numeritos que apareceran.
Por eso la semilla es privada. Al igual que en todos los algoritmos de clave publica / privada. Lo que dices es casi como decir «si consigo la clave privada de una implementacion de SHA, puedo desencriptar el mensaje». Duhhh, es obvio, y no es un problema de diseño.
Grimmtotem que errado que estas
anonymus, ja ja jaaaaaaaaaaaaaaaaa, si anonymus son chavitos adolescentes que creen que cambian al mundo bajando musica de internet y ayudando en rudimentarios DoS, estos si eran fregones y no payasadas…
Umm… a mi me parece que el «chavito» que se cree que sabe mucho aca sos vos…
Googlea, informate, y después veni a hablar.
jajajja la ultima vez que alguien se rio asi de anonymous creo que fue gawker ;)
JA JAAA ese grimmtotem, seguramente SI es un chavito. Rudimentarios DDOS? pues si tiraron a Paypal, Visa etc. No creo que sean NADA rudimentarios.
¿Alguien a dicho Anonymous? No, nadie…
El problema de este ataque no es la banca online (que también, pero los bancos con banca online tienen buenos sistemas de seguridad, y departamentos de IT fuertes).
El problema es que numerosas compañías utilizan SecurID para dar acceso remoto a sus empleados, a todos, o a parte. Esas compañías sí tienen menos sistemas de seguridad, o departamentos de IT más reducidos, con lo que están más expuestas.
Definitivamente, creo que puede ser más un ataque orientado a robar secretos industriales que para timar/robar algo de dinero.
Cierto, la red de un trabajo anterior era accesada por medio por medio de SecureID… son mucho mas vulnerables que las de un banco si el token es burlado .
Yo trabajo con ellas en una empresa de IT internacional, cada uno tenemos la nuestra…y creeme… si alguien tiene acceso real a nuestros sistemas (la seguridad es la propia de windows empresarial+ token) puede hacer muuuuuuuuuuuuuucha pupita…. estoy hablando de billones….