Hackers revelan graves fallas en transacciones online del Banco de Chile

    Tras una serie de pruebas, Riveros y su equipo pudieron comprobar que los mensajes de autorización enviados desde la aplicación al banco podían ser alterados.

    200

    “Esta es una historia de seguridad. Es un caso de vulnerabilidad bancaria pero no vamos a mencionar el banco, sólo les vamos a contar la historia”.

    Así comenzó la presentación que Eduardo Riveros, estudiante de ingeniería civil en computación y magíster en ciencias en computación de la Universidad de Chile, hizo ante un grupo de desarrolladores y expertos en seguridad informática en abril pasado. Y la que ha generado polémica en el sector.

    Junto al profesor Alejandro Hevia, Riveros realizó la investigación que atractivamente tituló “Gran Promo: Todas tus compras Gratis”, la que se inició en junio del año pasado, cuando el Banco de Chile realizó un concurso para ganar pasajes dobles a Estados Unidos.

    El concurso consistía en que cada cliente debía enviar un link a 50 contactos para que se inscribieran. Quien enviara primero los 50 cupos, ganaba pasajes para sí y para los otros 50 “pasajeros”.

    Eduardo junto a un grupo de compañeros de la universidad participaron en el concurso, detectando falencias en su implementación, específicamente que algunos de los requisitos no eran cumplidos por los ganadores. Hicieron el reclamo, pero no recibieron respuesta desde la institución.

    Un mes después, el mismo banco hizo otro concurso con el mismo premio, pero esta vez la inscripción debía incluir transferencias hechas entre los inscritos, es decir, debían inscribirse además en la aplicación de seguridad del banco para realizar transacciones bancarias.

    Tras una serie de pruebas, Riveros y su equipo pudieron comprobar que los mensajes de autorización enviados desde la aplicación al banco podían ser alterados.

    Comprobaron que era posible vulnerar la autorización de una transferencia desde la cuenta de uno de los contactos agregados a la agenda del cliente. Es decir, que con el mismo código con el que se aprueba el ingreso de un nuevo contacto a la agenda de la cuenta, se pueden realizar transacciones.

    También detectaron que las autorizaciones pueden ser utilizadas indefinidas veces por los mismos montos. Incluso, se podían generar tres autorizaciones por el mismo monto en el mismo momento.

    /gap