sábado, febrero 04, 2006

Lo que vale un candado

Como Internet es un sitio que da mucho miedo, llevo un tiempo pensando en dejar de hacer online banking a la manera tradicional (navegador + SSL + PIN + TANs) y en pasarme a usar el estándar HBCI (muy extendido en Alemania) que básicamente consiste en un lector de tarjetas bancarias en casa y software dedicado, también sobre TCP/IP.

Si lo hago no es porque me preocupe que alguien pueda, por ejemplo, romper los algoritmos criptográficos en los que se basa SSL, sino porque las apariencias engañan: alguien podría haber desviado el tráfico a otra página distinta de la que hay escrita en la barra de direcciones por medio de pharming, y al mismo tiempo enseñar un certificado que parece el de tu banco por medio de ActiveX o Cross Site Scripting. Y como mi tiempo me es demasiado valioso y no quiero convertir cada transferencia bancaria en un proyecto final de carrera, e ir al cajero automático tampoco es tan seguro como lo era en un principio, me he dirigido ilusionado a la página web de mi caja de ahorros con mi lista de preguntas sobre HBCI:


Tras haber introducido todos mis datos personales (nombre, apellidos, correo electrónico y número de cuenta) leo la nota a pie de página: "Estos datos, por supuesto, nos son transmitidos con alta encriptación SSL". No esperaba yo menos. Sin embargo... ¡un momento! ¿por qué no veo por ninguna parte el tranquilizante icono del candado, o esa barra de direcciones amarilla de Firefox, que indican que los datos no están siendo transmitidos en claro sobre la red? Mi caja de ahorros, carne de mi carne, sangre de mi sangre, ¿¡me está mintiendo!?

Con una lectura rápida del código HTML de la página no consigo ver hacia dónde se envían los datos del formulario. La página es muy confusa, hay muchos marcos. Luego me dejo enseñar la información resumen del marco en el que se encuentra el formulario, un suspiro de alivio:


Los datos del segundo POST, en el que se transportan mis informaciones privadas, van a una dirección "https", es decir, sí que están encriptadas.


Resumiendo: una página sin candado puede estar enviando informaciones cifradas. Sí, el recíproco también es cierto: una página con candado también puede estar enviando información sin cifrar a una tercera dirección, ejecutando un GET o un POST sobre "http" corriente y moliente. ¿Te avisaría tu navegador de lo que estuvieras a punto de hacer? ¿De verdad te la quieres jugar? ¿Qué nos dice un candado?

Internet en un sitio que da mucho miedo. Creo que voy a guardar el dinero en un calcetín.

No hay comentarios: