Los sitios web y las aplicaciones móviles de algunos de los bancos minoristas más populares del Reino Unido están plagados de fallas de seguridad que ponen a los consumidores en riesgo de ser víctimas de fraude digital, según un informe de la organización de consumidores Which?.
De los bancos evaluados por Which? y los especialistas en pruebas de seguridad Red Maple, Virgin Money, Nationwide, TSB y The Co-Operative Bank obtuvieron la puntuación más baja en seguridad de sitios web, mientras que Starling, HSBC, NatWest y Lloyds ofrecieron los servicios más seguros. First Direct, Barclays y Santander anotaron en algún lugar en el rango medio.
Para la seguridad de las aplicaciones móviles, para la cual Red Maple también probó al recién llegado estadounidense Chase y Monzo, los peores puntajes fueron Virgin Money, TSB y Lloyds, y los más seguros HSBC, Barclays y Starling.
Los bancos se encontraron marcados en múltiples medidas, incluida la falla en el bloqueo de contraseñas débiles, el envío de códigos de acceso únicos y datos confidenciales a través de SMS, y si las sesiones inactivas del navegador del cliente expiraron o no. También se descontaron puntos por permitir el acceso a la cuenta a través de múltiples navegadores o direcciones IP a la vez.
“Los bancos no deberían dejar estas puertas abiertas para que los estafadores exploten y deben mejorar su juego para proteger a sus clientes adecuadamente”, dijo Sam Richardson, editor adjunto de Which? Dinero.
“Al realizar mejoras, como el bloqueo de contraseñas débiles, los bancos pueden dar un paso importante para evitar que los estafadores sin escrúpulos intenten robar dinero y datos personales de los consumidores”.
virgen en arriesgado
Virgin Money, que también fue uno de los bancos peor calificados en el estudio de 2022 de Which?, obtuvo solo un 52 % en general de un 100 % posible en su sitio web y un 54 % en su aplicación. Descubrió que tenía las medidas más débiles implementadas. Virgin Money fracasó en varios aspectos, pero en particular en la navegación, el cierre de sesión y la administración de cuentas.
Red Maple dijo que encontró un total de seis aplicaciones Virgin Money desactualizadas con posibles vulnerabilidades. De particular preocupación, Virgin Money no bloquea correctamente las contraseñas débiles ni elimina los números de teléfono en las notificaciones, ni impone controles de seguridad si el titular de una cuenta desea realizar un pago a alguien nuevo, cambiar una dirección de correo electrónico o editar los detalles de un beneficiario.
Se descubrió que TSB, que obtuvo un 66 % por su sitio web y un 57 % por su aplicación, tiene un enfoque muy laxo y obsoleto en cuanto a la seguridad de las contraseñas, y por exponer un subdominio potencialmente vulnerable a la Internet pública. También se descontaron puntos por seguir usando la seguridad basada en SMS, no alertar a los usuarios sobre los cambios e incluir números de teléfono en las notificaciones de nuevos beneficiarios. Nationwide, que obtuvo un 63 % en banca en línea y un 67 % en banca móvil, tuvo un desliz cuando se trataba de notificar a los clientes sobre cambios en los detalles.
“La seguridad y protección de nuestros servicios bancarios es nuestra principal prioridad, y estamos continuamente monitoreando, evaluando y mejorando nuestros controles de seguridad”, dijo un portavoz de Virgin Money.
“Varios de los puntos planteados en esta investigación se relacionan con las decisiones que hemos tomado para mejorar la experiencia del usuario digital al tiempo que garantizamos que nuestros controles sólidos y de múltiples capas permanezcan en su lugar para proteger las cuentas de los clientes”.
Un portavoz de TSB dijo: “Seguimos invirtiendo en nuestros servicios móviles y en línea, y trabajamos con firmas tecnológicas líderes a nivel mundial para brindar seguridad y accesibilidad a nuestros clientes. TSB también realiza un buen seguimiento en la industria en materia de prevención del fraude, y somos el único banco que protege a sus clientes con una garantía de devolución de su dinero en caso de que alguna vez sean víctimas de un fraude”.
Un portavoz de Nationwide agregó: “Nationwide se toma muy en serio la seguridad de sus miembros y su dinero. Nunca somos complacientes y realizamos pruebas periódicas de nuestros sistemas para garantizar que mantenemos un nivel adecuado de protección, al mismo tiempo que garantizamos una experiencia de usuario positiva. Tomaremos los puntos planteados por Which? a bordo a medida que continuamos evolucionando nuestros servicios digitales”.
En el otro extremo del espectro, Starling obtuvo una buena puntuación en todas las categorías y recibió elogios en particular por su enfoque conjunto de la seguridad en línea y de aplicaciones: utiliza su aplicación para autorizar inicios de sesión en línea y alertar a los clientes sobre actividades sospechosas. HSBC también se desempeñó consistentemente bien, con pocos problemas encontrados en su sitio web o aplicación.
¿Cual? pidió al sector de la banca minorista que haga más para mejorar las defensas cibernéticas contra los estafadores cada vez más sofisticados, e insta a la industria a realizar mejoras que verían el bloqueo de contraseñas débiles y un enfoque más maduro para compartir datos.