En un giro de los acontecimientos bastante irónico, más de 350 millones de personas que tienen cuentas con las grandes empresas bancarias de los Estados Unidos están utilizando contraseñas que son más débiles que las que utilizan para sus cuentas de redes sociales.
Investigadores del Grupo de Educación e Investigación Cibernética Forense de la Universidad de New Haven examinaron la solidez de las contraseñas utilizadas por los clientes de los principales bancos estadounidenses como Wells Fargo, Capital One, Citibank, Chase Bank, Webster First Federal Credit Union y BB&T. El estudio encontró que esas contraseñas eran sustancialmente débiles, lo que podría afectar potencialmente a cientos de millones de clientes bancarios.
Es difícil creer que las personas estén más preocupadas por reforzar sus cuentas de redes sociales que por reforzar sus credenciales bancarias, gracias a las malas políticas de contraseñas de estos bancos.
Una de las debilidades descubiertas en las políticas de contraseñas de esos bancos es que las páginas de inicio de sesión del sitio web no requieren una distinción entre letras mayúsculas y minúsculas. Normalmente, se pide a los usuarios que utilicen letras mayúsculas y minúsculas para reforzar la seguridad de sus cuentas. Además, también se requieren símbolos y números para mayor seguridad.
Al no tener soporte para contraseñas que distinguen entre mayúsculas y minúsculas, esos bancos están haciendo que la cuenta cibernética de sus clientes sea menos segura que, por ejemplo, Facebook y Twitter. Los bancos en cuestión también facilitan significativamente a los atacantes realizar ataques de fuerza bruta en las cuentas de los clientes, una técnica que adivina la contraseña de la cuenta a través de intentos repetidos y persistentes en un período corto.
Como uno de los bancos más grandes de los Estados Unidos, sería seguro esperar los más altos estándares de seguridad de esas empresas en lo que respecta a las políticas de contraseñas, especialmente para los clientes cuya seguridad en línea depende de cómo esos bancos manejan sus credenciales de inicio de sesión. Pero los hallazgos recientes de los investigadores arrojan luz sobre la falta de seriedad por parte de los bancos para proteger las cuentas cibernéticas de sus clientes.
En comparación, el tiempo que lleva forzar una contraseña que no distingue entre mayúsculas y minúsculas es más corto que el tiempo que lleva adivinar una contraseña que distingue entre mayúsculas y minúsculas, lo que reduce las probabilidades de que los atacantes lleven a cabo su actividad maliciosa.
En términos de respuesta y servicio al cliente, esos bancos fueron lamentablemente lentos en responder a las preocupaciones de los clientes con respecto a la seguridad de sus cuentas. De hecho, según el investigador, apenas hay forma de contactar a esos bancos, ya que sus sitios web no contienen direcciones de correo electrónico ni números de contacto para recibir comentarios de los clientes.
