Anoche veía una charla sobre auditoría de seguridad de aplicaciones y un tema clave es que debemos confiar en el trabajo de otros. Cuando nos subimos a un ascensor, confiamos en que el equipo de mantenimiento hizo su trabajo. Cuando compramos alimentos, confiamos en que el fabricante puso en él lo que dice la etiqueta. Cuando manejamos, confiamos en que el auto no se va a desarmar...

El caso de la utilización de sistemas bancarios en línea no es diferente. No me gusta ir al banco, no me gusta hacer fila... por eso me gusta realizar la mayor cantidad de operaciones "en línea", "sin moverme de mi escritorio". Pero todo tiene un riesgo. El Banco de Chile por ejemplo, no hizo su trabajo. Este error lo descubrí por casualidad hace unos 5 años, pero hasta el día de hoy, no ha sido solucionado.

Una de las operaciones más simples y útiles del sitio del banco es realizar transferencias, tanto a cuentas del banco, como a cuentas de otros bancos. Para este último caso, podemos ver una cartola:



Aquí podemos ver nuestras transferencias a terceros (En este caso, en la parte inferior). Pero aquí está el error: no sólo permite ver "mis" transferencias a terceros:



Sino las de otros clientes del banco. No conozco bien la materia legal en torno a este asunto, pero ¿viola esto el secreto bancario?. Aquí hay algunos ejemplos de "otras" transferencias:













Y no estamos hablando de transferencias pequeñas. Estamos hablando de transacciones de hasta 800.000 pesos (unos USD 1.400).

¿Está seguro de que su software es seguro?...