Mirada profunda: ¿Qué nota sacan los bancos en privacidad y seguridad? Thumbnail
Generar confianza 26 septiembre 2019

Mirada profunda: ¿Qué nota sacan los bancos en privacidad y seguridad?

Por Kenneth OlmsteadFormer Senior Internet Security and Privacy Expert

En abril de 2019, la organización Online Trust Alliance de Internet Society publicó su 10.ª Auditoría de Confianza en la Red y Cuadro de Honor. Este trabajo evalúa la seguridad y privacidad de 1.200 organizaciones de primer nivel. El sector bancario incluye los 100 mejores bancos de Estados Unidos, según los activos declarados ante la Corporación Federal de Seguro de Depósitos (FDIC, por sus siglas en inglés). Los bancos tuvieron un año formidable y aumentaron considerablemente su puntuación en todos los aspectos evaluados. Miremos los datos detenidamente.

En general, el 73 % de los bancos entró en el Cuadro de Honor, con lo que el sector bancario se sitúa en 4.ª posición, por detrás de las empresas de prensa escrita y audiovisual (78 %), servicios al consumidor (85 %) y el gobierno federal de Estados Unidos (91 %). En la auditoría anterior, solo lo consiguió un 27 %. Semejante subida se debe a las mejoras en la tres categorías puntuables: autenticación de correo electrónico, seguridad del sitio y privacidad.

Correo electrónico

Los bancos, al igual que la mayoría de los sectores, se acercaron al 100 % en las dos principales tecnologías de seguridad en el correo electrónico evaluadas en la auditoría: SPF (93 %) y DKIM (87 %). Además, los bancos experimentaron una mejora considerable en la cantidad de sitios que introdujeron ambas tecnologías, llegando al 87 % en 2018, tras registrar un 60 % en 2017. De esta forma, los bancos se sitúan entre los sectores que más han mejorado en este aspecto.

El estándar DMARC se basa en los resultados de SPF y DKIM, permite obtener informes detallados y ayuda a los destinatarios a procesar los mensajes que no pasan la autenticación. Los bancos también sacaron una buena puntuación en la adopción del estándar DMARC, con el segundo índice de adopción más alto (70 %) que cualquier sector, solo por detrás del gobierno federal de Estados Unidos (93 %).

Seguridad del sitio

Aunque los bancos sacaron una buena puntuación en la seguridad del sitio en general (y fueron los primeros en aspectos como la menor ocurrencia de la vulnerabilidad XSS), quedaron algunos aspectos en los que necesitan mejorar. Registraron, con creces, el índice más alto de software malicioso en los sitios (10 % en comparación con una media general del 2 %). También registraron uno de los índices de adopción más bajos en la presencia de un mecanismo de notificación de vulnerabilidad (6 % en comparación con una media general de 11%). En vista de la reciente filtración de datos masiva, resulta especialmente importante habilitar una forma para que los investigadores de seguridad notifiquen vulnerabilidades de una forma eficiente.

Privacidad

Al igual que la mayoría de los sectores, los bancos no sacaron una buena puntuación en privacidad. La auditoría evalúa la privacidad de dos formas: por la cantidad de rastreadores de un sitio y mediante el análisis de su política de privacidad. En lo que a rastreadores respecta, los bancos sacaron una buena puntuación. Fueron de los que mayor puntuación sacaron, con 44 puntos sobre 45. (La puntuación se calcula con un software libre que analiza la cantidad de rastreadores que usa cada sitio, a menor cantidad de rastreadores malos, mayor puntuación). Aunque se produjo una mejora notable respecto a la auditoría anterior, los bancos siguen rezagados, al igual que la mayoría de los sitios, en sus políticas de privacidad. La puntuación de la política de privacidad de los bancos fue 25 puntos de 55, quedando en el extremo inferior del espectro.

La causa principal de los errores estaba en los conceptos de cesión y retención de datos. Solo el 22 % de los bancos explica los conceptos de cesión de datos, muy por debajo de la media de todos los sectores. Si bien la mayoría de los sitios sacó una puntuación muy baja en el concepto de retención de datos, la de los bancos fue especialmente mala. Ningún banco explica satisfactoriamente el concepto de retención de datos en su política de privacidad. Dada la naturaleza confidencial de los datos que tratan los bancos, es importante que exista el concepto de retención de datos.

Más información

¿Crees que tu organización es capaz de pasar esta auditoría? Échale un vistazo al Anexo E Lista de buenas práctias para usar como punto de comparación y úsala para mejorar la seguridad y privacidad de tu sitio. ¡Después lee el informe, consulta la infografía o mira el vídeo resumen para obtener más información!

Descargo de responsabilidad: Los puntos de vista expresados en esta publicación pertenecen al autor y pueden o no reflejar las posiciones oficiales de Internet Society.

Artículos relacionados

Generar confianza 11 febrero 2020

Todos los días deben ser el «Día de Internet Segura»

El «Día de Internet Segura» es una oportunidad en la que personas y organizaciones de todo el mundo se...

Generar confianza 21 enero 2020

Análisis profundo: puntuación de los ISP y servicios de alojamiento en privacidad y seguridad

En abril de 2019, la Online Trust Alliance de Internet Society publicó su 10.ª auditoría anual de Confianza en...

Generar confianza 14 enero 2020

Análisis profundo: prácticas de seguridad y privacidad del gobierno federal de Estados Unidos

En abril de 2019, la Online Trust Alliance de Internet Society publicó su 10.ª auditoría anual de Confianza en...