Seguridad

Aquí podrá consultar toda la información de seguridad de ING.



Navegación segura por internet

 
  • Utilice contraseñas para bloquear el acceso a su equipo.

  • Evite que las páginas por las que navega queden almacenadas en la memoria de su navegador. Para ello elimine periódicamente los archivos temporales.
  • Desactive la opción de guardar contraseña o autocompletar de su navegador.
  • Instale un software de antivirus, el cual deberá ser actualizado periódicamente siguiendo las instrucciones del fabricante.
  • Evite conectarse desde ordenadores de uso público sobre los que no se pueda tener control de lo que hay instalado ni se puedan configurar.

Consejos para el uso seguro de su dispositivo

 
  • Desactive las opciones guardar contraseña y autocompletar de su navegador.
  • Elimine periódicamente los archivos temporales que se almacenan en su navegador.
  • Cuando se conecte a Internet desde ordenadores de uso público, trate de evitar las webs que necesiten de su usuario y contraseña.
  • Instale un software de antivirus y manténgalo actualizado siguiendo las instrucciones del fabricante.
  • El Instituto Nacional de Tecnologías de la información (INTECO), a través de la Oficina de Seguridad del Internauta (OSI), le ofrece información actualizada, avisos y herramientas que le ayudarán a proteger su dispositivo al navegar por Internet:

    Herramientas de protección gratuitas

    Avisos de Seguridad

Prevención de la suplantación y el robo de identidad

 
  • El robo y la suplantación de identidad (ej: phishing) supone que terceras personas se hagan pasar por empleados o simulen la identidad de un banco mediante el uso fraudulento del correo electrónico para conseguir su Clave Personal de acceso. Desconfíe de llamadas o correos electrónicos comunicando premios etc.
  • En ING nunca se le solicitará, ni por teléfono ni por Internet, su clave de seguridad al completo, sólo posiciones aleatorias.
  • Recuerde que ING nunca le enviará por correo electrónico solicitud alguna para que informe de sus datos personales ni de sus claves.
  • ING nunca le enviará un correo electrónico con enlaces a nuestra página. Nunca acceda a ING por medio de un enlace en un e-mail o página web que no sea de absoluta confianza. En vez de eso, teclee la dirección en el navegador.
  • Evita conectarse desde ordenadores de uso público sobre los que no se pueda tener control de lo que hay instalado ni se puedan configurar. Verifique el certificado de seguridad. Sólo tiene que pulsar dos veces sobre el candado.

Tecnología de seguridad de ING DIRECT

 
  • El servidor de ING usa certificados emitidos por Verisign para realizar comunicaciones seguras y cifradas. Esta certificación de Internet es similar a un documento de identidad en las personas y es emitido exclusivamente para una página web concreta. De esta manera se tiene absoluta seguridad de que el cliente está comunicando sus datos a un servidor de ING y no a un tercero (nadie puede hacerse pasar por ING, ya que el certificado está únicamente en nuestras instalaciones).
  • Es muy importante que cualquier tráfico de información personal se realice mediante páginas HTTPS (la S final nos indica que estamos intercambiando información con un servidor SEGURO) y comprobar que el certificado es de dicho site (haciendo doble clic sobre el candado que nos aparecerá, veremos los datos de dicho Certificado, y podremos validar que efectivamente la página web está certificada).
  • Cada acceso a www.ing.es se realiza a través de nuestro Servidor de Tecnología Segura. Nuestro servidor cumple con los requisitos para que una transacción comercial por Internet se considere segura (consulta de sus cuentas personales, transferencias, etc.):

    - Autenticar: asegura a su navegador que la información está siendo enviada al servidor correcto y que éste es seguro.

    - Protocolo de encriptación SSL: este sistema es utilizado para crear claves aleatorias de 128 bits en cada sesión, con el fin de evitar que terceras personas no autorizadas intercepten los mensajes.

    - Integridad de datos: comprueba los datos transferidos para asegurar que no son alterados, garantizando la integridad de la información que se intercambia.
  • La plataforma de seguridad de ING está dotada de medidas redundantes de seguridad como cortafuegos, sistemas de detección de intrusiones, antivirus, etc... Además nuestros sistemas son sometidos periódicamente a auditorías de seguridad por compañías independientes de reconocido prestigio.

Marco Jurídico

 
  • La Ley de Servicios de la Sociedad de la Información (LSSI) establece el marco jurídico y normativo que garantiza a prestadores y usuarios de servicios la seguridad necesaria para el uso de los medios electrónicos.
  • En ING DIRECT, cumplimos con los requisitos exigidos por el secreto bancario y cumplimos con la Ley Orgánica 15/1999 del 13 de diciembre de Protección de Datos de Carácter Personal (LOPD) en lo referente a la confidencialidad y seguridad en el almacenamiento y tratamiento de los datos personales.

¿Eres experto en seguridad?

 
  • Descubre nuestro programa de Responsible Disclosure

    Como banco directo, la seguridad en Internet es una cuestión fundamental para todos los que formamos parte de ING. Por eso, nuestros especialistas trabajan cada día para mejorar la seguridad de nuestra plataforma online.

    Para contribuir a este objetivo hemos creado el programa de Responsible Disclosure. Una iniciativa que facilita el diálogo entre empresa e investigadores de seguridad, mediante la que pueden identificar y notificar de forma responsable posibles fallos relacionados con la seguridad de nuestro sitio web o software.

    Esta identificación se realiza de acuerdo a una política establecida previamente, en la que se determinan las reglas y el alcance de la colaboración entre ambas partes.
  • ¿Has descubierto algún tipo de vulnerabilidad en nuestros sistemas?

    Si tienes conocimientos avanzados en seguridad informática y has descubierto algún tipo de vulnerabilidad en nuestros sistemas, te agradeceríamos que nos ayudes  a mejorar nuestra seguridad reportando esta vulnerabilidad cuanto antes.
  • ¿Qué puedes reportar?

    Aceptamos todo tipo de vulnerabilidades que puedan suponer un riesgo para cualquiera de nuestros sistemas. Algunos ejemplos de estas vulnerabilidades son:
    • Ejecución remota de código
    • Cross site scripting (XSS)
    • SQL Injection
    • Cross-Site Request Forgery (CSRF)
    • Vulnerabilidades en el cifrado
    • Autenticación bypass, acceso a datos no autorizados
  • Evitar a reportar
    • Las vulnerabilidades sin un informe de pruebas describiendo debidamente las evidencias encontradas y su posible explotación
    • Vulnerabilidades encontradas en sitios de organizaciones que ya no formen parte de ING (unidades antiguas de negocio)
    • Nuestras políticas sobre la presencia o ausencia de registros SPF/DKIM/DMARK
    • Vulnerabilidades de tipo Cross Site Request Forgery (CSRF) en páginas estáticas
    • Redirección HTTP a HTTPS
    • HTML no especifica el charset
    • HTML usa charset no reconocidos
    • Cookies sin el flag HttpOnly activado
    • No utilización de HTTP Strict Transport Security (HSTS)
    • Clickjacking o la no existencia de X-Frame-Options en páginas de inicio de sesión
    • Respuestas HTTPS cacheables en sitios que no disponen de capacidad para realizar transacciones financieras
    • Enumeración de usuarios en sitios que no realizan transacciones financieras
    • Servidores o versiones de aplicaciones de terceros anticuadas sin informes de pruebas que puedan evidenciar su posible explotación
    • Reportes de cofrados SSL/TLS inseguros y otras configuraciones erróneas
    • Vulnerabilidades genéricas relacionadas con software o protocolos que no dependen directamente de ING
    • Ataques distribuidos de denegación de servicio (DDOS)
    • Spam o técnicas de ingeniería social
    • Informes de escaneos periódicos, como los de analizadores de puertos
  • ¿Cómo puedes reportarnos una vulnerabilidad?

    Para reportar una vulnerabilidad, tan solo debes enviarnos un e-mail a responsible-disclosure@ingdirect.es. Te agradeceremos que tu email esté escrito de una manera clara y concisa, ya que nos permitirá actuar de forma más inmediata. Aceptamos reportes tanto en español como en inglés.

    Aunque hay muchas formas de reportar una vulnerabilidad, existen unas directrices mínimas que nos ayudarán a comprender rápidamente tu reporte. Por eso, siempre que sea posible, nos gustaría que nos indicaras lo siguiente:
    • URL completa donde has encontrado la vulnerabilidad.
    • Objetos involucrados en el hallazgo (por ejemplo, nombre de variables, filtros, etc).
    • Pasos a seguir para reproducir la vulnerabilidad. Este punto es muy importante ya que gracias a él, seremos capaces de entender y validar tu trabajo.
    • Las capturas de pantalla son siempre bienvenidas.
    Aunque muchos de vosotros acostumbráis a enviar un video en el que se reproduce la vulnerabilidad, os pedimos que siempre que sea posible evitéis este medio como forma de reporte. El motivo es sencillo: ralentiza la gestión de una posible incidencia, tanto en el origen (gasto de tiempo empleado en la realización y edición del mismo) como en el destino (la capacidad de extracción de datos en este tipo de medios es limitada).
  • ¿Qué haremos con el reporte que realices?

    Uno de nuestros equipos de expertos en seguridad analizará tu descubrimiento y, en un plazo máximo de 2 días, recibirás un email con nuestra respuesta.

    Nuestros expertos iniciarán entonces el estudio de tu reporte, un proceso del que te mantendremos informado en todo momento. Recuerda que, para cumplir con los requisitos de Responsible Disclosure, no está permitido revelar públicamente tu descubrimiento.
  • ¿Qué cuestiones no serán atendidas en responsible-disclosure@ingdirect.es?

    El canal de contacto de Responsible Disclosure ha sido creado para recoger, de forma específica, todas aquellas incidencias relativas a la seguridad de nuestra plataforma. Por lo tanto, desde este buzón no atenderemos a otro tipo de cuestiones:
    • Quejas sobre servicios o productos de ING DIRECT.
    • Preguntas sobre la disponibilidad de los sitios web de ING DIRECT, tanto en canal móvil como en el tradicional.
    • Reportes de problemas relativos a cajeros.
    • Reportes sobre fraude o posible fraude.
    • Reportes sobre campañas de phishing.
    • Reportes sobre posibles virus o malware con referencia a nuestros sitios web.
  • ¿Recibiré una recompensa tras reportar una vulnerabilidad?

    En ING valoramos tu ayuda y compromiso. Por eso, si la vulnerabilidad que reportas es replicable por nuestro equipo siguiendo los pasos indicados, supone un riesgo para la compañía e implica un cambio en nuestros sistemas, recibirás una recompensa. La cuantía de la recompensa variará en función de la gravedad de la vulnerabilidad reportada, el tipo de página web (web estática o banca online) y la calidad del reporte recibido. Si la vulnerabilidad reportada supone un gran riesgo para la seguridad y la continuidad del banco, la recompensa será n considerablemente alta. Una vez confirmemos la veracidad de la información que nos has proporcionado, contactaremos contigo vía email para hacértela llegar.
  • ¿Puedo reportar una vulnerabilidad de forma anónima?

    Por supuesto. No estás obligado a darnos tus datos de contacto para reportar una vulnerabilidad. Sin embargo, ten en cuenta que en este caso no podremos hacerte llegar ningún tipo de respuesta sobre los próximos pasos a seguir, o acerca de si tu reporte es elegible o no para recibir una recompensa.
  • Política de privacidad

    Tus datos de contacto nunca serán usados con otro fin diferente que actuar sobre el reporte que nos has hecho llegar. Por eso, a menos que nos veamos obligados por ley, no los compartiremos con terceros sin tu permiso.
  • Las reglas del Responsible Disclosure

    Durante la investigación de una vulnerabilidad, es posible que tengas que realizar determinadas acciones punibles por la legislación española. Sin embargo, si estos actos son realizados sin ánimo de perjudicar a la entidad, de forma cuidadosa y de acuerdo a las normas establecidas, no existe obligación de reportarlos a las autoridades.

    En todo caso, te recomendamos que tengas en cuenta estas reglas:
    • No se debe causar ningún daño a nuestros sistemas mientras se investiga una vulnerabilidad.
    • No está permitido el uso de ingeniería social para ganar acceso a un sistema.
    • En ningún momento se procederá a la interrupción parcial o total de ninguno de nuestros sistemas.
    • No revelar, en ningún momento de la investigación, datos de los clientes o del propio banco a un tercero.
    • No se dejará ninguna puerta trasera en ninguno de los sistemas.
    • No se realizarán cambios o borrará información de los sistemas. Si para la búsqueda de evidencias es necesario extraer algún dato del sistema, no copiar más de los necesarios. Si con un registro es suficiente, no copiar más.
    • No deberá realizarse ningún cambio en los sistemas comprometidos.
    • No intente llegar a los sistemas más lejos de lo necesario para el propósito de la investigación. En caso de que haya logrado acceder con éxito en los sistemas, no comparta con otras personas.
    • No podrá utilizarse ninguna técnica de fuerza bruta (por ejemplo, introducir repentinamente su contraseña) para obtener acceso a los sistemas.
    • No podrá utilizarse ninguna técnica que pueda afectar a la disponibilidad de nuestros servicios.
    • Si las vulnerabilidades reportadas han sido corregidas o han dado lugar a cambios en nuestros servicios, podría ser recompensado.
    • Vulnerabilidades detectadas por empleados o exempleados de ING son excluidas de cualquier tipo de recompensa.
    • Varios reportes para un mismo tipo de vulnerabilidad con una mínimas diferencias, seán tratadas como un único reporte (solamente uno será recompensado)
  • Otras condiciones

    • Solo procesaremos vulnerabilidades reportadas en inglés o en español.
    • Ten en cuenta que, en caso de recibir una recompensa, requeriremos tus datos personales para poder hacer su entrega.
    • Si la vulnerabilidad que encontraste es reportada por otros usuarios, la recompensa será concedida únicamente a la persona que realizó el primer reporte.
  • Regulación del Responsible Disclosure

    Si deseas una mayor información acerca de Seguridad IT, el Instituto Nacional de Seguridad (INCIBE) ha creado numerosas guías técnicas que puedes consultar en https://www.incibe.es/
  • Regulación internacional

    Queremos advertirte de que la regulación sobre Responsable Disclosure es diferente en cada país. Por eso, si resides fuera de España y has encontrado vulnerabilidades en uno de nuestros sistemas, debes tener en cuenta que nuestra política no es aplicable en todos los países.

    Esto significa que, a pesar de haber actuado de acuerdo a la política de ING España, podría ser procesado por la justicia de ese país.
  • For English version, click here.