Si una institución bancaria me pidiera que hiciera una investigación de piratería ética, utilizaría mi propia cuenta bancaria, pediría una cuenta al banco o abriría una nueva, transferiría dinero y realizaría algunas transferencias para hacer la cuenta o "área de prueba" lo más real posible? ¿Debo solicitar todas las tarjetas posibles que el banco tiene para hacer pruebas de ataque de canal lateral?
No soy un pirata informático ni planeo investigar, solo quiero saber cómo sería en la vida real.
Por lo que entendí, la pregunta es si usaría su propia cuenta "real", una cuenta recién creada o una cuenta de prueba proporcionada por el banco.
Desde mi experiencia, cualquier empresa quiere limitar el impacto potencial al realizar pruebas de penetración. Por lo tanto, probablemente no estarán contentos si comienzas a atacar sus sistemas de producción. Imagínese lo que sucedería si algunos de los servidores fallaran o si cientos de usuarios estuvieran bloqueados de sus cuentas porque se trata de nombres de usuario de fuerza bruta o similares.
Si desea realizar una prueba de penetración, obtenga el apoyo de la institución y, si está disponible, acceda a algún entorno de prueba. Sí, esto no será idéntico al sistema "real", pero probablemente haya menos peligro para ambos. Y no quieres tener problemas, ¿verdad? ;-)
Lo que estás describiendo es una prueba de penetración. Generalmente esto se hace cuando una empresa quiere probar su seguridad y obtener la opinión de un especialista en ataques del mundo real. Otras veces, se requieren pruebas de penetración para que una empresa pueda mantener certificaciones específicas.
Cuando se realiza una prueba de penetración, generalmente se realiza entre una empresa de terceros e incluye un equipo de personas que realizan la prueba en lugar de una sola persona. Las dos compañías acordarán el alcance de la prueba, incluidas las áreas a ser probadas, las que deben evitarse, la responsabilidad en caso de que algo salga mal en la prueba, etc.
Ninguna persona debería estar haciendo "investigación" en una institución financiera sin este respaldo, acuerdos legales y conocimiento de lo que están haciendo. Si intentara hacer esto solo, podría causar un daño masivo y muy probablemente violaría varias leyes.
Mira más en las pruebas de penetración. Es toda una carrera.
Lea otras preguntas en las etiquetas banks penetration-test risk-analysis