El presente artículo considera los métodos que los ciberdelincuentes utilizan actualmente para atacar a instituciones financieras, especialmente a los bancos. Así, revisa las tendencias generales y la forma de diseñar los programas maliciosos dirigidos a instituciones financieras para evitar que las soluciones antivirus los detecten. También cubre el phishing, las mulas de dinero, los pasos técnicos que siguen los ciberdelincuentes para lanzar un ataque, como redireccionamiento del tráfico y ataques tipo man-in-the-middle y man-in-the-endpoint. Finalmente, sugiere algunas recomendaciones sobre cómo abordar la inseguridad relacionada con la banca online.
Este artículo se ha escrito con el objetivo de ofrecer a los profesionales en informática una comprensión más detallada de la forma en la que los ciberdelincuentes pueden atacar a las instituciones financieras y de lo que se puede hacer para mitigar estos ataques.
Tendencias generales
En 2007, los desarrolladores de soluciones antivirus observaron un gran incremento en el número de programas maliciosos dirigidos a bancos (malware financiero). A pesar de la escasa y poco clara información que facilitaba el sector financiero, la tendencia era evidente y presagiaba un fuerte crecimiento en el número de ataques a bancos.
Fig. 1. Porcentaje de malware financiero en el total de programas maliciosos detectados
Aunque el volumen de ataques aumentó, tal como lo muestra el gráfico anterior, el porcentaje de malware financiero detectado decrece mes a mes. A continuación, se detallan las causas de esto:
- Los creadores de programas maliciosos modifican continuamente sus programas para evitar que las soluciones antivirus los detecten. Sin embargo, si los cambios realizados son mínimos, los antivirus pueden detectar las nuevas muestras de programas maliciosos mediante las firmas creadas para versiones anteriores.
- El gráfico anterior se refiere sólo al malware financiero. Sin embargo, los ataques a bancos suelen ser procesos de múltiples pasos: ingeniería social, phishing y el uso de programas Trojan-downloaders que se encargan de descargar en el equipo cautivo el malware financiero. Para los ciberdelincuentes resulta más fácil modificar los programas Trojan-Downloader (por lo general de menor tamaño y complejidad) que el malware financiero.
Además del creciente número de programas maliciosos dirigidos a instituciones financieras, también se detecta un aumento de los programas maliciosos capaces de atacar a más de un banco o entidad de forma simultánea. Sin embargo, el porcentaje de programas maliciosos que atacan a más de tres instituciones financieras también está decayendo, tal como lo muestra el siguiente gráfico:
Fig. 2. Malware financiero que ataca a más de tres organizaciones financieras
Esto significa que la gran mayoría de estos programas maliciosos están diseñados para atacar de uno a tres bancos. Esto se debe a que el malware financiero se caracteriza por centrarse en zonas específicas, con programas diseñados para atacar a determinados bancos o instituciones en una misma región. Los programas maliciosos individuales se diseñan para atacar a los bancos más conocidos en países como los Estados Unidos, Alemania, México o el Reino Unido.
Este tipo de malware financiero suele concentrarse en un reducido número de bancos, tal y como se muestra en el siguiente gráfico. Hay dos razones fundamentales para que estos bancos se hayan convertido en codiciados objetivos: primero, porque cuentan con gran número de clientes y, segundo, porque es relativamente fácil obtener permisos para acceder a las cuentas de estos bancos debido a una seguridad débil.
Fig 3. Porcentaje de malware que ataca los 10 bancos más importantes
En 2007 se observó un importante incremento en el número de troyanos que roban las contraseñas y los datos que se teclean en los formularios online. Estos troyanos apuntan a los navegadores más comunes, como Explorer, Opera y Firefox. Asimismo, se utilizan para robar tarjetas de crédito y son capaces de penetrar las defensas de un banco. Todo depende del grado de sofisticación de las medidas de seguridad empleadas. Aquellos bancos que usan un único factor de autentificación son mucho más vulnerables ante ataques relativamente simples.
Eludir la protección
Las tendencias generales de los vectores infecciosos que usan los programas maliciosos se reflejan perfectamente en el malware financiero, y la gran mayoría de estos programas se infectan los equipos de los usuarios mientras estos navegan por Internet. Mientras que algunos de estos programas llegan a la víctima a través del correo electrónico, las razones por las que el malware financiero prefiere Internet están muy claras.
Primero: los programas maliciosos distribuidos por correo electrónico tienden a ser más evidentes para los desarrolladores de soluciones antivirus, las instituciones financieras, así como por usuarios finales y medios de comunicación. El factor furtivo y clandestino es clave para el éxito de los ataques contra instituciones financieras, razón por la cual una descarga realizada de manera imperceptible aprovechando vulnerabilidades, resulta ser un método muy atractivo. Si el usuario no se da cuenta de que algo está mal en su ordenador, seguirá haciendo uso normal del mismo, y seguirá introduciendo datos confidenciales que luego robarán los ciberdelincuentes.
Segundo: los programas maliciosos que se propagan a través de Internet se alojan en un servidor de Internet, factor determinante para eludir las técnicas de detección de las soluciones antivirus. Esto significa que los ciberdelincuentes que usan estos programas para lanzar ataques pueden modificar con facilidad archivos maliciosos con herramientas automatizadas, método conocido como polimorfismo en el servidor. Al estar el código alojado en un servidor remoto, resulta mucho más difícil e incluso imposible analizar el algoritmo utilizado para modificar el código. Es posible crear rutinas genéricas de detección para programas que usan polimorfismo en el servidor, pero lleva más tiempo.
Además de los factores anteriormente mencionados, algunos de los Trojans-Downloaders más sofisticados utilizados para la distribución de malware financiero están diseñados para autodestruirse (o “desaparecer”) una vez que descargan con éxito o no el malware financiero. Esto naturalmente obstaculiza el análisis realizado por especialistas forenses y antivirus.
“Mulas” de dinero
El aumento del malware financiero es resultado de la creciente ola ciberdelictiva provocada por los programas maliciosos con fines de lucro. Además de robar dinero, los ciberdelincuentes necesitan un método para acceder a este dinero. Obviamente, no pueden transferir el dinero robado a sus propias cuentas ya que ello provocaría su identificación e incrementaría de manera significativa el riesgo de que los arresten y procesen.
La respuesta de los bancos ante el creciente número de estos ataques ha sido invertir más tiempo, dinero y esfuerzos en el desarrollo de mecanismos para la detección del fraude y de las actividades ilegales. Una medida de seguridad consiste en la activación de una alerta cuando una considerable cantidad de dinero se transfiere a una región “sospechosa” en cualquier parte del mundo.
Para evitar que los descubran, los ciberdelincuentes han recurrido a las denominadas “mulas” (intermediarios en el blanqueo de dinero). Las mulas suelen reclutarse a través de ofertas de trabajo aparentemente legítimas; por ejemplo, los ciberdelincuentes pueden publicar un aviso buscando un “gerente financiero”. Si la mula acepta la oferta, posiblemente recibirá documentos con toda la apariencia oficial y se le pedirá que los firme para que todo parezca legítimo. La mula pone entonces su cuenta bancaria para realizar transacciones, y luego transfiere entre 85 y el 90 por ciento del dinero a través de servicios como MoneyGram o E-Gold. Se recurre a estos servicios porque garantizan el anonimato, reduciendo así la posibilidad de dar con los ciberdelincuentes. El dinero restante es la “comisión” de la mula; naturalmente se trata de dinero ganado de manera ilegal mediante phishing o malware financiero.
Fig. 4. Reclutamiento de “mulas” de dinero
Actuar como mula puede parecer una manera fácil de ganar dinero y algunas mulas pueden tener la impresión de que están realizando un trabajo legítimo. Sin embargo, legalmente se las considera como copartícipes de un delito, al contrario de lo que pasa con las víctimas de los fraudes online. Las mulas corren el riesgo de que se rastree sus actividades y se las arresten, en particular si viven en el mismo país que el ciberdelincuente que ha organizado la estafa.
El uso de mulas resulta muy ventajoso para los ciberdelincuentes. En primer lugar, si la mula está en el mismo país que el estafador, los sistemas automatizados del banco tienen menos posibilidades de identificar la transacción como sospechosa. En segundo lugar, el cerebro del fraude puede usar varias mulas y dividir la cantidad a transferir; por ejemplo, puede realizar diez transacciones de 5.000$ en lugar de una única transacción de 50.000$. Esto limita la posibilidad de identificar y detener la transacción por sospechosa, y también limita las pérdidas del estafador si una o dos transacciones resultan comprometidas.
Por supuesto que hay un riesgo al trabajar con mulas, pues los ciberdelincuentes tienen que estar seguros de que pueden confiar en la mula que eligen. Después de todo, nada garantiza que la mula no desaparezca con el dinero que se transfirió a su cuenta.
Phishing
Al considerar la cuestión del phishing es importante saber con exactitud qué se entiende por este término. Este artículo define el phishing como mensajes falsificados supuestamente provenientes de una organización (financiera) y diseñados para, mediante engaños, inducir al usuario a revelar sus datos confidenciales. Este es estrictamente un asunto de ingeniería social, y en cuanto implica programas maliciosos, el ataque ya no puede ser considerado como phishing.
El constante flujo de mensajes phishing y la elaboración de paquetes phishing demuestran con total claridad que el phishing sigue siendo una forma muy efectiva de inducir a los usuarios a revelar información privada. Hay varias razones para sostener este punto de vista. En primer lugar, la educación y concienciación de los usuarios no ha dado los frutos esperados y la gente sigue activando los vínculos que se incluyen en los mensajes phishing. En relación a esto, los usuarios o no conocen los mecanismos de seguridad (como https), no les prestan la suficiente atención o simplemente ignoran las advertencias sobre certificaciones válidas o inválidas de sitios Internet. Además, en un esfuerzo por maximizar sus ganancias, los ciberdelincuentes están constantemente desarrollando esquemas cada vez más agudos de ingeniería social para engañar hasta al usuario más experimentado en seguridad informática.
El segundo problema es que un ataque (phishing) muy simple puede socavar las defensas de la mayoría de las instituciones financieras. Una rápida revisión de las medidas de seguridad adoptadas por varios bancos en Estados Unidos, Reino Unido y otros países revela que recurren a un nombre de usuario y una contraseña simples y estáticos para acceder a su sistema de banca online. Todo lo que tiene que hacer el ciberdelincuente es obtener el nombre de usuario y contraseña y ya tiene el camino despejado para realizar casi cualquier transacción. Otra desventaja de usar nombre de usuario y contraseña estáticos es que se pueden guardar los datos, lo que significa que usuarios no autorizados o delicuentes cibernéticos no los tienen que procesar de inmediato, sino que pueden dejar esta tarea para más tarde.
Los bancos que tienen mejores políticas de seguridad usan al menos una contraseña dinámica que es válida una sola vez y durante una sesión específica. Es posible usar esta autentificación dinámica cuando el usuario accede al servicio o cuando firma una transacción, aunque es preferible que sea en ambos casos. El uso de este sistema hace imposible firmar una transacción con una contraseña caducada, y hace que en principio sea imposible acceder a la cuenta.
Para que un ciberdelincuente pueda realizar transacciones cuando se esté usando una contraseña dinámica mediante phishing, tiene que recurrir a un ataque del tipo MitM (man-in-the-middle – ‘hombre en el centro”-). Más adelante en este artículo se tratará este tipo de ataque. La implementación de un ataque MitM es de por sí más difícil que montar un sitio phishing estándar; sin embargo, ahora los ciberdelincuentes cuentan con paquetes MitM para lanzar ataques contra conocidos bancos con un mínimo esfuerzo.
Dado que el phishing aún goza de gran expansión, obviamente se trata de un exitoso método de ataque. Los ataques phishing funcionan en la mayoría de los sistemas operativos. Sin embargo, hay un gran problema desde el punto de vista del ciberdelincuente. Es el usuario quien al final decide pulsar o no el vínculo del mensaje, y también decide introducir o no sus datos confidenciales.
Este elemento de elección es inherente a todos los enfoques de ingeniería social. Un enfoque técnico que implique el uso de programas maliciosos elimina la variable del usuario, haciendo que aquéllos que no cayeron en una estafa phishing sean todavía un objetivo viable.
Ataques automatizados
El malware financiero viene en todas las formas y tamaños y, a menudo, está diseñado específicamente para una determinada institución. El funcionamiento de estos programas maliciosos suele estar determinada por las defensas del banco en cuestión. Esto significa que no es necesario que los ciberdelincuentes pierdan su tiempo creando programas maliciosos demasiado complejos. Existen varios métodos para eludir la seguridad de los bancos y hacerse con los datos de sus clientes. Por ejemplo, si un banco utiliza un factor único de autentificación con un nombre de usuario y contraseña estáticos, todo lo que el intruso tiene que hacer es capturar las secuencias de teclas accionadas. Algunos bancos han creado teclados dinámicos de forma que el usuario debe pulsar un modelo ‘aleatorio’ para ingresar su contraseña. Los autores de programas maliciosos recurren a dos métodos diferentes para burlar este tipo de seguridad; por un lado, pueden crear volcados de pantalla cuando el usuario visita un sitio específico; por otro, pueden simplemente obtener la información que se envía al sitio capturando el formulario. En ambos casos, los datos robados se procesarán posteriormente.
El uso de los números de transacción autorizada (TAN) para firmar transacciones hace que sea más complicado. Este número TAN proviene de una lista física que la entidad financiera entrega al dueño de la cuenta o se la envía a través de un mensaje SMS. En cualquier caso, el ciberdelincuente no tiene acceso al TAN. En la mayoría de los casos, el programa malicioso capturará la información que el usuario ingresa de una manera similar a la descrita arriba. Una vez que el usuario ingresa su número TAN, el programa malicioso interceptará este dato y mostrará un falso mensaje de error o enviará un número TAN incorrecto al sitio de la entidad financiera. Esto puede inducir al usuario a ingresar otro número TAN. Una organización puede requerir dos números TAN para completar una transacción; esto dependerá de la entidad y del sistema de seguridad que tiene implementado. Si sólo se necesita un número TAN para realizar una transacción, el ataque arriba descrito podría permitir al intruso realizar dos transacciones.
El éxito de este tipo de ataques depende en gran medida de la configuración exacta del sistema TAN. Algunos sistemas no fijan una fecha de vencimiento para los números TAN, siendo entonces sólo cuestión de utilizar el número TAN que se encuentra después del número TAN ya utilizado en la lista. Si el siguiente número TAN en la lista no llega al sitio del banco, entonces el ciberdelincuente podrá utilizarlo de inmediato, o guardarlo para después. Sin embargo, los números TAN robados tienen una vida útil menor que el nombre de usuario y la contraseña estáticos, ya que es muy probable que el usuario que sufra problemas durante una sesión de banca online llame al banco para pedir ayuda.
Cuando se envía un número TAN mediante un mensaje SMS al dueño de la cuenta es posible que el banco emita un único número TAN para cada transacción individual, siguiendo un método parecido al de la autentificación de dos factores. A partir de este punto, los piratas informáticos deben empezar a procesar los datos en tiempo real, recurriendo al ataque tipo MitM.
Redirección del tráfico
Otro método al que recurren los ciberdelincuentes es el de redireccionar el tráfico. Existen varias formas de hacer esto y la más sencilla consiste en modificar el archivo “hosts” de Windows.
Este archivo, ubicado en el directorio %windows%system32driversetc, puede usarse para pasar por alto las solicitudes de DNS (Domain Name Server). El DNS se usa para traducir nombres de dominios, tales como www.kaspersky.com a direcciones IP. Los nombres de dominios se usan por pura comodidad ya que los ordenadores usan las direcciones IP. Si el archivo “hosts” se modifica para remitir un nombre de dominio específico a una dirección IP de un sitio fraudulento, el tráfico será encauzado a ese sitio.
Otro método para redireccionar el tráfico consiste en modificar los parámetros DNS del servidor, es decir, se modifican los parámetros de manera que el ordenador use un servidor DNS distinto y fraudulento para las búsquedas. La mayoría de los usuarios que navegan desde su casa usan un servidor DNS que pertenece a su ISP. Como resultado, la gran mayoría de este tipo de ataques se canaliza a las estaciones de trabajo. Sin embargo, cuando se usa un enrutador para acceder a Internet de manera predeterminada, las búsquedas DNS las realiza el enrutador y las transfiere a las estaciones de trabajo. Se ha detectado una serie de ataques a enrutadores buscando modificar los parámetros del servidor DNS del enrutador. Teniendo en cuenta la creciente atención que provoca la inseguridad de los enrutadores, es probable que estos ataques continúen propagándose. Los ataques del tipo XSS pueden usarse para modificar ciertos parámetros clave, tales como los servidores DNS con sólo inducir al usuario a visitar un determinado sitio web.
Otro método utilizado para redireccionar el tráfico consiste en colocar un troyano en el ordenador cautivo que se encarga de monitorizar los sitios visitados. Tan pronto como el usuario se conecta al sitio de un banco (o al de otra entidad financiera), el troyano redireccionará el tráfico hacia un sitio fraudulento. El tráfico puede redireccionarse desde un sitio HTTPS a uno HTTP (potencialmente inseguro). En estos casos, el troyano es capaz de suprimir cualquier mensaje de alerta emitido por el navegador.
Sin embargo, desde la perspectiva del pirata cibernético, este método presenta algunos problemas: estos troyanos suelen ser Browser Helper Objects, lo que significa que sólo funcionarán con Internet Explorer. Además, aunque se redireccione el tráfico, no se puede procesar en tiempo real y permite al usuario atacado contar con el tiempo suficiente para ponerse en contacto con su banco y detener la transacción.
Ataque tipo Man-in-the-Middle (MitM).
Los programas maliciosos más sofisticados recurrirán a los ataques tipo MitM; esto no sólo permite al ciberpirata atacar a más bancos, sino también le garantiza un mayor beneficio ya que los datos se procesan en tiempo real. Un ataque tipo MitM recurre a un servidor pirata para interceptar todo el tráfico entre el cliente y el servidor, es decir, entre el cliente y la entidad bancaria. Aunque al usuario todo lo parecerá normal, cuando se le solicite autorizar la transacción, al hacerlo, en realidad estará autorizando una transacción fraudulenta creada por el pirata virtual. Los programas maliciosos que usan ataques MitM suelen neutralizar las notificaciones del navegador sobre falsas certificaciones de sitios o, lo que es más común, muestran falsas notificaciones. Sin embargo, dependiendo del enfoque en el que se base el programa malicioso, puede no realizar ninguna de las acciones mencionadas porque simplemente no son necesarias. Por ejemplo, si un usuario accede al sitio web de un banco y el programa malicioso toma el control y comienza a direccionar el tráfico al servidor MitM, este programa malicioso simplemente ‘actualizará’ la página web del banco, mostrándosela al usuario como si todavía se encontrara en el mismo sitio.
Un gran número del malware financiero más sofisticado que usa ataques MitM también recurre a la inyección de HTML.
Esto suele manifestarse de una o dos maneras. El programa Trojan-Spy.Win32.Sinowal pertenece a una familia muy común de programas maliciosos capaces de atacar a más de 750 bancos y, a menudo, emerge en el lugar en el que el usuario debe ingresar sus datos. Sinowal puede mostrar ventanas emergentes que soliciten información no relacionada con la transacción en un intento de persuadir al usuario para que ingrese otros datos confidenciales. Las capturas de pantalla que aparecen a continuación muestran una ventana emergente generada por Sinowal en el sitio de un banco, solicitando al usuario detalles de su tarjeta de crédito, la cual no está siendo utilizada en la transacción.
Fig 5. Ventana emergente generada por Sinowal
Una forma más popular de utilizar la inyección de HTML consiste en añadir un formulario adicional al sitio web del banco: el texto que acompaña al formulario solicita al usuario que ingrese datos adicionales.
Por lo general, los datos requeridos son las credenciales necesarias para firmar una transacción. De esta manera, el servidor MitM completa una transacción de forma automática incluso aquellas en las que se necesita la autentificación de dos factores.
Aunque este método no es necesario para el éxito de un ataque MitM es el más fácil de automatizar para los piratas cibernéticos. Otro método implica la creación de un segundo sitio, réplica exacta del original. No obstante, algunos ataques MitM usan un táctica diferente: permiten que se pueda añadir otra transacción a la transacción original o modificarla, por supuesto sin que la víctima se entere de ello.
A pesar de que los ataques MitM suelen tener éxito, existen algunas dificultades para los ciberdelincuentes. Por lo general, un ataque MitM ralentiza notablemente la navegación lo que puede generar sospechas. Además, los bancos revisan sus sistemas de seguridad para identificar de forma heurística las transacciones ilegítimas. Por ejemplo, si un cliente ha accedido al sitio del banco desde una determinada dirección IP 99 veces, y la centésima vez lo hace desde una dirección localizada en un país completamente distinto, el sistema da la alarma.
Pero dado que los piratas informáticos no ceden en su búsqueda de generar máss ganancias, siempre buscan nuevas formas de lanzar sus ataques. Así, vemos un incremento de la llamada próxima generación de malware financiero: el del tipo Man-in-the-Endpoint (MitE).
La próxima generación
Aunque el concepto de los ataques MitE se conoce desde hace tiempo, su uso activo en Internet data de hace muy poco. Al contrario que los ataques MitM, los del tipo MitE no necesitan servidores adicionales para interceptar el tráfico entre el cliente y el servidor. En lugar de ello, todas las modificaciones se hacen en el sistema local.
Este enfoque presenta varias ventajas significativas. En primer lugar, existe una conexión directa con la entidad financiera de manera que no hay posibilidad de que se detecte la transacción por el simple hecho de que el usuario acceda al sitio web desde una dirección IP desconocida. En segundo lugar, un ataque tipo MitE tendrá mejores probabilidades de éxito que uno del tipo MitM si se lanza contra un sistema de protección complejo.
Sin embargo, la creación de un ataque MitE requiere mucho tiempo y esfuerzo por parte del ciberpirata. El El ataque se da cuando el sistema está infectado con un troyano diseñado para capturar todo el tráfico HTTPS. El tráfico interceptado se envía entonces a los creadores del programa malicioso, proporcionándoles una especie de plano o mapa del sitio web. Este plano se utiliza después para crear otro troyano.
Generalmente, los ciberdelincuentes recurren a los ataques MitE para actuar contra bancos que tienen autentificación de dos factores, una medida de seguridad que dificulta el acceso de los ciberpiratas al área de la transacción en el sitio web. El método arriba descrito es efectivo desde el punto de vista técnico. También elimina la necesidad de reclutar un infiltrado que proporcione al pirata las credenciales válidas para acceder al sitio.
Los troyanos utilizados en el ataque a menudo son capaces de recibir información desde un servidor Command & Control en el cual los delincuentes guardan la información de los números de cuentas y la cantidad de dinero a transferir. Ya que esto se realiza de manera dinámica, se puede enviar la información a cada ordenador infectado para que éste, a su vez, transfiera los fondos a la respectiva mula.
Resulta llamativo el hecho de que los creadores de malware modifiquen las versiones de programas maliciosos de una misma familia en función de los mecanismos específicos de seguridad de un banco. Esto se realiza con el fin de dotar a sus ataques de la mayor efectividad posible. Por ejemplo, con un banco el troyano añadirá, en secreto, una transacción adicional; pero con otro banco, el troyano reemplazará la transacción del usuario, también en secreto, para no levantar sospechas.
Soluciones
Las entidades financieras de todo el mundo están sufriendo pérdidas cada vez mayores debido a la acción de los piratas cibernéticos. Invertir en mejor seguridad es muy costoso. Sin embargo, ésta es una decisión que los bancos deben asumir. Tal y como se expone en este artículo, los ciberdelincuentes pueden burlar con mucha facilidad la autentificación de un único factor ya que sólo necesitan un simple programa genérico de control del pulsado de teclas. Por lo tanto, resulta reconfortante que muchos de los bancos que aún no han implementado la autentificación de dos factores estén considerando hacerlo.
Sin embargo, una tendencia sobresale del resto: el creciente uso de la autentificación de dos factores por parte de las instituciones financieras tiene como consecuencia el aumento de programas maliciosos capaces de neutralizar este tipo de autentificación. Esto significa que la eventual adopción de la autentificación de dos factores no tendrá efectos significativos a largo plazo. Simplemente subirá el nivel de exigencia del malware financiero.
Por otra parte, debe tenerse en cuenta que hoy en día la mayoría de los bancos que están utilizando la autentificación aún no tienen sistemas con niveles de máxima seguridad. Esto significa que todavía queda abierta una ventana para que los sistemas de seguridad bloqueen las acciones de los ciberdelincuentes.
Pero, existe un problema fundamental con la autentificación de dos factores: aunque la sesión sea segura, lo que suceda durante la misma escapa a todo control. Para incrementar la seguridad, es necesario alguna forma adicional de comunicación, como el uso de credenciales criptográficas (cryptographic token) o mensajes SMS (ya implementados por algunas entidades financieras). Los mensajes SMS podrían limitar la vida útil del número TAN, el acceso al número de las cuentas y la cantidad máxima permitida de cada transacción.
Obviamente, existe un problema potencial con este método: podría llevar a los autores de virus a crear programas maliciosos capaces de ejecutarse en los dispositivos que reciben los mensajes SMS. Un texto codificado constituye entonces la mejor solución ya que no es posible instalar ningún software adicional en esta ficha. Lo ideal sería contar con algoritmos separados para el acceso a un sitio y para firmar una transacción.
Actualmente, cuando se firma una transacción, el cliente tiene que pasar una verificación criptográfica. Un tema importante es que hasta la fecha estas verificaciones no revisten importancia para el cliente, por lo que debería implementarse una verificación para cada transacción individual. El uso de la cantidad total a transferir en calidad de verificación adicional no es un método seguro. Algunos troyanos ya han logrado burlar este mecanismo mediante el cambio de número de cuenta en lugar de añadir otra transacción.
Un método seguro tendría que pedir al cliente que introdujera los datos de la cuenta de destino de los fondos, algo que ni los ciberdelincuentes ni los programas maliciosos son capaces de predecir. Otro aspecto importante en este caso es que el cliente usara activamente el número de su cuenta, lo que en teoría significa que tiene la posibilidad de detectar una transacción incorrecta en vez de sólo leer el contenido de un mensaje SMS.
Más aún, tal mecanismo podría diseñarse para que fuera muy sencillo de manejar, permitiendo que el cliente tenga la opción de crear una lista de admitidos de números de cuentas que no necesitarían autentificación adicional. Sin embargo, esto exigiría esfuerzos para asegurar la lista de admitidos y el procedimiento para acceder a ella.
Obviamente, mucho depende de las entidades financieras y de los bancos y de su predisposición a implementar medidas apropiadas de seguridad. Dado que la seguridad para los procedimientos de la banca online es relativamente nueva, los desarrolladores de soluciones antivirus tienen una gran responsabilidad. ¿Pueden las soluciones de seguridad detectar el actual malware financiero? ¿Cuál es su capacidad para detectar nuevas versiones de programas maliciosos y de ataques phishing?
Por último, pero no menos importante, la solidez de cualquier solución o proceso de seguridad depende del eslabón más débil y, en este caso, ese eslabón es el cliente. ¿Pulsará el cliente el vínculo o abrirá un adjunto? ¿Está actualizado su sistema con todos los parches? Las entidades financieras ya han empezado a tomar en cuenta estos factores y algunas organizaciones, como en Nueva Zelanda, ya han dejado claro que no restituirán ninguna pérdida en un sistema que no esté actualizado con todos parches necesarios.
Por desgracia, la experiencia de la industria antivirus revela que la educación y concienciación del usuario tiene un efecto limitado, y que las medidas de seguridad que las instituciones adoptan pueden, de alguna manera, ser burladas. Por lo tanto, parece que cuando se trata de ataques contra bancos, la industria antivirus sigue a la vanguardia en cuanto a la protección de los usuarios y de las instituciones financieras, evitándoles pérdidas.
Ataques contra bancos