Phising y troyanos
Desde hace unos cuantos años, estamos acostumbrados a los ataques de ”
phishing” para el robo de las credenciales de autenticación en los sistemas de
banca electrónica. De hecho, cada vez son más frecuentes los avisos de nuevos
intentos de fraude mediante esta técnica. Sin embargo, conviene alertar sobre la
propagación masiva de troyanos con similares objetivos.
Durante los últimos años se ha podido observar una “profesionalización” de
los atacantes, con el objetivo de robar dinero a los usuarios incautos o
desprevenidos. Para un atacante, realizar todo el proceso (desde preparar una
web falsa para captura de datos, enviar el spam, etc.), resulta muy económico y
con una sola víctima se pueden obtener grandes beneficios, motivo por el que aún
se presenten casos de ataques mediante esta técnica.
Para combatir el phising se han planteado diferentes soluciones, desde
sistemas de autenticación multifactor (tokens o biometria), a tarjetas de
coordenadas o sistemas de varias contraseñas, entre otros. Sin embargo, de una
forma u otra, los ataques siguen existiendo, y usuarios y entidades continúan
sufriéndolos, con las consecuentes pérdidas económicas y caída de la
credibilidad de los sistemas de banca electrónica.
Últimamente hemos podido observar además la propagación de una amenaza mucho más
evolucionada y menos conocida, que permite llevar a cabo gran variedad de
ataques con éxito (incluidos los temidos ?man-in-the-middle?), contra los
sistemas de autenticación multifactor: los troyanos.
Los troyanos bancarios o malware especializado en el robo de credenciales de
autenticación a la banca electrónica aprovechan vulnerabilidades en el navegador
para introducirse en el ordenador de los usuarios con tan sólo visitar una
página web, que en ocasiones no tiene por que ser sospechosa ni presentar
contenidos poco recomendables.
Para los atacantes estos virus presentan múltiples ventajas sobre el phishing
tradicional, como la esperanza de vida del ataque. En principio un ataque
phishing no debería estar activo más de unas horas hasta que el servicio
antiphishing logra cerrar la página fraudulenta, en ocasiones incluso antes de
sea lanzado el spam y se den a conocer. Por el contrario, un troyano no puede
ser detectado con antelación a su distribución, y son muy pocos los antivirus
que logran una detección temprana a través de su heurística o sistemas
proactivos. Pueden pasar días o incluso semanas, hasta que un troyano llega por
primera vez a un laboratorio antivirus. Y aún con eso, la detección por parte de
los diferentes programas antivirus del mercado es muy irregular, existiendo
casos de motores que no detectan ciertos troyanos incluso meses después de su
distribución. Esto hace que, aunque un usuario siga las normas básicas de
seguridad y cuente con un antivirus actualizado, no tenga la garantía de que su
equipo esté protegido contra uno de estos especímenes y se vea afectado por un
robo de claves.
También hay que señalar la versatilidad y diversificación de técnicas
empleadas por los troyanos bancarios. Aunque los más conocidos son los
denominados ?keyloggers?, que capturan las pulsaciones de teclas cuando estamos
introduciendo nuestras claves en la web de la entidad, ésta no es la única
técnica empleada. Así, durante los últimos meses hemos publicado en
Hispasec análisis de otros tipos de
troyanos tal vez menos conocidos, como por ejemplo una familia que inyectaba
código en la sesión HTTPS para introducir un campo adicional en el formulario de
autenticación de Banesto y solicitar así
también la clave de operaciones, todo ello de forma transparente para el
usuario.
Otro ejemplar, que realizaba pequeñas capturas de pantalla y señalaba las
pulsaciones de teclado para capturar las contraseñas introducidas a través de
los teclados virtuales, afectó a varias entidades españolas y latinoamericanas.
Y analizamos también el caso de un troyano dirigido contra entidades brasileñas
que capturaba un vídeo de la pantalla del usuario, así como troyanos que
capturan certificados de los clientes, además de estrategias contra las tarjetas
de coordenadas.
De modo que aunque parezca que llevamos mucho tiempo sufriendo el fraude por
Internet, se puede decir que estamos apenas en una primera fase. Como ejemplo de
la presencia de troyanos en la Red, podemos decir que a través de
VirusTotal recibimos
diariamente más de 100 nuevas muestras destinadas al fraude bancario, y cada vez
con más frecuencia afectan a entidades españolas.
Pero no todo son malas noticias. Podemos afirmar que es posible mitigar el
fraude con éxito, pero para ello las entidades no sólo deben contar con
servicios antiphishing y antitroyanos eficaces donde premie la prevención frente
a la reacción. Es necesario pleantear soluciones de autenticación más avanzadas
que unas simples contraseñas estáticas introducidas en una página web, por lo
que ahora el reto es la autenticación de doble factor o multicanal.
Cada salto cualitativo que den las entidades en la autenticación de los
usuarios, cuanto más complicado se lo pongan a los estafadores, permitirá
disfrutar de un periodo de calma relativa, ya que los phishers y los troyanos se
centrarán en las entidades más vulnerables o con sistemas de autenticación más
débiles en los que la obtención de contraseñas sea más sencillo.
Como conclusión se puede afirmar que no debemos relajarnos en la lucha por
garantizar un entorno seguro. Y esto no es resposabilidad única de las
entidades, sino que todos los agentes implicados (desde usuarios, empresas y
fuerzas de seguridad y entidades) tenemos que aprender a trabajar juntos contra
el fraude.
