Protección de canales electrónicos

Protección de canales electrónicos
EL PROBLEMA
Los servidores de su banco están muy bien protegidos. Por esta razón, los criminales digitales de
hoy han decidido atacar el único punto que su banco no puede controlar. El punto final. Cada día se
conocen más casos de personas que han sido robadas digitalmente. Algunas son víctimas de algún
tipo de engaño que las lleva a entregar sus credenciales, caso para el cual no existe una solución
digital, mas sin embargo, cada vez es más común oír de casos de robo digital de credenciales de
autenticación y datos de tarjetas de crédito entre otros, en los que los clientes solo se dan cuenta del
robo cuando ya es demasiado tarde.
La situación típica de un cliente de banco sería la siguiente. El cliente del banco tiene un dispositivo
(PC de escritorio, LapTop, Tablet) en su casa en el cual descarga correo, oye música online, visita
redes sociales, descarga archivos (películas, música, fotos, etc.). Las cosas normales que hace todo el
mundo en Internet. En cualquiera de estos lugares el dispositivo puede “contagiarse” con código o
programas maliciosos (Malware). Posteriormente este mismo cliente, desde el mismo dispositivo
(ahora infectado) se conecta a la web transaccional del banco. Y el MALWARE que ya está activo en
el dispositivo empieza a robar su información.
Objetivamente este NO es un problema directo del banco. Es un problema del cliente. Sin embargo
el efecto que este problema tiene es la “resistencia a usar medios virtuales bancarios”. Vale la pena
aclarar que el malware puede robar TODOS los datos que el cliente transmite por Internet desde su
dispositivo, los de correo, los de las redes sociales, los de programas de descargas, los datos corporativos (intranets) y también los datos de su acceso a la banca virtual. Sin embargo, aunque podríamos
decir que, por ejemplo, que le roben las credenciales de Facebook es incómodo, no es tan grave
como cuando le roban las credenciales para acceder a manejar sus cuentas bancarias o sus créditos.
Por esa razón la banca virtual es la primera perjudicada ante esta situación.
Ahora, ¿cuáles son los métodos de robo de identidad que se usan actualmente?
LOGGERS: Un logger (derivado del inglés: key (tecla) y logger (registrador)); registrador de teclas,
contenido, eventos; es un tipo de software que se encarga de registrar las pulsaciones que se realizan en el teclado, registrar los pantallazos, registrar los eventos y el contenido transaccional para
posteriormente memorizarlas en un archivo y enviarlas a través de internet.
Muchos bancos cuentan con un sistema anti-keylogger consistente en un teclado virtual. Sin
embargo este teclado virtual no protege a sus clientes contra screen, event o content loggers.
TROYANOS BANCARIOS: Un troyano es un programa que contiene a otro escondido. El filtrado de
los datos de los usuarios se lleva a cabo mediante listas de entidades bancarias a monitorear. Dichas
listas contienen cadenas de texto que suelen ser:
• La propia URL del banco objeto de suplantación: http://www.mibanco.com
• Subcadenas de la URL del banco: *mibanco.com
• El título de la ventana de la página de banca en línea: MiBanco – Internet Explorer
Lavalle 381 piso 3º | C1047AAG | Ciudad Autónoma de Buenos Aires - ARGENTINA
Tel: (54 11) 5219-5555 | Fax: (54 11) 5199-1328 | www.zma.com.ar | [email protected]
• Cadenas particulares del cuerpo de la página de banca en línea: © MiBanco 2008. Todos los derechos reservados.
• Cadenas del código HTML de la página relacionadas con los formularios de ingreso a la cuenta personal:
<label for="lg_username" class="labuser_01">
Para poder comparar estas cadenas con los nombres, y otros parámetros, de las páginas visitadas, ha de existir
un mecanismo que permita interactuar con el contexto de la página visitada. Los métodos más usuales son la
intercepción de funciones de la API de Windows (hooks), extensiones de Internet Explorer (BHOs, Browser
Helper Objects) o de Firefox, inspección de ventanas abiertas, DDE, interfaces COM/OLE, e instalación de
controladores en el sistema.
¿Cómo logran los troyanos robar las credenciales bancarias? Los métodos que se han citado con anterioridad
para monitorizar entidades, en la mayoría de los casos, también sirven para capturar datos bancarios. Se suele
hacer una clasificación más somera de los troyanos en función de la técnica empleada para capturar los datos
de los usuarios. Éstas son las más comunes:
• Registro de teclas pulsadas
• Captura de formularios
• Capturas de pantalla y grabación de video
• Inyección de campos de formulario fraudulentos
• Inyección de páginas fraudulentas
• Redirección de páginas bancarias
• Man-in-the-middle
GUSANOS INFORMÁTICOS (WORMS): Es un malware que tiene la propiedad de duplicarse a sí mismo.
Los gusanos utilizan las partes automáticas de un sistema operativo que generalmente son invisibles al
usuario. A diferencia de un virus, un gusano no precisa alterar los archivos de programas, sino que reside en la
memoria y se duplica a sí mismo. Los gusanos casi siempre causan problemas en la red (aunque sea simplemente consumiendo ancho de banda), mientras que los virus siempre infectan o corrompen los archivos de la
computadora que atacan. Es algo usual detectar la presencia de gusanos en un sistema cuando, debido a su
incontrolada replicación, los recursos del sistema se consumen hasta el punto de que las tareas ordinarias del
mismo son excesivamente lentas o simplemente no pueden ejecutarse. Los gusanos se basan en una red de
computadoras para enviar copias de sí mismos a otros nodos (es decir, a otras terminales en la red) y son
capaces de llevar esto a cabo sin intervención del usuario propagándose, utilizando Internet, basándose en
diversos métodos, como SMTP, IRC, P2P entre otros.
De nuevo, más que malware, los gusanos, como los troyanos son medios de propagación de software malicioso.
PHARMING: Es una técnica utilizada por ladrones para obtener información financiera personal de
los usuarios sin su conocimiento.
Así funciona el pharming: Un ladrón primero infecta su computadora con un virus ya sea mediante
el envío de un correo electrónico o mediante la instalación de un software en su computadora
cuando usted visita un sitio Web. La instalación generalmente se realiza sin que el usuario lo sepa;
sin embargo, también podría instalarse como parte de un producto que el usuario instala de un si tio Web. Una vez que la computadora se encuentra infectada, el virus dirige al usuario a un sitio
falso que se ve casi idéntico al sitio Web elegido. Luego, quienes delinquen a través del pharming
Lavalle 381 piso 3º | C1047AAG | Ciudad Autónoma de Buenos Aires - ARGENTINA
Tel: (54 11) 5219-5555 | Fax: (54 11) 5199-1328 | www.zma.com.ar | [email protected]
"cosechan" el nombre de usuario, contraseña y otra información personal sin que el usuario se dé
cuenta.
El Pharming es más sofisticado que el phishing puesto que, mientras el phishing requiere que los
usuarios hagan clic en un enlace y/o respondan un correo electrónico, el pharming ocurre cuando
los usuarios atraviesan el proceso habitual de ingresar la dirección de un sitio Web en el buscador.
SPYWARE: El spyware o programa espía, es una categoría dentro de los programas de ordenador
que se integran en el sistema operativo de varias formas, y son capaces de comerse la mayoría de los
recursos que tiene un equipo. Están diseñados para rastrear los hábitos de navegación en Internet,
inundar con ofertas para realizar compras, o generar tráfico para alguna Web a la que apunten.
Según unas estimaciones recientes, más de dos tercios de las computadoras personales están
infectadas por alguna clase de spyware.
El spyware no está generalmente diseñado para dañar un computador. Podemos definirlo en rasgos
básicos como cualquier programa que se introduce e instala en un ordenador sin permiso, y se mantiene oculto en un plano secundario a la vez que realiza cambios en la navegación del usuario.
El daño que hace es más orientado a un enfoque comercial, recopilando información para campañas de publicidad y pudiendo desplegar molestas ventanas pop-up para mostrar sus productos.
MAN IN THE MIDDLE: En la última versión del ataque MITM, el usuario sufre un engaño y es llevado
al sitio web incorrecto. Las técnicas más comunes para engañar a los visitantes incluyen correos
electrónicos de phishing, sitios inalámbricos falsos y, más recientemente, el ataque a servidores DNS
no seguros. El ardid utiliza un servidor fraudulento para interceptar las comunicaciones entre el
navegador del usuario y un sitio web legítimo, y luego funciona como proxy, capturando información confidencial por HTTP entre el navegador y el servidor fraudulento.
Lo que hace que este ataque sea diferente de los ataques MITM anteriores es que el sitio fraudulento intenta aprovechar señales visuales falsas, reemplazando el icono de favorito del sitio fraudulento por un icono del candado, que tradicionalmente se identifica como una señal visual de sitio
protegido con SSL.
MAN IN THE BROWSER: Es un ataque que ha evolucionado a partir del Man In The Middle (MITM).
En concreto es un troyano que tras infectar una máquina es capaz de modificar páginas webs, contenidoso transacciones, de una manera invisible tanto para el usuario como para el servidor web. Los
ataques MITB son muy difíciles de detectar y además la probabilidad de que tengan éxito es muy
alta ya que medidas como el SSL o cualquier otro tipo de cifrado no ayudan a que este ataque desaparezca.
Estos troyanos infectan los navegadores de Internet y modifican las páginas y las transacciones para
robar secretos personales como nombres de usuarios, números de la seguridad social, contraseñas
de cuentas bancarias, datos de tarjetas de crédito, e incluso claves dinámicas como tokens o tarjetas
de coordenadas.
No hablamos de un troyano nuevo, pero la proliferación de este tipo de troyanos está empezando a
aumentar y hoy está atacando a varios bancos en Latinoamérica y Europa, convirtiéndose en la principal preocupación para entidades financieras y usuarios.
PHISHING: En esta modalidad de fraude, el usuario malintencionado envía millones de mensajes
falsos que parecen provenir de sitios Web reconocidos o de su confianza, como su banco o la
empresa de su tarjeta de crédito. Dado que los mensajes y los sitios Web que envían estos usuarios
Lavalle 381 piso 3º | C1047AAG | Ciudad Autónoma de Buenos Aires - ARGENTINA
Tel: (54 11) 5219-5555 | Fax: (54 11) 5199-1328 | www.zma.com.ar | [email protected]
parecen oficiales, logran engañar a muchas personas haciéndoles creer que son legítimos. La gente
confiada normalmente responde a estas solicitudes de correo electrónico con sus números de
tarjeta de crédito, contraseñas, información de cuentas u otros datos personales.
Para que estos mensajes parezcan aún más reales, el estafador suele incluir un vínculo falso que
parece dirigir al sitio Web legítimo, pero en realidad lleva a un sitio falso o incluso a una ventana
emergente que tiene exactamente el mismo aspecto que el sitio Web oficial. Estas copias se denominan "sitios Web piratas". Una vez que el usuario está en uno de estos sitios web, introduce información personal sin saber que se transmitirá directamente al delincuente, que la utilizará para
realizar compras, solicitar una nueva tarjeta de crédito o robar su identidad.
BARRAS DE AYUDA: Lo mismo que un troyano o un gusano, las barras de ayuda son un medio por
el cual se introduce Malware a una computadora. Las barras de ayuda son programas que los
usuarios instalan voluntariamente en el browser (las más comunes son las de Google y Microsoft), y
generalmente sirven como un medio de “navegación rápida” hacia algún servicio de Internet. Sin
embargo es cada vez más común ver barras de navegación de streaming de audio o video, juegos
online y servicios similares. Muchas de estas barras son realmente troyanos que no solo traen la
conexión rápida al servicio sino que, al ser instalada por el usuario, simultáneamente instalan algún
tipo de malware.
LA SOLUCION
Hasta el momento, la gran mayoría de soluciones disponibles en el mercado funcionaban bajo un
concepto correctivo. Es decir, para contrarrestar una nueva vulnerabilidad, esta se debe dar a
conocer primero, lo que significa que se actúa cuando la vulnerabilidad ya ha hecho daño.
Por otra parte, de nuevo, una gran mayoría de estas soluciones correctivas están diseñadas para
proteger un dispositivo específico. Por esta razón las entidades financieras terminaron solicitándoles a sus clientes que NO hicieran transacciones desde dispositivos que no fueran de entera
confiabilidad. Aunque aparentemente esta es una recomendación válida, la verdad es que la recomendación, que en algunos casos es una exigencia, lo que realmente hizo fue limitar el verdadero
alcance de los servicios web de las entidades, pues prácticamente elimina de tajo o dificulta enormemente la portabilidad de la banca online. Con esta limitante, una persona que se encuentra por
fuera de su ambiente natural no puede contar con la promesa básica de la transaccionalidad en
línea “desde cualquier lugar, a cualquier hora”. Aunque Internet tiene un cubrimiento global asombroso, la banca por Internet tiene un cubrimiento realmente limitado.
Cafés Internet, redes WiFi públicas, es decir, cualquier alternativa de conexión a Internet que teóricamente está por fuera del entorno natural del cliente de un banco, está absolutamente vetado para
interactuar con la institución. Pero las necesidades de los clientes son bien distintas.
Un cliente desea tener su banco siempre a la mano. No importa donde esté o a través de qué
dispositivo o red se conecta. Sin embargo, por el momento, este cliente no lo hace. No se conecta a
su banco. No lo hace porque tiene miedo a que lo roben. Y tiene razón, porque hoy la probabilidad
de que lo roben puede ser alarmantemente alta.
Lavalle 381 piso 3º | C1047AAG | Ciudad Autónoma de Buenos Aires - ARGENTINA
Tel: (54 11) 5219-5555 | Fax: (54 11) 5199-1328 | www.zma.com.ar | [email protected]
LA SOLUCION AZUAN
La solución de Azuan fue diseñada precisamente pensando en las falencias que tienen las otras soluciones disponibles en el mercado.
La suite AzuanTrust™ está basada en una novedosa y efectiva aproximación hacia el problema de la
seguridad digital que permite actuar de manera preventiva, protegiendo el momento en que se
hacen las transacciones y no dispositivos, lo que permite devolverles la promesa básica de Internet
a los usuarios de la banca online. “Cualquier usuario, desde cualquier dispositivo y desde cualquier
lugar podrá realizar transacciones a través de cualquier red, sin preocuparse porque puedan robar
su información.”
La suite AzuanTrust™
AzuanTrust™ provee un completo conjunto de soluciones que permite optimizar los procesos de
aseguramiento de transacciones a través de cualquier red, incluyendo Internet. Este nivel de seguridad permite explotar realmente el potencial del canal transaccional, aprovechando las ventajas
operacionales y entregando el nivel de seguridad deseado por los usuarios.
La tecnología desarrollada por Azuan® fomenta el uso del canal electrónico en el mercado masivo
de entrega y autenticación de aplicaciones, gracias a su capacidad para aislar el sistema operativo,
convirtiéndolo en un escenario seguro para realizar transacciones. Adicionalmente, la suite ofrece
mecanismos para implementar un segundo factor de autenticación al proceso, enfocando la solución en las necesidades del mercado masivo.
La solución de AzuanTrust™ incluye:
· Aislamiento del sistema operativo para evitar ataques de malware.
· Posibilidad de mantener el aislamiento durante TODA la transacción (B2C) o solo durante el
proceso de autenticación.
· Posibilidad de identificar el dispositivo desde el cual se hace la transacción (PC, MAC, teléfono
inteligente, Tablet) o los dispositivos conectados a este y usarlos como segundo factor de autenticación.
· Habilidad para incluir un token OTP (Contraseña de único uso) de software al proceso de autenticación utilizando una aplicación basada en Java J2ME para el celular o un servicio de SMS.
· Habilidad para integrarse con soluciones de autenticación de terceros.
· Interfaz administrativa, con estadísticas completas de cada uno de los dispositivos usados para
realizar cada una de las transacciones.
Lavalle 381 piso 3º | C1047AAG | Ciudad Autónoma de Buenos Aires - ARGENTINA
Tel: (54 11) 5219-5555 | Fax: (54 11) 5199-1328 | www.zma.com.ar | [email protected]
BENEFICIOS DE LA SOLUCION AZUAN
A continuación enumeramos algunos de los beneficios que representa la solución AZUAN.
· La utilización de la suite AzuanTrust™ hace que la seguridad transaccional sea visible para los
usuarios. Al usar AzuanTrust™ los usuarios podrán ver realmente que sus sistemas operacionales
están aislados, lo que no sólo produce la sensación de seguridad, sino que además permitirá a las
entidades realizar campañas preventivas contra sitios falsos mucho más fácilmente.
· La sensación de seguridad transmitida y la portabilidad de AzuanTrust™ permitirán que las entidades incrementen rápidamente sus bases de usuarios online.
· La calidad preventiva de AzuanTrust™ reducirá dramáticamente los costos asociados a la atención
de fraudes digitales.
· Gracias a que AzuanTrust™ permite asociar dispositivos o hardware previamente en posesión de los
usuarios finales como factores adicionales de autenticación, los costos logísticos asociados a los
tokens tradicionales se verán reducidos drásticamente.
· La interfaz administrativa de AzuanTrust™ le permitirá a las entidades tener información detallada
del hardware desde el cual se realizan las transacciones, lo que facilita las labores de auditoría y
permite tener información vital para enfrentar el repudio de transacciones.
Lavalle 381 piso 3º | C1047AAG | Ciudad Autónoma de Buenos Aires - ARGENTINA
Tel: (54 11) 5219-5555 | Fax: (54 11) 5199-1328 | www.zma.com.ar | [email protected]