Troyanos bancarios.
La seguridad de los bancos en Internet en entredicho.

    Mucho se habla de la seguridad de los bancos en Internet. Los medios de comunicación y las propias entidades bancarias no paran de repetirnos que las operaciones online son seguras, pero ¿realmente es así?. ¿podemos confiar en que nuestras claves de acceso y operaciones no son espiadas?. La respuesta es NO.

    Cada día nos despertamos con nuevas amenazas, y es que los "chicos malos" van por delante. Actualmente la amenaza más peligrosa son los troyanos bancarios, que explicaremos a continuación, y con toda seguridad surgiran nuevos ataques. 

    Entre los ataques más habituales podemos encontrar:

• Phishing, que consite en suplantar la identidad del banco a través de correos electronicos para conseguir que el usuario desvele sus claves. La siguiente imagen muestra un clasico mail de phishing.

[Ampliar Imagen]

• KeyLoggers o capturadores de teclado, son "gusanos" o "troyanos" que registran la información que introducimos a través del teclado y la envian al atacante. Este ataque supera la encriptación de datos por https, ya que dicha encriptación se produce cuando la información es enviada a través de la red, y no mientras tecleamos los datos. Todas la entidades bancarias se han apresurado a incluir "teclados virtuales" para evitar este tipo de virus, un método que consiste en presentar un teclado en pantalla y forzar al usuario a "teclear" las claves a través del ratón.

[Ampliar Imagen]

• Troyanos bancarios. Sin duda el mas peligroso de todos, ya que aún no existe solución. Es la evolución de los keyloggers, y tienen la capacidad de generar un video con las acciones que realizamos cuando accedemos al banco , con lo que se "ve" perfectamente los datos que introducimos con los teclados virtuales. Para minimizar el tamaño del video, solo se graba una sección de la pantalla y en determinadas páginas, los bancos. El siguiente enlace muestra un video de estos troyanos en acción:
  • http://www.hispasec.com/laboratorio/troyano_video.htm
• Existe una segunda variante de los troyannos bancarios que consiguen injectar código html en la información que procesa el navegador, y solicitar datos como la firma digital en la propia página del banco. Para muestra un botón: http://www.hispasec.com/directorio/laboratorio/phishing/demo3/troyano_banesto.htm

    En los siguientes enlaces podemos acceder a un analisis detallado de los troyanos bancarios:

•  http://www.hispasec.com/laboratorio/troyano_bancario_captura_video.pdf.
• http://blog.hispasec.com/laboratorio/135

    Tampoco queremos ser alarmistas, los bancos en Internet son "relativamente" seguros. La seguridad del lado del servidor esta garantizada y las comunicaciones son seguras gracias a la encriptación de datos. Pero el problema no radica en los servidores del banco ni en las lineas de comunicación, el problema está en nuestros propios equipos. Para ser vulnerables a este tipo de ataques debemos estar "infectados", que el programa este en ejecución y que no sea detectado por el antivirus. Esto úlitmo no es demasiado dificil, ya que dado su rápida propagación hace muy dificil incluirlos todos en los archivos de firmas, y también son muy dificiles de detectar con técnicas de heuristica).

    Estos troyanos se instalan en el sistema principalmente a través de fallos en los navegadores web, y aquí Internet Explorer se lleva el premio gordo (pero no caigamos en el error de pensar que con Opera o FireFox estamos a salvo). Tambien circulan a sus anchas en las redes P2P y en correos electronicos disfrazados de "videos subiditos de tono". En sistemas operativos basados de LINUX-UNIX el riesgo es mucho menor, ya que para que el troyano pueda ejecutarse como "daemon" debemos concederle permisos de ejecución explicitamente.

    Los troyanos bancarios no son una amenaza nueva, se conocen desde hace varios meses, pero la ausencia de una solución real al problema hace que los intereses económicos de las entidades bancarias fuercen un silencio casi sepulcral sobre el tema en casi todos los medios de comunicación, siendo las noticias al respecto bastante escasas.

    Algunas entidades bancarias aportan una solución parcial a este problema (¡No se trata de una solución definitiva, ya hemos dicho que no existe!) Consiste en solicitar al usuario a través de un teclado virtual sólo "parte" de sus firma digital, en concreto tres números de los seis que la componen, por lo que aunque el atacante tenga un video solo dispone de la mitad de la clave. Cuando accedemos nuevamente a este banco los tres dígitos solicitados cambian, por lo que el atacante necesitará de varios videos para poder acceder a nuestra cuenta.

 

[Ampliar Imagen]

 

    Otra solución (también parcial) al problema se basa en la tarjetas de coordenadas que algunas entidades bancarias proporcionan a sus clientes, con lo que la cantidad de información a la que debe tener acceso el atacante es mucho mayor. Lamenteblemente, estas tarjetas de coordenadas suponenen una "molestia" para el usuario, por lo que muchas entidades no las usan en su afan de promocionar la banca online como algo fácil y seguro.

    En definitiva, no debemos renunciar a la comodidad de la banca online, es "relativamente" segura, pero tampoco podemos bajar la guardia y debemos extremar las precauciones cuando realicemos operaciones que impliquen el uso de la firma digital.

    Ninguna de las entidades bancarias citadas en este artículo es más o menos segura que otra, todas ellas demuestran una preocupación extrema por la seguridad y son mencionadas en este artículo únicamente para ilustrar las técnicas empleadas en los ataques bancarios. No es el objetivo de este artículo señalar una u otra entidad como mas o menos segura, sino llamar la atención sobre el hecho de que el punto débil de la seguridad está en nuestros propios equipos.

    Saludos, DJK.