Los bancos invierten grandes cantidades de dinero y tiempo para que sus usuarios operen en línea con seguridad. Pero los piratas informáticos son cada vez más listos.
Pese a los nuevos dispositivos generadores de
claves que cambian al cabo de 30 segundos y el antivirus actualizado, los
piratas informáticos son a veces capaces de pasar por encima de todas las
medidas de seguridad de los bancos para que sus clientes puedan operar en
línea.
Atrás han quedado los tiempos en que para acceder a la cuenta bancaria bastaba
con un nombre de usuario y una contraseña.
Acceder a la cuenta es una operación cada vez
más compleja que hasta implica preguntas personales y sobre todo el cada vez
más extendido uso de dispositivos generadores de contraseñas.
Todo para adelantarse al ingenio cada vez más agudo de los piratas, que han
sido capaces de sortear todas las medidas hasta ahora inventadas.
Es más, la BBC ha sido testigo de cómo funciona un nuevo tipo de software
malicioso con el que un experto informático es capaz de acceder a cuentas de
clientes de un banco, hacer transferencias e incluso falsear los balances que
ve el usuario para que no perciba los movimientos.
Eso incluso si el cliente tiene su antivirus actualizado, como piden en la
industria o si es usuario de los generadores de nuevas contraseñas. Ese nuevo
tipo de programas se llama "el hombre en el navegador".
El ataque del
"hombre en el navegador"
En la demostración presenciada por la BBC, la mayoría de los programas de
seguridad no percibieron la llegada de un malware creado en un laboratorio de
pruebas.
La amenaza, no obstante, no irrumpe hasta que el usuario visita determinados
sitios.
"El hombre en el navegador" (en inglés Man in the Browser, MitB)
precisamente se "oculta" en el navegador del usuario y es capaz de
interponerse entre el usuario y la computadora para alterar lo que se ve.
La clave de su éxito está en que se trata de una amenaza que viene de una
fuente desconocida o considerada maliciosa que se comunica con una dirección de
internet que no está en la lista negra de sitios perniciosos.
Algunas versiones de MitB cambian los detalles de los pagos y las cantidades y
hasta los balances que aparecen en la pantalla para pasar desapercibidos.
Con los dispositivos generadores de contraseñas, el avance es que el riesgo de
fraude aparece sólo en una ocasión y si el usuario cae en el "ejercicio de
entrenamiento" falso que le ofrece la página.
"El ataque del 'hombre en el navegador' está muy focalizado, es muy
específico, una amenaza muy avanzada dirigida contra la banca", dijo
Daniel Brett, experto del laboratorio S21sec.
"Muchos productos no lo detectan, pero es que tienen una perspectiva mucho
mayor, tienen que defendernos de todas las amenazas existentes desde el inicio
de los tiempos".
Cada vez que surge una actualización del malware, las empresas de seguridad
tardan varias semanas en saber cómo detectarlos.
Contra el fraude
Las compañías de seguridad en internet responsables de los productos que fueron
doblegados en la prueba alegan que esta no resulta válida porque sólo puso a
prueba un lado de su protección.
Apuntan que continuamente buscan por sitios maliciosos para ampliar sus listas
negras, así como correos y otras fuentes de software malicioso, de cara a
evitar que la máquina sea infectada.
Mark Bowerman, de la organización británica Acción contra el Fraude Financiero,
cree que los "bancos también emplean lo que se llama 'seguridad de segundo
plano' y eso es lo que ocurre de forma subyacente para proteger a los usuarios
del fraude".
"Tenemos programas de detección de fraude inteligentes que aprenden a
reconocer los comportamientos de los clientes. Cualquier desviación de lo normal
hace que el programa dé la alarma. Puede ser el tipo de transacción o la
cantidad".
La mayoría de los productos de seguridad informáticos bloquearán esas amenazas
si la configuración de los ajustes de seguridad están al máximo, pero eso
también detendrá muchas operaciones legítimas.
El fraude bancario en internet provoca pérdidas de docenas de millones de
dólares en el Reino Unido cada año.