Con millones de usuarios siendo víctimas de amenazas y robos cada vez más sofisticados, se necesita toda la protección que se pueda conseguir.
El 2004 y 2005 no fue un buen año para los fanáticos de la banca en línea.
Primero, se estima que en 2004, 2 millones de personas alrededor del mundo sufrieron algún tipo de ataque a su cuenta de cheques, con fuertes indicadores de que intrusos en línea fueron los responsables de la mayoría de las incursiones. La firma de investigación que condujo este estudio, Gartner, mencionó que la amenaza a cuentas bancarias mediante el fraude financiero ha tenido un rápido crecimiento, afectando a clientes. Segundo, también creció la amenaza a las tarjetas de crédito (la cual afectó a cerca de 6 millones de personas en los pasados 12 meses).
El US-CERT y UNAM-CERT advirtieron de una nueva amenaza en Internet que puede ejecutar un ataque a sistemas de cómputo, permitiendo a ladrones obtener números de cuenta, contraseñas o cualquier otra información financiera privada.
Si no ha escuchado sobre estas recientes amenazas, debería obtener información al respecto; intrusos de todo el mundo están ingresando a servidores Web de compañías que se han confiado, colocando en ellos código malicioso, el US-CERT y el UNAM-CERT no revelan qué compañías, pero confirman que no se trata únicamente de pequeños sitios o de compañías desconocidas. Los clientes que visitaron estos sitios confiables fueron secretamente redirigidos a otro servidor Web que residía en Rusia. El sitio Web descargaba software clandestinamente a la computadora de la víctima, el software permite a los intrusos copiar números de cuentas bancarias, contraseñas o cualquier otra información financiera privada.
Esto significa, que no es necesario hacer clic en la liga de algún correo electrónico que haya recibido, abrir un archivo adjunto o visitar un sitio Web sospechoso, para ser infectado. Antes de que se dé cuenta, los intrusos tienen todo lo que necesitan para saber cómo robarlo.
El US-CERT y el UNAM-CERT junto con otros expertos en seguridad creen que han detectado el esquemas a tiempo para prevenir un ataque a gran escala, pero no hay una garantía de que los grupos criminales no atacarán nuevamente. Los ladrones explotan huecos de seguridad en Internet Explorer y software de Microsoft que se ejecuta en grandes servidores de Internet.
Las instituciones financieras tienen parte de la culpa, por exponer a sus clientes a fraudes. Los bancos no utilizan el mismo tipo de software de detección de fraudes, el cual es utilizado en la verificación de transacciones de cuentas de tarjetas de crédito para detectar compras sospechosas, de acuerdo con Avivan Litan, vicepresidente y directora de investigación de Gartner.
Los bancos, portales con pagos en línea y otros sitios financieros también podrían identificar las contraseñas robadas y hacerlas inutilizables, de acuerdo con Litan, si pudieran adoptar la tecnología denominada secretos compartidos. El cliente podría registrar el "ID de equipo" de su computadora con el banco por lo que los intrusos no podrían utilizar otra computadora para pretender ser el cliente; el cliente podría escoger alguna fotografía o pregunta con respuesta fija que pudiera aparecer cada vez que el cliente se registre en el sitio de la institución financiera.
Esto podría hacer a la banca y los pagos en línea menos convenientes, ya que el cliente no puede utilizar cualquier computadora antigua para ingresar a su cuenta. Considere el riesgo de utilizar computadoras públicas o compartidas para transacciones financieras en línea, esto es es algo que no debe hacerse bajo ninguna circunstancia.
El interés de Litan en verificar los fraudes a cuentas es más que académico, por un lado, también ha sido víctima, y conoce bien los daños que dicha amenaza puede causar.
Al igual que muchas otras personas, no está exactamente segura de cómo fue comprometida su cuenta, pero sospecha que fue en una ocasión que utilizó una tarjeta de crédito para comprar algo en línea. El intruso utilizó su información para crear una cuenta en PayPal y se colocó como beneficiario.
El intruso toma una pequeña suma de dinero para comenzar, solo para probar cuenta y para ver si el robo puede ser detectado. Litan detectó del pago no autorizado inmediatamente, pero todavía tuvo que pasar tiempo tratando de convencer a PayPal para que diera de baja la cuenta apócrifa. Finalmente, utilizó uno de sus contactos profesionales en la compañía para intervenir con el departamento de servicio a clientes.
¿Cómo acceden los ladrones a su cuenta de cheques-
De hecho, existen muchas formas para que los intrusos tengan acceso a su cuenta de cheques estando fuera de línea. A continuación se mencionan algunas:
Pero se tiene evidencia circunstancial de que los intrusos están volviéndose más experimentados al momento de obtener cuentas en línea y esto podría afectar a cualquiera que utilice la banca en línea.
Se considera que cerca de un 45% de los adultos con acceso a Internet utiliza el servicio web de transacciones bancarias o compras en línea. Entre las cuentas de cheques que han sido atacadas, 70% fueron de usuarios de banca en línea, de acuerdo con Gartner.
¿Qué hacer para protegernos mientras esperamos mejoras de seguridad-
El crecimiento de cuentas de cheques interceptadas también corresponde con el crecimiento del phishing, correos electrónicos que pretenden ser de una institución financiera pero que dirigen al usuario a un sitio Web falso que recolecta sus números de cuenta y contraseñas.
Un estudio de Gartner, realizado en mayo de 2004, encontró que el 92% de los ataques de phishing conocidos ocurrieron en los primeros 12 meses. Un 76% de ellos ocurrieron desde octubre del 2003. Cerca del 5% de las víctimas que Gartner encuestó admitió haber proporcionado información sensible sobre su cuenta en respuesta a un correo electrónico de phishing y Gartner piensa que el porcentaje de víctimas engañadas por esta estafa es probablemente mayor.
Lo cual nos lleva al eslabón más débil de la cadena de la seguridad: el usuario final.
Hay mucho todavía por hacer para protegerse mientras aparecen mejores soluciones de seguridad, por ejemplo:
Usted puede, por supuesto, ocuparse del problema simplemente no depositando o pagando cuentas en línea. Pero, como lo mencionamos antes, esto no elimina las vulnerabilidades de las personas deshonestas internas o intrusos que acceden a la base de datos del banco.
Algunos ladrones son capaces de observar impresiones electrónicas de cheques en papel de sus víctimas y crear cheques falsos de esta manera.
Tips de seguridad fuera de línea.
Puede reducir los riesgos fuera de línea al seguir los siguientes pasos:
Este documento se actualizara periódicamente conforme el UNAM-CERT reciba información sobre nuevos métodos y técnicas de ataque a la banca en línea.
La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración y revisión de este documento a:
Para mayor información acerca de este documento contactar a:
UNAM-CERT: Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
Dirección General de Cómputo y Tecnologías de Información y Comunicación
Universidad Nacional Autónoma de México
E-Mail: seguridad@seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 43
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT