Como muchos otros usuarios de la banca electrónica me preocupa la seguridad que se implementa en nuestras entidades a la hora de acceder y realizar transacciones. Es por eso que considero bueno que conozcamos los ataques usados para vaciar nuestras cuentas bancarias y como evitarlos ya que, por regla general, nos preocupa mas el daño que un código malicioso nos pueda hacer al bolsillo que el que pueda hacer a nuestro sistema.
La manera tradicional para intentar engañar a un usuario consiste en enviar un correo simulando ser una entidad bancaria que nos solicita nuestras claves de acceso para realizar labores de mantenimiento. Destacaremos que estas claves JAMAS serán solicitadas por nuestro banco. Si el cliente accede al enlace que normalmente incorporan este tipo de mensajes e introduce su nombre de usuario y contraseña, el atacante dispondrá de los datos necesarios para realizar operaciones de traspaso de dinero desde la cuenta del usuario a la del atacante, a menos que se disponga de una tarjeta de coordenadas, necesaria en algunas entidades para aprobar las transacciones online.
Algunas entidades han implementado medidas de seguridad adicionales como las claves de un solo uso o el código de autorización de transacción. Ambas son medidas que se pensaba, ayudarían a mitigar el problema del Phishing, pero se ha demostrado que no son completamente efectivas, realizando los creadores de malware ataques que burlan estas medidas de protección adicionales. La primera de ellas (OTP en sus siglas en inglés) puede ser burlada mediante una web especialmente preparada que pida esa clave, a pesar de su duración limitada en el tiempo (aproximadamente unas 2 horas). En cambio, la segunda medida de protección (TAC en sus siglas en inglés) requiere de un método mas elaborado para conseguir el código.
En este ejemplo, se observa como el usuario solicita a su entidad bancaria el código necesario para realizar la transacción. El banco la aprueba y envía un código válido únicamente para esa operación al teléfono móvil del usuario. Veamos a continuación que sucede como ese código puede caer en manos no autorizadas.
1.- El usuario es engañado para acceder a un enlace especialmente preparado con el navegador de su terminal móvil. El usuario es engañado para instalar un spyware en su móvil, así como también proporcionar la información sobre su cuenta bancaria.
2.- Mas tarde, el usuario accede a la web de su banco de confianza y solicita su código TAC. El banco envía al usuario su código TAC via SMS y el atacante recibe una copia del mismo.
3.- El usuario utiliza el código recibido para efectuar una operación bancaria. Mientras tanto, el atacante usa ese mismo código TAC para transferir dinero de la cuenta del usuario a la suya.
Ante este tipo de ataques mas sofisticados, se recomienda seguir los mismos consejos que en los ataques tradicionales:
– Comprobar que se accede siempre a la página legítima de su entidad bancaria y no seguir enlaces proporcionados por terceros.
– En el caso de usar un terminal móvil para obtener este código, no perderlo nunca de vista y usar una clave PIN para protegerlo.
– Proteger nuestro sistema con un un software de seguridad actualizado.
Esperamos que estos consejos sirvan de ayuda para evitar disgustos la próxima vez que revisemos nuestra cuenta bancaria.
Josep Albors