Los piratas informáticos, un paso por delante de los bancos

Pese a los nuevos dispositivos generadores de claves que cambian al cabo de 30 segundos y el antivirus actualizado, los piratas informáticos son a veces capaces de pasar por encima de todas las medidas de seguridad de los bancos para que sus clientes puedan operar en línea.

Atrás han quedado los tiempos en que para acceder a la cuenta bancaria bastaba con un nombre de usuario y una contraseña.

Acceder a la cuenta es una operación cada vez más compleja que hasta implica preguntas personales y sobre todo el cada vez más extendido uso de dispositivos generadores de contraseñas.

Todo para adelantarse al ingenio cada vez más agudo de los piratas, que han sido capaces de sortear todas las medidas hasta ahora inventadas.

Es más, la BBC ha sido testigo de cómo funciona un nuevo tipo de software malicioso con el que un experto informático es capaz de acceder a cuentas de clientes de un banco, hacer transferencias e incluso falsear los balances que ve el usuario para que no perciba los movimientos. 

Eso incluso si el cliente tiene su antivirus actualizado, como piden en la industria o si es usuario de los generadores de nuevas contraseñas. Ese nuevo tipo de programas se llama "el hombre en el navegador".

El ataque del "hombre en el navegador"

En la demostración presenciada por la BBC, la mayoría de los programas de seguridad no percibieron la llegada de un malware creado en un laboratorio de pruebas.

Cómo detectar la infección

• Si la transacción parece demorar más de lo normal, puede estar siendo reenviada a un sitio fraudulento.
• Si se pide más información de lo normal.
• Ralentización de la computadora.

La amenaza, no obstante, no irrumpe hasta que el usuario visita determinados sitios.

"El hombre en el navegador" (en inglés Man in the Browser, MitB) precisamente se "oculta" en el navegador del usuario y es capaz de interponerse entre el usuario y la computadora para alterar lo que se ve. 

La clave de su éxito está en que se trata de una amenaza que viene de una fuente desconocida o considerada maliciosa que se comunica con una dirección de internet que no está en la lista negra de sitios perniciosos.

Algunas versiones de MitB cambian los detalles de los pagos y las cantidades y hasta los balances que aparecen en la pantalla para pasar desapercibidos.

La petición de datos no habituales es una de las formas de detectar el nuevo tipo de fraude.

Con los dispositivos generadores de contraseñas, el avance es que el riesgo de fraude aparece sólo en una ocasión y si el usuario cae en el "ejercicio de entrenamiento" falso que le ofrece la página.

"El ataque del 'hombre en el navegador' está muy focalizado, es muy específico, una amenaza muy avanzada dirigida contra la banca", dijo Daniel Brett, experto del laboratorio S21sec.

"Muchos productos no lo detectan, pero es que tienen una perspectiva mucho mayor, tienen que defendernos de todas las amenazas existentes desde el inicio de los tiempos".

Cada vez que surge una actualización del malware, las empresas de seguridad tardan varias semanas en saber cómo detectarlos.

Contra el fraude

Las compañías de seguridad en internet responsables de los productos que fueron doblegados en la prueba alegan que esta no resulta válida porque sólo puso a prueba un lado de su protección.

Qué hacer ante sospecha

• Contactar al banco por teléfono, no por correo.
• Decir el momento en que se produjo el acceso para ver si coincide con los registros del banco.

Apuntan que continuamente buscan por sitios maliciosos para ampliar sus listas negras, así como correos y otras fuentes de software malicioso, de cara a evitar que la máquina sea infectada.

Mark Bowerman, de la organización británica Acción contra el Fraude Financiero, cree que los "bancos también emplean lo que se llama 'seguridad de segundo plano' y eso es lo que ocurre de forma subyacente para proteger a los usuarios del fraude".

"Tenemos programas de detección de fraude inteligentes que aprende a reconocer los comportamientos de los clientes. Cualquier desviación de lo normal hace que el programa dé la alarma. Puede ser el tipo de transacción o la cantidad".

La mayoría de los productos de seguridad informáticos bloquearán esas amenazas si la configuración de los ajustes de seguridad están al máximo, pero eso también detendrá muchas operaciones legítimas.

El fraude bancario en internet provoca pérdidas de docenas de millones de dólares en el Reino Unido cada año.