Los bancos y sistemas de pago invierten un montón de dinero en mejorar la seguridad de sus clientes, pero esto, por sí mismo no es garantía de que el usuario pueda sentirse completamente tranquilo. Nuestro ordenador o dispositivo debe estar correctamente asgurado contra el robo de información personal y de sistemas de banca y comercio electrónico. Para enfrentarnos a troyanos y otro tipo de malware debemos asegurarnos de que el navegador está libre de código malicioso, protegernos de sistemas de captación de pulsaciones de teclado (keyloggers) y usar un buen antivirus para rechazar instrusiones en el sistema o red personales. Aún así, incluso una protección antivirus es suficiente en sí misma sino que necesitamos asegurarnos de la legitimidad de un recurso web (sitios web de bancos, tiendas online, etc) y garantizar que nuestra conexión es privada con ellos.
Ninguna transacción financiera se considera segura si no se tienen en cuenta tres componentes clave:
1. El dispositivo desde el cual accedemos
Un antivirus protege al sistema "como un todo" frente a programas maliciosos; un componente dedicado del antivirus (en las versiones premium) protege el navegador usado para acceso a este tipo de servicios.
El antivirus emplea una variedad de mecanismos de protección para dificultar o imposibilitar que código arbitrario o malicioso generado por un atacante penetre en el sistema, se inicie e instale en el equipo. Estos mecanismos de protección funcionan en todas las etapas de comunicación de una operación bancaria.
Si una aplicación maliciosa consigue entrar en el sistema, la principal labor de un buen antivirus es la protección o aislamiento de los datos personales. Para esto, el antivirus debe monitorizar constantemente los procesos del navegador e impedir que sean manipulados. Un recomendable sistema de protección adicional es la función "teclado virtual" que permite al usuario introducir datos como números de tarjeta u otros datos con seguridad, incluso aunque el sistema esté siendo monitorizado de alguna forma.
2. El canal de comunicación entre el cliente y el servidor
Una conexión segura previene que la sesión mantenida entre el cliente y el servidor sea "escuchada" o espiada. El canal de comunicación se asegura mediante protocolos especiales de navegación (TLS/SSL) que garantizan que los datos enviados/recibidos están encriptados con un algoritmo seguro. Además, el sitio web destino debe poseer un certificado válido que acredite que este es quien dice ser.
Los sitios web bancarios y de métodos de pago obtienen certificados digitales que son emitidos por Autoridades de Certificación. De esta forma, demuestran su legitimidad.
Los sitios web manipulados no poseen certificados válidos, o emplean algunos falsos. Sin embargo, una situación más compleja podría darse. Por ejemplo, un troyano que haya conseguido introducirse en el equipo podría modificar el archivo HOSTS y llevar al usuario a una réplica más o menos exacta del site original. Ese mismo troyano podría, además, instalar un nuevo certificado ráiz en el ordenador, que sería capaz de simular la validez del otorgado a la página web manipulada cuando el navegador le "pida credenciales". Así, los cibercriminales serían capaces de descifrar todos los datos que se envíen entre el navegador y el sitio web fraudulento.
La solución antivirus debe comprobar independientemente la autenticidad del certificado de seguridad de la web, por su cuenta, en lugar de basarse en los datos arrojados por el navegador y el sistema operativo. Si el certificado no es válido (por ejemplo, está caducado) el usuario recibirá un aviso de seguridad.
3. El sitio web de la organización
Los cibercriminales personalizan sus sitios web para que se parezcan -y mucho- a las páginas oficiales de bancos y sistemas de pago electrónicos. Por ahora, el único método de saber si un certificado es legítimo es introducir correcta y manualmente la url de la web. Si accedemos a la página de nuestro banco a través de un enlace falso desde un email que ejecuta un ataque "phishing" (basado en el engaño), o si accedemos desde una red social o un buscador de internet, entonces los componentes anti-phishing del antivirus deben intervenir. Por lo general, estos enlaces son comprobados frente a una "lista negra" de sitios web maliciosos. Si el usuario intenta acceder a una web ilegítima, recibirá (por lo general) un aviso. Para evitar ser engañados por estas maniobras es recomendable acceder mediante la lista apropiada facilitada por el producto antivirus en cuestión.
Por último pero no menos importante, es indispensable un alto nivel de auto-protección incluído en una solución de seguridad de calidad. Uno de los primeros pasos que intentan llevar a cabo muchas muestras de malware es la desarticulación del propio antivirus, lógico.
Escenarios seguros en transacciones
Veamos ahora como se asegura una transacción mediante "Safe Money" de Kaspersky.
1. Una protección antivirus previene que el malware se instale en el equipo. En particular, la solución de seguridad comprueba tanto las aplicaciones como el sistema operativo en busca de vulnerabilidades. Si el usuario no actualiza regularmente el sistema, o si hay vulnerabilidades en el sistema que han sido cerradas por el desarrollador, la solución de seguridad avisa del posible peligro y nos invita a actualizar el software vulnerable.
2. Si introducimos manualmente la URL o seguimos enlaces desde redes sociales o emails dudosos, el módulo anti-phishing comprueba la dirección con su base de datos de urls sospechosas. Si encuentra coincidencia, nos alertará.
3. Como ha encontrado una coincidencia, además de emitir la alarma el producto de Kaspersky nos permite abrir el sitio web que nos interesa de una forma 100% segura.
3. El antivirus comprueba el certificado empleado para establecer una conexión segura. Una solicitud es enviada hacia el sistema de validación basado en la nube.
4. Si no se puede determinar el origen del certificado o este no es válido, recibiremos una notificación indicando que no es posible establecer la conexión. Safe Money detalla por qué la conexión no es de confianza. Notese que, al mismo tiempo, este certificado si ha sido validado por el navegador en cuestión.
En caso de que el certificado sea de confianza, se procederá a establecer la conexión cifrada con la entidad.
5. Es más seguro emplear la lista de Bancos situada en la solución de Seguridad para abrir páginas que requieran autenticación para bancos online o sistemas de pago.
En este caso, habiendo establecido una conexión segura, la página web legítima del banco es abierta inmediatamente en una ventana del navegador seguro de Kaspersky.
6. Con el Modo Safe Money activo, el antivirus nos asegura (mediante un driver específicamente diseñado para ello) que los atacantes no podrán interferir en esta sesión.
Así es como una sesión de banca o compra online puede ser protegida mediante una solución antivirus avanzada, empleando su proceso de navegador seguro y/o su método de entrada de datos segura en periféricos. La autenticidad de un sitio web bancario en validada comprobando los enlaces y su certificado digital.
La efectividad de este concepto de protección ha sido validada por laboratorios de análisis .
Palabras finales
Los bancos, sistemas de pago y otras organizaciones financieras invierten mucho esfuerzo en mejorar sus infraestructuras y clientes del cibercrimen. Sin embargo, los cibercriminales siguen desarrollando malware, inventando constantemente nuevas vías de colarse y lucrarse a nuestra costa. El cibercrimen ofrece más dinero a las bandas organizadas que cualquier otro negocio fraudulento tradicional. Otra estadística, igual de alarmante, indica que el valor en millones de Euros generado en ganancias por el cibercrimen supera en más de DOS VECES al montante total de todas actividades comerciales llevadas a cabo en línea.
En la etapa en que nos encontramos, nuestra mejor solución es un producto antivirus solvente, una solución dedicada que puede alertarnos del peligro, prevenir la infección a tiempo y no dejar un hueco en el sistema para un nuevo troyano bancario.
No han pasado ni 3 semanas desde la aparición de Android 4.4.3, cuando Google ya ha anunciado una nueva versión -Android 4.4.4.- para Kit Kat, que corrige una importante vulnerabilidad en la librería criptográfica OpenSSL. Google ya ha mandado imágenes de la nueva versión 25/06/2014
Hace poco estuvimos comentando algunos modelos de scam o timos electrónicos, que tenían como telón de fondo la Copa del Mundo de Brasil 2014. A pesar del desgraciado regreso de nuestra selección, muchos de vosotros quizá estéis interesados en seguir el resto de partidos 24/06/2014
Un 23% de empresas han sufrido pérdidas de información confidencial. Symantec ha puesto a nuestra disposición, un año más, su informe Insider sobre amenazas y costumbres de seguridad en las empresas, correspondiente a 2014 24/06/2014
Una joven chica de habla portuguesa (o quizá Brasileña) llamada Soraia Costa, se puso en contacto con un experto en seguridad cuyo nombre es Graham Cluley. El mensaje comenzaba con una foto "picante" de la chica, seguida de unas líneas de texto 20/06/2014
G Data ha descubierto un peligroso malware incrustado en el firmware de dispositivo de un teléfono Android. Se trata de un terminal de fabricación china y de bajo coste 19/06/2014
