LO QUE NECESITA SABER DE LOS FRAUDES A LA BANCA EN INTERNET: ATAQUES MÁS COMUNES

13 de agosto del 2007

· De acuerdo a cifras de la Asociación Mexicana de Internet (AMIPCI) en una encuesta realizada a 1,506 personas, el 44% de las personas no realizan banca en línea por considerar que Internet no es seguro, mientras que el 66% aseguró saber sobre las medidas de seguridad que existen para operar en Internet.
· Por cada 80 ataques de phishing en la banca en línea, se registra sólo uno de los denominados pharming (RSA).

Actualmente, aunque la mayor parte de las instituciones bancarias cuentan con servicios en Internet que permiten ahorrar tiempo en consulta de saldos o al realizar diversas transacciones, el porcentaje de cuenta habientes que prefieren hacer movimientos directamente en las sucursales es grande, debido a la inseguridad que sienten al efectuarlos en línea.

Sin embargo, ante el objetivo de orientar e impulsar el uso frecuente de la banca en línea, las instituciones financieras y las empresas de tecnología, coinciden en que la responsabilidad de la banca es garantizar movimientos seguros en línea, aunque, por supuesto, el usuario debe también ser responsable al tomar las medidas de seguridad apropiadas en el momento de realizar movimientos en Internet.

«La tendencia de las instituciones financieras en México, está encaminada a la prevención de amenazas contra ataques externos (como phishing, pharming y man in the middle) y a la modificación de sus flujos que van desde la autenticación hasta la transacción» afirmó Douglas Casas, gerente regional de RSA, División de Seguridad de EMC.

Sin olvidar los conocidos ataques de troyanos y de spyware, que al
instalarse en su equipo pueden captar todo lo que la víctima escribe en el teclado recopilando información sobre una persona u organización, es
primordial conocer cuáles son las formas de engaño más comunes:

PHISHING

«El phishing es la forma de robo de identidad electrónica más frecuente, que envía correos electrónicos, suplantando la identidad de alguna organización ó institución financiera para que el usuario deposite su confianza en un sitio apócrifo y registre sus datos y contraseñas, que sirven a los delincuentes para efectuar fraudes y robo de sus recursos financieros» indicó Douglas Casas.

A su vez el phishing tiene diversas modalidades:

• El smishing. Es un sistema basado en el envío de mensajes a móviles,
informando de la suscripción a diferentes servicios, que asegura que se descontará una cantidad diaria si se llama al número de teléfono donde se confirmará la suscripción. Así es como el número se dirige a una grabación que solicita datos para efectuar la suscripción, entre ellos, el número de cuenta bancaria.

• El vishing. Consiste en que el posible objetivo del engaño recibe por
teléfono una llamada en la que una grabación explica que existe algún
problema en el sitio y da un número al que se debe llamar para solucionarlo, solicitando los datos bancarios para cobrar dicho servicio.

Ante este tipo de amenazas, RSA ha respondido a través de los conocidos tokens o dispositivos que a través de algoritmos matemáticos generan claves dinámicas de seis dígitos, cada 60 segundos, lo que las hace únicas e impredecibles, conocidas como password de una sola vez u OTP por sus siglas en Inglés.

PHARMING

Existe otro tipo de ataques técnicamente más complejos, aunque no imposibles de hacer, como el denominado pharming. Por cada 80 ataques de phishing a la banca en línea, se registra sólo uno de pharming o envenenamiento del nombre del dominio en inglés, que consiste en crear una serie de códigos para que cuando el usuario teclee el sitio del banco, el atacante desvíe la ruta a un sitio apócrifo.

«Al respecto, RSA apoya a las instituciones bancarias a través de sus
servicios de Acción de Fraude, con los que es posible realizar un monitoreo permanente al sitio del banco para detectar posibles ataques, lo que se conoce como validación del sitio» continuó Casas.

MAN IN THE MIDDLE

El ataque del hombre de en medio, por su significado en inglés, es un tipo de ataque todavía más complejo, en el que el hacker: «Captura en tiempo real las credenciales del usuario, es decir que mientras el cuenta habiente está ingresando sus datos y contraseñas en un sitio apócrifo, el defraudador está ingresando al sitio correcto con las credenciales reales, sin que ninguna de las dos partes interesadas conozca que el enlace entre ellos ha sido violado» agregó Casas.

Adicional a los servicios de Acción de Fraude, que escanean millones de
e-mails con los principales ISP (Proveedores de Servicios de Internet) de Europa y los Estados Unidos, RSA apoya a la banca en la prevención de estos ataques, a través de la solución de Autenticación Adaptativa con la cual a través del análisis realizado por un motor que determina el alto o bajo riesgo de la transacción, es posible pedir múltiples autenticaciones (preguntas y respuestas, cancelaciones y aprobaciones de imagenes, etc.) desde el inicio hasta el término de la transacción.

«Es evidente que para detener este tipo de amenazas, es necesario considerar obligaciones legales, políticas institucionales, e incluso, cuestiones culturales. Sin embargo, a partir del uso de OTP como disposición obligatoria, los tokens, los servicios de Acción de Fraude y la solución de Autenticación Adaptativa de RSA, 14 instituciones bancarias en México han logrado ganar la confianza de los usuarios al realizar sus transacciones en la banca electrónica» concluyó Douglas Casas.

TIPS PARA NO SER SORPRENDIDO

• Nunca ingresar a ligas adjuntas en correos electrónicos de dudosa
procedencia.
• Mantener siempre actualizados el antivirus y la herramienta contra
intrusos.
• No acceder a servicios de banca electrónica en computadoras de lugares públicos como cafés internet, o centros de negocios de hoteles.
• Usar contraseñas que sean fáciles de recordar pero difíciles de adivinar.
• Nunca descargar ni bajar programas pirata o de sitios desconocidos.
• Siempre verificar que una sesión de banca electrónica, haya sido cerrada en forma adecuada.
• Asegurarse del nombre de la página a la que va a tener acceso. Si sospecha de un correo electrónico recibido en nombre de la institución bancaria, seguramente es falso.