Banca en línea, otra víctima de los hackers

Los virus informáticos siempre hacen noticia en la Web. Ataques a través de redes sociales, falsas descargas, páginas para compartir música, archivos maliciosos que se introducen en lasmemorias USB, sitios web falsos o hackeados, entre otros. Cada día se encuentra nuevas creaciones que buscan robar información de los usuarios que navegan en Internet.  

Durante el 2010, según Dmitry Bestuzhev de Kaspersky, fueron creados 1 656.000  virus destinados a robar información bancaria, es decir que buscan números de las tarjetas de crédito, datos de los servicios de pago en línea como Paypal y toda la información que representa dinero. 

Hace 3 años (2008) empezó el boom de robos cibernéticos en nuestro país. Solo entre 2009 y 2010 el crimen cibernético en Ecuador creció un 360%, casi cuatro veces más. Para el primer trimestre de 2011, el crecimiento fue continuo y aumentó un 150% en relación al año pasado. Es decir que en dos años el crecimiento será de más de 510%. A nivel mundial las perdidas ascienden a 1.500 millones de dólares entre todos los casos de delitos cibernéticos.  

 ¿Cómo opera el delito cibernético?  

En artículos anteriores habíamos mencionado al phising o suplantación de identidad, que mediante mensajes de correo electrónico redireccionan a los usuarios a páginas falsas. En esta ocasión, haremos énfasis en los ataques a través de virus informáticos que infectan al computador.  

Con una gran variedad, los virus se dividen en tres tipos: Troyan bankers que roba datos de cuentas bancarias y tarjetas de crédito; Troyan PSW roba contraseñas adicionales en páginas de pago en línea como Paypal, correos electrónicos, Facebook, etc.; y Troyan Spy que roba todo tipo de datos sin importar su utilidad.  

Dimitry Bestuzhev hizo una demostración con un Troyano desarrollado en América Latina en el año 2008, donde observamos lo fácil que es robar información bancaria de los usuarios en páginas de nuestro país. Como ejemplo se tomó a dos entidades bancarias, Banco del Pichincha y Banco de Guayaquil.  En ambos casos, ni el teclado virtual, ni el Sistema de Ingreso Biométrico, fueron suficientes para impedir que se obtenga contraseñas y datos de un usuario.  

 

CASO BANCO DE GUAYAQUIL  

En la primera imagen observamos como se ingresa el nombre de usuario y la contraseña a través del teclado virtual. Al parecer con este sistema de seguridad se evitaría que se detecte los datos ingresados. El virus trabaja en segundo plano sin modificar el funcionamiento de la máquina. 

 

 

Una vez que el usuario realiza la transacción, al otro lado del computador el virus  tomó copia de pantallas de cada movimiento y clic dado por el usuario. Así, se tiene un álbum completo con imágenes que permiten ver la información del cliente.  

  

 

CASO BANCO DEL PICHINCHA  

En el caso del Banco del Pichincha, se siguió el mismo procedimiento. Ingresamos a la banca en linea y Dimitry utilizó las palabras Pichincha Prueba como el nombre de usuario y contraseña de un cliente ficticio. En este caso, el Sistema de Ingreso Biométrico se encargaría de proteger la información pues construye un patrón personal en la forma en que el usuario ingresa los datos.  

 

 

Esta vez el mismo virus que fue utilizado no pudo tomar copia de pantallas de los clics que dio el usuario. Sin embargo, el virus capturó toda la información que se escribió en la Web como una especie de registro o lista donde consta destalles como el explorador y la contraseña (pichinchaprueba). 

Dimitry asegura que existen virus que tienen un ‘timer’, es decir un sistema interno que registra la velocidad o frecuencia con que se typea la contraseña. Así, se puede pasar fácilmente el tercer factor de autentificación del sistema biométrico, que consiste en identificar qué tan rápido el usuario introduce la contraseña.  

 

 

Después de conseguir los datos personales, el delincuente busca una mula, una persona que se presta para recibir el dinero robado en su cuenta y que se queda con un porcentaje del monto. Esta mula retira el dinero en la ventanilla y envía el resto a través de servicios como Wester Union.  

En nuestro país, el lavado de dinero bajo este sistema no está penalizado. Y a nivel mundial son varias las trabas que impiden crear verdaderas leyes para frenar el robo de dinero en línea.  

 

LA SEGURIDAD DE LA  BANCA EN LINEA  

Todos los bancos son vulnerables al delito cibernético, sin embargo algunas instituciones bancarias usan dispositivos como los Tockens, que es una llave electrónica externa como un USB, otros verifican los datos de sus usuarios por teléfono, enviando contraseñas temporales con cada transacción. O a su vez los clientes son asegurados por el banco o se les entrega licencias de antivirus a sus clientes más críticos.  

En el caso de Ecuador, algunos bancos utilizan llaves electrónicas para clientes específicos. Sin embargo, la inversión de recursos económicos les impide mejorar los sistemas de seguridad. Es fácil el enriquecimiento ilícito en el país. Según Dimitry, a pesar de los esfuerzos realizados por la banca, los mecanismos de seguridad son vulnerables y puede ser hackeados con facilidad.  

Los nuevos criminales pueden ser prácticamente cualquier persona  y no necesita ser un experto en programación. En la actualidad existen foros clandestinos donde se puede comprar el virus o intercambiar información. Incluso se puede encontrar datos en sitios como Yahoo! Respuestas.  

Ecuador no se queda atrás. Recientemente Dimitry siguió el rastro de un ecuatoriano que utilizó un virus con parte de un código que fue publicado en un foro de hackers, cambió algunas partes y comenzó a lucrar ilegalmente.  

El desconocimiento de las amenazas y las formas para proteger el equipo pone en riesgo a la población. Existen varias formas de contaminar su equipo, por ejemplo con noticias importantes colocadas en los buscados que conducen a páginas falsas. A esta acción se denomina Ingeniería social ya que utiliza la noticia del momento para propagar virus. O incluso basta con visitar una página que fue hackeada y contaminar el equipo.

Escuche las recomendaciones de Dimitry Bestuzhev y evite que su información personal sea robada.