El 2004 y 2005 no fue un buen año para los fanáticos de la banca en línea.
Primero, se estima que el año pasado en el mundo 2 millones de personas sufrieron algún tipo de ataque a su cuenta de cheques, con fuertes indicadores de que intrusos en línea fueron los responsables de la mayoría de las incursiones. La firma de investigación que condujo este estudio, Gartner, mencionó que la amenaza a cuentas bancarias mediante el fraude financiero ha tenido un rápido crecimiento, afectando a clientes. Segundo, también creció la amenaza a las tarjetas de crédito (la cual afectó a cerca de 6 millones de personas en los pasados 12 meses).
El US-CERT y UNAM-CERT advirtieron de una nueva amenaza en Internet que puede ejecutar un ataque a sistemas de cómputo, permitiendo a ladrones obtener números de cuenta, contraseñas o cualquier otra información financiera privada.
Si no se ha escuchado sobre estas amenazas recientes, debería obtener información al respecto; los intrusos están ingresando en todo el mundo a servidores Web de compañías que se han confiado y están colocando en ellos código malicioso, el US-CERT y el UNAM-CERT no revelan que compañías, pero confirman que no se trata únicamente de pequeños sitios o de compañías desconocidas. Los clientes que visitaron estos sitios confiables fueron secretamente redirigidos a otro servidor Web que residía en Rusia. El sitio Web descargaba software clandestinamente a la computadora de la víctima, el software permite a los intrusos copiar números de cuentas bancarias, contraseñas o cualquier otra información financiera privada.
Esto significa, que no es necesario hacer clic en la liga de algún correo electrónico que haya recibido, abrir un archivo adjunto o visitar un sitio Web sospechoso, para ser infectado. Antes de que se de cuenta, los intrusos tienen todo lo que necesitan para saber como robarlo.
El US-CERT y el UNAM-CERT junto con otros expertos en seguridad creen que han detectado el esquemas a tiempo para prevenir un ataque a gran escala, pero no hay una garantía de que los grupos criminales no atacarán nuevamente. Los ladrones explotan huecos de seguridad en Internet Explorer y software de Microsoft que se ejecuta en grandes servidores de Internet.
Las instituciones financieras tienen parte de la culpa, por exponer a sus clientes a fraudes. Los bancos no utilizan el mismo tipo de software de detección de fraudes, el cual es utilizado en la verificación de transacciones de cuentas de tarjetas de crédito para detectar compras sospechosas, de acuerdo con Avivan Litan, vicepresidente y directora de investigación de Gartner.
Los bancos, portales con pagos en línea y otros sitios financieros también podrían identificar las contraseñas robadas y hacerlas inutilizables, de acuerdo con Litan, si pudieran adoptar la tecnología denominada secretos compartidos. El cliente podría registrar el "ID de equipo" de su computadora con el banco por lo que los intrusos no podrían utilizar otra computadora para pretender ser el cliente; el cliente podría escoger alguna fotografía o pregunta con respuesta fija que pudiera aparecer cada vez que el cliente se registre en el sitio de la institución financiera.
Esto podría hacer a la banca y los pagos en línea menos convenientes, ya que el cliente no puede utilizar cualquier computadora antigua para registrase a su cuenta. Considere el riesgo de utilizar computadoras públicas o compartidas para transacciones financieras en línea, esto es es algo que no debe hacer de ningún modo.
El interés de Litan en verificar los fraudes a cuentas es más que académico, por un lado, también ha sido víctima, y conoce bien los daños que dicha amenaza puede causar.
Al igual que muchas otras personas, no está exactamente segura de cómo fue comprometida su cuenta, pero sospecha que fue en una ocasión que utilizó una tarjeta de crédito para comprar algo en línea. El intruso utilizó su información para crear una cuenta en PayPal y se colocó como beneficiario.
El intruso toma una pequeña suma de dinero para comenzar, solo para probar cuenta y para ver si el robo puede ser detectado. Litan detectó del pago no autorizado inmediatamente, pero todavía tuvo que pasar tiempo tratando de convencer a PayPal para que diera de baja la cuenta apócrifa. Finalmente utilizó uno de sus contactos profesionales en la compañía para intervenir con el departamento de servicio a clientes.
¿Cómo acceden los ladrones a su cuenta de cheques?
De hecho, existen muchas formas para que los intrusos tengan acceso a su cuenta de cheques estando fuera de línea. A continuación se mencionan algunas:
Los intrusos pueden irrumpir en su correspondencia, obtener algún cheque que haya escrito, mojar y calcar la tinta con quitaesmalte de uñas y crear cheques a su nombre.
Pueden robar su cartera y utilizar su ATM; particularmente si escribió el PIN en su tarjeta (un gran error, pero la gente continúa haciéndolo).
Pueden colocar máquinas ATM falsas (cajeros automáticos), dispositivos que se colocan sobre los ATMs legítimos, después guardan la información de la cinta magnética junto con su PIN.
También existe la posibilidad de un trabajador interno: un empleado del banco con acceso a todos sus números de cuenta, identificadores de usuario y contraseñas que simplemente decide iniciarse en una carrera delictiva.
Pero se tiene evidencia circunstancial de que los intrusos se están volviendo más experimentados al momento de obtener cuentas en línea y esto podría afectar a cualquiera que utilice la banca en línea.
Se considera que cerca de un 45% de los adultos con acceso a Internet utiliza el servicio de Web para realizar transacciones bancarias o compras en línea. Entre las cuentas de cheques que han sido atacadas, 70% fueron de usuarios de banca en línea, de acuerdo con Gartner.
¿Qué hacer para protegernos mientras esperamos mejoras de seguridad?
El crecimiento de cuentas de cheques interceptadas también corresponde con el crecimiento del phishing, correos electrónicos que pretenden ser de una institución financiera pero que dirigen al usuario a un sitio Web falso que recolecta sus números de cuenta y contraseñas.
Un estudio de Gartner realizado en Mayo encontró que el 92% de los ataques de phishing conocidos han ocurrido en los primeros 12 meses, con un 76% de ellos ocurridos desde Octubre del 2003. Cerca del 5% de las víctimas que Gartner encuestó admitió haber proporcionado información sensible sobre su cuenta en respuesta a un correo electrónico de phishing y Gartner piensa que el porcentaje de víctimas engañadas por este scam es probablemente mayor.
Lo cual nos lleva al eslabón más débil de la cadena de la seguridad: el usuario final.
Hay mucho que todavía se puede hacer para protegerse mientras se esperan mejores soluciones de seguridad, por ejemplo:
No se exponga. Nunca utilice computadoras públicas ó Hot Spots inalámbricos para transacciones financieras, mucho menos si es un hot spot público localizado en algún restaurante u hotel, y si lo hace por este medio, asegúrese de utilizar un protocolo más confiable como WPA. Procure no utilizar hot spots con WEP o sin autenticación.
Aumente su seguridad. Si utiliza Internet Explorer, Microsoft recomienda establecer el nivel de seguridad en su navegador de Internet a alto (Encontrará esto bajo el menú Herramientas; hacer clic en Opciones de Internet y seleccionar la pestaña Seguridad; después seleccione Zona de Internet). Esto puede impedir que algunos sitios Web trabajen correctamente, pero puede crear excepciones para los sitios de confianza. Para más detalles consulte el artículo Internet Explorer 6 Security and Privacy Essentials.
Instale una herramienta antiphishing. Puede instalar la herramienta Anti-Phishing Toolbar que le ayudará a identificar posibles sitios con phishing. Puede descargarla en http://toolbar.netcraft.com
Utilice la tarjeta de crédito para compras en línea. Técnicamente, las tarjetas de débito con el logo de Visa o MasterCard ofrecen la misma cobertura de no-confiabilidad por fraude, como lo hacen las tarjetas de crédito, pero tiene que esperar varios días para que el banco restaure su dinero en la cuenta. Es mejor contar con una organización reconocida que resguarde sus transacciones electrónicas, como una compañía de tarjetas de crédito entre el ladrón y su cuenta de cheques.
No hacer clic en ligas desconocidas. Probablemente ya conoce como identificar correos electrónicos conteniendo spam o que no se deben descargar archivos adjuntos de fuentes desconocidas. Pero las ligas de correo electrónico en mensajes instantáneos, mensajes en sitios Web y Chats IRCs, también pueden ser maliciosas. Si una institución financiera le envía un correo electrónico relacionado con un problema urgente u otro problema relacionado con su cuenta, utilice el número telefónico impreso en su contrato para responderle.
Bloquee las ventanas de mensajes emergentes (Pop-Ups). Además de ser increíblemente molestas, las pop-ups puede ser utilizadas para instalar software de los intrusos en su computadora. Muchos proveedores de Internet ahora cuentan con software que bloquea pop-ups o puede obtener alguno desde sitios como Panicware.com
Compruebe los certificados. Al conectarse a su banca electrónica, asegúrese de verificar la validez de los certificados SSL que se utilizan para el envió de información, no acepte ningún certificado que no provenga de una entidad certificadora válida.
Mantenga la vista fija. El realizar una conexión con el sitio Web de su banco revise en la parte inferior izquierda la URL a la cual esta siendo dirigido, no realice ninguna transacción sino sabe adonde ha sido dirigido.
Realizar un monitoreo constante. Necesita ser cuidadoso al observar sus transacciones y pagos bancarios. No asuma que un cargo de $40 solo es una transferencia o pago del cual no se acuerda; este podría ser un scammer probando si el fraude pasó inadvertido. Con los sistemas de pago, debe revisar el histórico de pagos, así como revisar cada uno de los pagos a fin de que no exista ninguna transacción no autorizada. Es mejor reportar rápidamente el robo; después de 60 días el banco podría no estar bajo la obligación legal de proporcionar la devolución del dinero.
Manténgase actualizado. Ejecute la herramienta Windows Update para obtener las últimas actualizaciones de seguridad. Si utiliza Internet Explorer y ha incrementado el nivel de seguridad a alto, necesitará seguir las instrucciones en el artículo Problems when viewing or downloading from Windows Update para que la actualización trabaje apropiadamente. Puede apoyarse en tutorial del UNAM-CERT Métodos y Herramientas de Actualización.
Establezca alguna variedad. No utilice el mismo usuario y contraseña en diferentes instituciones financieras. Si se le pide crear una pregunta y una respuesta de seguridad, no utilice alguna que sea relativamente fácil de descubrir, como el nombre de algún familiar.
Instale, administre y actualice un firewall personal. Instale un Firewall personal que le ayude a protegerse de conexiones no autorizadas. Puede apoyarse en el tutorial del UNAM-CERT Firewalls Personales.
Instale, administre y actualice un software antivirus. Mantenga su software antivirus actualizado y ejecute frecuentemente un escaneo completo de su computadora. Puede apoyarse en el tutorial del UNAM-CERT Sofware antivirus.
Evite el Spywire. Instale aplicaciones AntiSpyware para evitar que sus actividades sean monitoreadas. Puede apoyarse en el tutorial del UNAM-CERT Instalación y configuración de Microsoft AntiSpyware o instale buscadores de Spywire como: Spybot Search & Destroy, Ad-Aware, Spy Sweeper y PestPatrol.
Mejore las funcionalidades de su sistema Operativo. Instale el Service Pack y las actualizaciones de seguridad más recientes, si utiliza Windows XP puede apoyarse en el tutorial del UNAM-CERT Instalación y configuración del Service Pack 2 de Windows XP y el FAQ Service Pack 2 para Windows XP.
Aplique buenas practicas de seguridad. Conozca el software que puede ponerlo en riesgo a través de la lectura del tutorial del UNAM-CERT ¿Qué software puede poner en riesgo mi equipo? y también puede apoyarse en tutorial del UNAM-CERT Buenas prácticas de seguridad.
Utilice un navegador de Internet alterno. Considere el cambio de navegador de Web de Internet Explorer a Firefox debido a las distintas vulnerabilidades que presenta.
Cambie su contraseña regularmente. Es recomendable que cambie regularmente las constraseñas de sus equipos y la que utiliza para iniciar sesión a través de banca electrónica. Establezca una contraseña robusta, compuesta de números, letras mayúsculas y minúsculas, caracteres especiales y símbolos de puntuación.
Realice las operaciones importantes sin conexión a Internet. Si es posible, almacene la información sensible en computadoras desconectadas de Internet, esto evitará que se presente un riesgo de seguridad más alto.
Usted puede, por supuesto, ocuparse del problema simplemente no depositando o pagando cuentas en línea. Pero, como lo mencionamos antes, esto no elimina las vulnerabilidades de las personas deshonestas internas o intrusos que accedan a la base de datos del banco.
Algunos ladrones son capaces de observar impresiones electrónicas de cheques en papel de sus víctimas y crear cheques falsos de esta manera.
Tips de seguridad fuera de línea.
Puede reducir los riesgos fuera de línea siguiendo los siguientes puntos:
Utilizar plumas de gel para firmar cheques. Estas tintas no pueden ser disueltas con facilidad.
Protega su buzón de correo. Haga sea mas difícil para los intrusos el robo de información protegiendo de forma correcta su correo y entregando cualquier cheque saliente directamente en la oficina de correo (es decir no los deje simplemente en su caja de correo).
Extablezca un monitoreo riguroso. Verifique sus estados de cuenta de forma periódica. Este alerta de cualquier transacción no autorizada, sin importar el monto.
No escriba su contraseña en algún lugar. Específicamente no grabe su PIN en la tarjeta misma, ni en cualquier lugar de su cartera, ni lo almacene en la memoria del teléfono celular o en ningún elemento que acompañe su tarjeta.
Utilice la tarjeta de crédito para realizar pagos "fuera de vista". El mesero que desaparece con su tarjeta de debito puede pasar esta a través de un skimmer, un dispositivo de mano que almacena la información en una tarjeta magnética. Se puede hacer esto con una tarjeta de crédito también, pero una vez mas, arreglar el problema del fraude es más fácil con una tarjeta de crédito que con una de debito.
Este documento se actualizara periódicamente conforme UNAM-CERT reciba información sobre nuevos métodos y técnicas de ataque a la banca en línea.
Fuente UNAM-CERT |