Dá lo mismo como lo hagas, te seguiremos robando

El sábado pasado (25 de Sep), David Barroso aka lostinsecurity publicaba en el blog en inglés de S21sec una nueva variante de robo de credenciales de la banca online. El caso era novedoso hasta tal punto que ésta era la primera vez que se tenía constancia de un troyano capaz de saltarse sistemas de autentificación de dos factores.

Para explicarlo de manera sencilla, un sistema de autentificación de dos factores se basa en algo que tienes + algo que sabes. Lo solemos usar a menudo en nuestra vida cotidiana, por ejemplo cuando sacamos dinero con nuestra tarjeta del banco. Necesitamos la tarjeta + PIN secreto. En la banca online el sistema de autentificación de 2 factores funciona con la combinación usual de usuario/password + código vía SMS para realizar transferencias. El uso de un canal alternativo como el móvil evitaba que en caso de que nuestras credenciales hubieran sido robadas por un virus/troyano, los malos no pudieran completar la transacción al no disponer del código vía SMS; podrían conocer nuestros datos pero no tendrían el código enviado por SMS.

La doble autentificación es un sistema de seguridad que en España lo empezó a implantar la banca online en el 2009, actualmente muchas cajas y bancos se encuentran en procesos de implantación de este sistema para asegurar las transacciones de sus clientes, pero el descubrimiento del primer troyano capáz de recoger credenciales del PC y del móvil de su víctima para poder realizar la operativa online fraudulenta dejará en entredicho la justificación de la inversión en estos sistemas de Seguridad.

Curiosamente, el descubrimiento de la nueva variante de este troyano (Zeus/zbot) ha sido reflejado en las portadas de los principales medios online, por citar algunos ejemplos:

• Gartner: SMS/OTP under attack - Man in the mobile 

• Financial Times: UK police arrest 19 over online bank theft

• The Register: Zeus attacks mobiles in bank SMS bypass scam.

• NetworkWorld: Zeus botnet has a new use: Stealing bank access codes via SMS

• Cnet News: Zeus banking Trojan targets mobile phones too

• SC Magazine: Mobiles uses by Zeus as SMS messages are used to deliver one time passwords.

pero apenas se vio ninguna referencia a esta noticia en ningún medio en castellano, a pesar de que este troyano se descubrió aquí y su objetivo eran únicamente entidades españolas. Posteriormente algunos sitios se fueron haciendo eco, pero muy tímidamente.

Ahora será cuando muchos CISOs y CIOs inmersos o no en la implantación de estos sistemas, se cuestionen su utilidad frente al desembolso necesario para su uso. Bien es cierto que sistemas similares como locuciones automáticas o reconocimiento de voz podrían utilizarse, pero da lo mismo la tecnología que se use. Mientras se sigan cometiendo estafas a través de una de las vías más seguras: ir al banco en persona a sacar el dinero. No importaran las medidas tecnológicas de seguridad que se implanten. Está comprobado.