TECNOLOGÍA
Hombre en el móvil
Hay tres cosas sin las que generalmente no salimos de casa: llaves, billetera y teléfono. Los dos primeros se pueden reemplazar fácilmente por el tercero. Pero administrar dinero usando una pantalla de pocas pulgadas no es una tarea pequeña en ninguna medida.
Por supuesto, podemos tratar de administrar el acceso al dispositivo de manera bastante eficiente. Sin embargo, es mucho más difícil para nosotros protegerlo del software malicioso.
La cantidad de malware no capturado por los mecanismos de seguridad de Google Store sigue siendo bastante grande. Según McAfee, 2017 fue un año decisivo: se identificaron un total de 4,000 tipos de amenazas en ese momento, y cada uno de estos tipos se encontró en docenas de variedades. El número total de malware en el segmento de moneda criptográfica aumentó en un 70% y en la banca móvil, en un 60%.
Aquí es donde se complica, porque: primero, el mercado está dominado por dos sistemas operativos móviles; y segundo, nuestros propios hábitos nos hacen reacios a actualizar y ampliar los mecanismos de seguridad, que a menudo extienden el tiempo de una operación determinada, como iniciar sesión.
Sigilo y efectivo
Sin embargo, existen riesgos que son esencialmente imposibles de defendernos. Aquellos sobre cuya ocurrencia no tenemos control. Uno de ellos es la clonación de la tarjeta SIM: un procedimiento efectivo se ejecutó en modo "sigiloso". Te siguen durante semanas y te atacan cuando menos lo esperas. E incluso entonces, permaneces en la feliz ignorancia.
Primero, un hacker instala spyware en su teléfono para interceptar sus datos de inicio de sesión bancario. Luego, sabiendo lo suficiente, hacen una tarjeta de identificación falsa y, al presentarla, obtienen un duplicado de su tarjeta SIM del operador.
Todo lo que necesita ahora es iniciar sesión en la red GSM para solicitar una transferencia y recibir un SMS con un código de autorización. Una nueva tarjeta iniciada (duplicada) causará problemas con su conexión de red, por lo que la pérdida repentina de alcance o el cierre de sesión de la red es la primera señal para usted de que algo malo puede estar sucediendo.
La escala de este procedimiento indica que simplemente vale la pena. Cientos de miles de euros a menudo se desvían a la vez, que migran rápidamente a los mercados de criptomonedas (donde desaparecen sin dejar rastro), o se retiran de manera masiva y coordinada en cajeros automáticos, en diferentes ubicaciones al mismo tiempo.
Las alternativas
En la industria financiera, un token móvil para autenticación y autorización parece ser una buena solución. Incluso mejor sería un dispositivo criptográfico dedicado que cumpla con estrictos requisitos de seguridad.
Dichas soluciones registran cada intento de activar un nuevo teléfono. Con el procedimiento correcto de "emparejamiento", tiene la garantía de que nadie más se hará pasar por usted, incluso si tiene un duplicado de su tarjeta SIM.
Este proceso está completamente controlado por un banco y no hay preocupación de que el operador móvil cause un vacío en los procedimientos bancarios al cambiar los suyos.
Existen soluciones (como tPro ECC) equipadas con mecanismos para proteger contra ataques remotos cuando el usuario no está en su estación de trabajo (HPD - Detección de presencia humana). También es posible emparejar tales mecanismos con servicios populares como Gmail o Facebook. Gracias a esto, además de la cuenta bancaria en sí, también puede controlar el acceso a otros recursos importantes para el usuario.
Los mejores tokens móviles para la autorización de transacciones también proporcionan un mecanismo de detección de ataques y un modelo WYSIWYS (What You See Is What You Sign = Lo que ves es lo que firmas). Los datos de la transacción se deben volver a ingresar en un dispositivo separado, donde el usuario toma la decisión final de aceptar o rechazar la transferencia. Esto evita cambiar la cantidad y el número de cuenta sin el conocimiento del usuario en la transacción ya aceptada por el usuario. Muy raramente, finalmente verificamos si los datos en el SMS relativos al destinatario y la cantidad son correctos.
Adiós SMS
Poco a poco nos olvidamos de la mensajería de texto: está siendo reemplazada por salas de chat y mensajería instantánea. Ha llegado el momento de olvidarse de los SMS en el contexto del mecanismo de autorización para la banca. La última escala de ataques demuestra que este mecanismo es defectuoso y que el procedimiento de duplicación de phishing de tarjetas SIM y datos de inicio de sesión del usuario permite un control total sobre la cuenta bancaria del usuario. El atacante puede disponer de los fondos recaudados allí como, y cuando lo desee.
Este es el mejor momento para comenzar a utilizar mecanismos de autenticación y autorización modernos y seguros, como tokens de hardware y aplicaciones móviles.
Si este último admite criptografía asíncrona para proteger la comunicación con un servidor bancario (piense en tPro Mobile), obtenemos una protección de datos sólida adicional, lo que hace que sea imposible para el atacante leer los datos. La compatibilidad con datos biométricos (huellas digitales, reconocimiento facial) permite una autenticación rápida y conveniente, lo que reduce significativamente el tiempo necesario para la autorización de datos.
Descubre más sobre nuestras soluciones - https://www.comarch.com/cyber-security/ - (Anti-Lavado de Dinero)
Przemyslaw (Prem) Drzymala, Executive Vice President of Global Sales EMEA, Financial Services Sector at Comarch.