¡Vd. usa un navegador obsoleto!

Es posible que la página no se visualice correctamente.

Banca en línea

Онлайн по банкингу

Otras ediciones de este tema (9)
  • añadir a favoritos
    Añadir a marcadores

Hackeo de la banca online: cómo evitar la interceptación de los códigos de verificación

Consultas: 153 Comentarios: 0 Ranking: 0

miércoles 6 de diciembre de 2023

Hasta con la autenticación de dos factores en un servicio en línea, los atacantes encuentran formas de hackear un perfil e interceptar el acceso a los datos de la víctima.

En caso de usar la identificación en dos pasos, los usuarios confían en la seguridad del dinero en la cuenta y en la privacidad de la información personal. Y, de hecho, realmente es más seguro que confiar únicamente en contraseñas complejas y diferentes para todos los servicios usados. Pero la sofisticación técnica de ciberdelincuentes y el nivel de ciberdelincuencia crecen muy rápido, al igual que el desarrollo de las tecnologías de seguridad de información. Por lo tanto, normalmente un sistema complejo de inicio de sesión en un dispositivo, servicio en línea o en una aplicación no siempre puede proteger contra un robo de datos privados. El comportamiento de usuarios en Internet y fuera de Internet no es lo menos importante para la seguridad de los datos: algunas acciones pueden servir de pista para estafadores e influir directamente en la probabilidad del hackeo.

Ya sabemos que los hackes son expertos en extracción de los datos de acceso y contraseñas de usuarios. Sin embargo, no pueden acceder a los datos sin hackear el segundo factor de verificación.

El artículo de hoy vamos a ver las opciones más populares de 2FA utilizadas por la banca online, de los métodos de su hackeo y de cómo garantizar la seguridad de datos.

Los 2FA tan diferentes

En 2019, el segundo factor de verificación de identidad (o 2FA) más popular eran las notificaciones push. En 2023, las contraseñas OTP (one time password) de un solo uso fueron los más populares. Suelen enviarse por SMS a un dispositivo móvil.

¿Y qué métodos de verificación en dos pasos se usan en caso de la banca online?

Notificación push. Si hablamos de transacciones en la aplicación móvil de la banca, se puede recibir un código de un solo uso en la misma aplicación para confirmarlas. Entonces, para hackear, un atacante necesita acceder tanto al dispositivo móvil como a los datos de acceso de la aplicación. Parece una tarea difícil para estafadores, porque la banca móvil suele proteger a sus usuarios con la contraseña autónoma (por eso es importante crear varias contraseñas complejas para todos los servicios que usamos) y a menudo con autenticación biométrica.

Si imaginamos que un usuario se somete a la autenticación de dos factores de la banca usando un navegador de Internet, lo más probable es que el mismo no reciba una notificación push, sino un SMS con un código para cumplir con el segundo factor de verificación.

Código de un solo uso en aplicaciones de autenticación. Este tipo de apps no sólo protegen la banca online. También aumentan la seguridad de las cuentas online vinculadas. Se trata de programas como Google Authenticator, FreeOTP y muchos otros.

Son más seguros que los códigos SMS, pero se usan menos porque no todos los servicios funcionan con este método de autenticación.

Código del correo electrónico o SMS. Es el método más común y cómodo de verificación. A veces, un mensaje de correo electrónico puede contener un enlace de inicio de sesión, por lo cual no hace falta introducir el nombre de usuario y la contraseña. Pero siempre hay que estar atento a los enlaces (Lo explicaremos más abajo), y los códigos de SMS y correo electrónico les gustan sobre todo a los atacantes.

Token de dos factores. Se trata de un dispositivo físico autónomo, como una tarjeta inteligente. Para usarlo, hay que robarlo, por ejemplo, de un maletín, un bolsillo o una taquilla cerrada. Los tokens generan contraseñas de un solo uso y protegen el acceso a la cuenta del usuario en un equipo.

Esta opción es la más adecuada para la seguridad corporativa. Pero, por desgracia, ni siquiera un dispositivo de este tipo siempre protege un equipo que a veces puede ser robado y controlado a distancia si un troyano penetra en el mismo.

Biometría. El inicio de sesión mediante huellas dactilares o reconocimiento facial parece una opción ideal, porque no hay que recordar ni llevar encima nada, y es muy difícil falsificar esos datos, aunque en teoría también es posible.

Cabe destacar que no todos los servicios ofrecen instalación de la protección de datos biométricos, porque es caro y requiere una supervisión especial: la implantación debe cumplir con la ley, y los datos de los usuarios deben almacenarse de forma segura.

El hackeo no es imposible

Con la evolución de las tecnologías para ocultar los datos, las tecnologías de hackeo informático las siguen, porque también son un negocio lucrativo. Este enfrentamiento parece un juego intelectual o un deporte donde cada uno desea ser ganador.

La autenticación de dos factores dificulta un ataque y el acceso a los datos personales para un hacker. Pero los estafadores también tienen sus trucos: la extorsión y el engaño, por lo cual la víctima revela todas las “claves”.

¿Recuerda la película "Los 11 amigos de Ocean"? Y ¿qué sistema de protección del almacén de dinero tenía el propietario de tres destacados casinos de Las Vegas Terry Benedict: guardias armados, cerraduras biométricas en las puertas, cámaras y huecos de ascensor con sensores de movimiento? No sabemos si la trama es verosímil, pero para hackear un sistema de seguridad similar se necesita bastante ingenio y habilidad, además de importantes capacidades técnicas.

Un ciberdelincuente piensa que un usuario es inocente, curioso, no muy atento y preferirá una forma fácil de resolver el problema. Por ejemplo, los estafadores de servicios de anuncios en línea lo organizan todo para que la víctima, al consultar una oferta urgente, no compruebe los requisitos del trato. La llevan a plataformas y páginas web de terceros, donde le proponen realizar acciones, la meten prisa y le siguen el juego para conseguir un beneficio.

Los estafadores de Internet y los hackers son muy buenos actores, por lo tanto, los usuarios deben estar atentos.

Contraseñas y claves

Para cumplir con el doble factor de autenticación en la banca en línea, lo más habitual es que un atacante necesite interceptar un código de verificación de un SMS, una aplicación o un correo electrónico.

En teoría, es posible falsificar los datos biométricos de la víctima, aunque actualmente eso parece ciencia ficción o una película sobre ladrones que entran a robar en un casino.

A veces se clona la tarjeta SIM de la víctima, aunque esta opción es menos común que la intercepción de códigos de un solo uso.

También es posible acceder físicamente a un dispositivo móvil, al robarlo. Pero hay otras opciones que dependen del factor humano.

Ingeniería social. Los atacantes fingen ser una persona que tiene derecho a enterarse de los datos personales de otra para confirmar alguna acción. Por ejemplo, la víctima recibe una llamada y se le pide que facilite todos los datos de la tarjeta, el nombre de usuario y la contraseña para entrar en la cuenta, al confirmar la necesidad de algún tipo. Por ejemplo, para desbloquear la cuenta.

Cabe destacar que como máximo los datos que puede solicitar el banco por teléfono es el nombre completo del cliente y una palabra clave. Si alguien le pide más datos, abandone el juego.

Malware. Puede ser el uso de programas espía o virus.

Sin un antivirus activo y siempre actualizado, uno corre el riesgo de descargar programas espía, que supervisan todas las acciones del usuario en un equipo o un dispositivo móvil y las transfieren a terceros. O descargar un programa troyano, camuflado por una aplicación útil, que le permite al atacante tener control remoto total sobre el dispositivo infectado.

Phishing. Lo más clásico: un correo electrónico que ofrece actualizar información sobre la cuenta bancaria. En el correo electrónico se le pide al usuario hacer clic en un enlace que lleva a una página falsificada de la banca. Sin asegurarse de que la página web es auténtica, la víctima facilita todos los datos del perfil bancario a los interesados.

Los estafadores también son expertos en creación de ventanas extra en las páginas web falsificadas para introducir en las mismas los códigos de verificación 2FA.

Uso de Wi-Fi público. Las redes públicas pueden ser hackeadas para acceder a los datos de usuarios. Basta con que la conexión no sea segura.

Si uso SÓLO la aplicación de la banca móvil, ¿se puede supervisar todos los datos de acceso a la misma, robarlos y entrar en la cuenta?

Depende del tipo de ataque y del dispositivo en concreto. Hay troyanos bancarios (para Android) que pueden leer el contenido de la pantalla, controlar el portapapeles, hacer capturas de pantalla, interceptar códigos de SMS y otras notificaciones. Al mismo tiempo, las aplicaciones bancarias pueden tener activa la prohibición del sistema para hacer capturas de pantalla, y la versión más reciente del sistema operativo puede tener restricciones de lectura del contenido. Por lo tanto, la respuesta a la pregunta es la siguiente: depende de varios factores.

En caso de un hackeo

En caso de detectar alguna actividad en su cuenta bancaria, hay que actuar: llame urgentemente al servicio de asistencia del banco e informe de la actividad sospechosa.

Si su cuenta ha sido hackeada, tendrá que hacer lo siguiente:

  • bloquear la cuenta,
  • acordar con el banco la reemisión de la tarjeta (para que los datos de la antigua tarjeta no puedan volver a ser comprometidos),
  • cambiar las contraseñas para entrar en la cuenta personal del banco y la aplicación móvil.

Hasta en caso de mucho estrés, asegúrese de llamar de verdad al servicio de atención al cliente del banco. Un empleado real no te preguntará por las tarjetas emitidas, cuentas o códigos secretos, ni le enviará otro código de verificación si Vd. le llama.

A continuación, escanee todos sus dispositivos en busca de malware o spyware con un antivirus. En caso de detectar algún problema, resuélvalo enseguida.

También vale la pena ponerse en contacto con las autoridades policiales, al facilitar toda la información necesaria para investigar el incidente.

Importante: el banco no compensará los daños causados por las transacciones fraudulentas si el usuario facilitó los datos privados o instaló programas maliciosos. Por lo tanto, los usuarios deben estar atentos e intentar no caer en las trampas de estafadores.

El mundo de antivirus recomienda

Proporcionamos una pequeña lista de comprobación sobre cómo utilizar con seguridad la banca en línea.

  • Actualice su antivirus para evitar spyware y malware en su equipo y smartphone. El laboratorio de virus de Doctor Web recibe hasta un millón de muestras potencialmente maliciosas al día. No todas son virus, ¡pero piense en ese número! Hay que proteger todos los dispositivos.
  • Use la autenticación de dos factores. Con todos los métodos de hackeo existentes, este método de protección sigue siendo el más fiable y hay que tenerlo en cuenta.
  • Evite el uso de redes Wi-Fi públicas para transacciones financieras. Compruebe los certificados de seguridad de las páginas web al conectarse a Internet pública y no acceda a la banca online en restaurantes, cafeterías, aeropuertos, cines y otros lugares públicos.
  • Use sólo las páginas web con certificado digital de seguridad. Se puede comprobar si hay un certificado haciendo clic en el icono del candado que aparece junto a la barra de direcciones. Hemos ilustrado el proceso de esta verificación en capturas de pantalla del artículo sobre redes neuronales. También le aconsejamos comprobar la dirección en la barra del navegador para asegurarse de que la misma conocide con la dirección del sitio original. La diferencia puede ser de un solo carácter: en este caso, se trata de una falsificación. No introduzca datos de tarjetas bancarias ni códigos de verificación 2FA en páginas web no originales.
  • Además, asegúrese de que la solicitud de autenticación se dirige a la banca real y no a los estafadores. Disponemos del material exhaustivo sobre este tema, en concreto, sobre TLS y certificados SSL.
  • No haga clic en enlaces tentadores. Los bancos no envían correos electrónicos con enlaces, solo los phishers lo hacen. Los mensajes en messengers y correos electrónicos que prometen éxito, le intimidan o le pidan compasión, votos en concursos, también pueden ser phishing.
  • Antes de descargar un archivo, instalar un programa o una aplicación, compruebe la seguridad del origen para evitar descargar malware o spyware. Observe cómo se realiza la animación en las páginas disponibles para su visualización, si todos los tipos de letra son iguales, si la página o aplicación no solicita demasiados datos privados para seguir adelante. Recuerde: si Vd. revela de forma voluntaria todos los datos a los atacantes, el banco no le devolverá el dinero robado de Su cuenta.
  • No comparta nunca con nadie los códigos de SMS o correo electrónico para la autenticación de dos factores correcta. Es información privada.

#tarjeta_bancaria #hacking #malware #autenticación_de_dos_factores #banca_en_línea #datos_personales #banca_falsificada #reconocimiento_facial #SMS #ingeniería_social #phishing

[Twitter]

Nos importa su opinión

Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.