Troyanos bancarios o la evolución del phishing

l phishing tradicional

El phishing tradicional es fácil de advertir, ya que es enviado de
forma masiva a nuestros buzones de correo, lo que facilita su
localización temprana y los avisos relativos a casos concretos.

A la parte pública, con iniciativas de información y alerta o las
recomendaciones de seguridad publicadas por las propias entidades financieras, hay que sumar las acciones privadas entre entidades y empresas de seguridad que permiten la detección de sitios fraudulentos antes que sean conocidos. En estos últimos casos los incidentes no suelen trascender, por lo que el número de ataques phishing es mayor que el que pueda revelar cualquier estadística pública.

Además de la detección, más o menos temprana, otro apartado importante es el de la mitigación. El phishing tradicional ofrece oportunidades al usuario para que pueda diferenciar el sitio original de uno fraudulento, ya que hay elementos visibles que permiten su identificación.

En la mayoría de los casos, el usuario podrá observar que la URL o
dirección que aparece en el navegador no corresponde con la de su entidad, o que la conexión no es segura (no aparece el https ni el candadito en el navegador). Y como medida preventiva, por activa y por pasiva, se le está recomendando a los usuarios que deben hacer caso omiso de los mensajes de correo electrónico que le piden que introduzca su usuario y contraseña con cualquier excusa.

Las entidades y empresas de seguridad también tienen fácil prevenir ciertas prácticas de phishing tradicional, mitigar la funcionalidad de los que se detecten activos y cerrarlos de forma rápida.

Pese a que efectivamente el phishing tradicional es bastante
primitivo, no deja de ser un problema importante. Aunque el número de incidentes reales es prácticamente un tema tabú, nunca se ofrecerán datos de usuarios afectados o cantidades económicas concretas, el hecho de que no decaigan los ataques es la mayor constatación de que sigue siendo una actividad rentable para los estafadores.

El problema no acaba en el fraude en sí mismo, a los ataques con
éxito que puedan darse hay que sumar la imagen negativa que afecta a entidades con nombre propio y al canal en general, efecto colateral que en ocasiones es más perjudicial para las entidades que el propio fraude directo.

En este contexto, cuando aun no hemos superado el phishing tradicional y los diferentes agentes implicados discuten sobre responsabilidades o estrategias para luchar contra este tipo de estafas, existe una evolución del phishing que es más desconocida y complicada de prevenir.


Los troyanos bancarios

Aunque todo el mundo ha escuchado hablar de los troyanos bancarios, no existen datos concretos sobre su proliferación ni sobre los métodos que utilizan.

Por norma general los troyanos bancarios suelen asociarse a los
keyloggers, programan que capturan las pulsaciones de teclas cuando introducimos nuestras claves. Incluso en círculos más especializados se tiene esa errónea percepción, basta con observar como las propias entidades implantan teclados virtuales en un intento de prevenir su acción.

La realidad es que ya hace tiempo que la técnica tipo keylogger dejó de ser la utilizada mayoritariamente por los troyanos bancarios, precisamente por la proliferación de teclados virtuales. Hoy día los troyanos bancarios capturan las contraseñas de manera independiente a si se introducen las claves por el teclado real o por un teclado virtual, por mucho que este último se mueva o cambie la posición de las teclas.

A continuación vamos a mostrar un vídeo de un troyano bancario que lleva a cabo su acción pese a que el usuario sigue recomendaciones de seguridad tales como escribir directamente la dirección, comprobar el https, o el certificado de la entidad.

www.hispasec.com/directorio/laboratorio/phishing/demo3/troyano_banesto.htm

No se trata de un troyano especialmente avanzado ni novedoso, lleva meses actuando en España, protagonizando incidentes reales, y es bien conocido entre las propias entidades y antivirus. Sin embargo aparecen variantes a razón de una por semana prácticamente, todas ellas enfocadas a varias entidades españolas e internacionales.

Lo más preocupante es que la evolución de este tipo de malware es constante. No estamos hablando de pruebas de concepto o troyanos de laboratorio, sino de especímenes reales que llevan ya tiempo infectando los sistemas y afectando a los usuarios.

De estos troyanos, sólo una pequeña parte es analizada, y un
porcentaje aun inferior de esos análisis llega a las entidades
afectadas.

En estos momentos los laboratorios de las empresas antivirus están
saturados por el volumen de malware en general que se produce,
de forma que sólo puntualmente ofrecen datos concretos sobre algunos especímenes. No es un problema de los antivirus, es que a día de hoy es materialmente imposible analizar y publicar informes de todos los especímenes que aparecen.

Las entidades recurren a empresas de seguridad para que analicen algunos sistemas de usuarios comprometidos, pero el número de
troyanos detectados con esta estrategia es ínfima, además de ser un esquema reactivo, inefectivo, muy poco escalable y menos rentable.

El desconocimiento de este tipo de troyanos, las direcciones
concretan a las que apuntan, o los métodos generales que utilizan para capturar las contraseñas, impiden a las entidades financieras actuar tanto de forma reactiva como preventiva contra ellos.

El problema del phishing no acaba aquí, seguirá evolucionando,
lo que debe también evolucionar es la forma de abordarlo, ya que en la actualidad no se está llevando a cabo de forma efectiva, hay muchas áreas de oportunidad desaprovechadas.

Es fundamental que, ante la diversificación de las técnicas, exista
una cooperación real y que los agentes implicados superen sus intereses particulares, de lo contrario nos seguirán ganando la partida.

En estos momentos, desde el propio sector de la seguridad, hay
muchos intereses creados respecto a los sistemas de autenticación empleados. Sin embargo, el talón de Aquiles y principal caballo de batalla es y será la integridad del sistema del usuario.

En este terreno debemos sumar lo que tienen que ofrecernos (y
debemos exigirles) las casas antivirus, hoy por hoy cuentan con el software de seguridad más implantado a nivel de usuario y con los recursos humanos más especializados a nivel técnico. Sin embargo suelen ser convidados de piedra en algunos grupos antiphishing.

Tampoco hay que olvidar la responsabilidad del sistema operativo o del navegador, ya que muchos ataques aprovechan vulnerabilidades o debilidades del software. Sumemos los ISPs, las fuerzas de seguridad, legislación, iniciatias específicas desde la
administración pública, aportaciones de la comunidad académica, asociaciones de usuarios...

Luchar contra el phishing y las estafas en Internet de forma
unilateral es condenarse al fracaso.