Cyberladrones: cómo hacer frente a la amenaza fantasma

El gran robo de este siglo podría estar muy lejos del perpetrado por Ronald Biggs hace 52 años, cuando comandó lo que fue, y aún es, el asalto más famoso de Gran Bretaña. El célebre delincuente inglés, que poco después de ser encarcelado se fugó a Brasil y se convirtió en una verdadera celebridad de las playas cariocas, se hizo con 2,6 millones de libras de esterlinas que eran transportadas en tren desde Glasgow hasta Londres. Lejos del romanticismo con tintes bandoleros que envuelve a la historia de Biggs, los ladrones del nuevo milenio no necesitan armas, secuaces o un vagón repleto de billetes: todo está a un clic de distancia.

Arriba las manos (y lejos del teclado)

El mundo hiperconectado en el que estamos inmersos está pensado, en gran medida, para facilitar la vida de las personas que lo habitan o, al menos, eso es lo que pregonan los evangelistas de las nuevas tecnologías. A priori, el panorama luce prometedor, ya que desde la comodidad del hogar se pueden realizar trámites que años atrás demandaban horas, dar a conocer hasta el evento más insignificante a todos nuestros seres queridos, recorrer el mundo a través de millones de fotografías, mapas y videos; o hacer esa transferencia de dinero que se nos viene pidiendo desde hace días, en solo unos minutos.

Fácil ¿verdad? Pero esa aparente sencillez es la que despierta en muchos casos la paranoia y desconfianza -más o menos justificadas– del cliente bancario, ahora devenido en usuario. “¿Están debidamente resguardados mis datos y mi dinero?” La respuesta es: claro que sí, pero -citando al célebre Tusam- puede fallar.

Existe un antecedente inmediato que ha encendido las alarmas del sector bancario. A mediados de febrero, la firma de seguridad rusa Kaspersky Lab difundió un informe que dejó al descubierto el robo de aproximadamente US$ 100 millones, provenientes de más de 100 bancos de todo el mundo. La megaoperación tomó a los cyberdelincuentes más de dos años de trabajo y fue comandada desde computadoras emplazadas en Rusia, Ucrania y China.

Carnabak, tal como fue bautizada la banda, utilizó correos electrónicos apócrifos para engañar a empleados bancarios y así lograr que estos abrieran archivos maliciosos que eran enviados como simples adjuntos. Esto les permitía acceder a las redes internas e, incluso, tomar el control de los sistemas de videovigilancia. El objetivo era “aprender” el modus operandi de sus víctimas e imitar los movimientos que realizaban al momento de transferir dinero.

Esta variante de spear phising fue utilizada de manera masiva para engañar a empleados bancarios que estaban entrenados para no caer en este tipo de trampas. El mayor ataque individual registrado por Kaspersky obtuvo un botín de US$ 7,3 millones, robados de un solo banco. Asimismo, Carnabak llegó a realizar transacciones online fraudulentas por más de 10 millones de dólares provenientes de una sola firma.

Prevenir es curar

El sistema bancario está montado sobre una compleja red de protocolos y plataformas, diseñados para dar seguridad a las millones de transacciones que son realizadas diariamente. El objetivo principal es resguardar el dinero y evitar que pueda ser manipulado de manera externa. Para ello existen “barreras” que permiten a los bancos mantener alejadas las amenazas.

El caudal de transacciones que se realizan hoy en día se encuentra a años luz de las décadas anteriores a la masificación de Internet. El home banking y el e-commerce son solo dos ejemplos de prácticas que mueven miles de millones de un punto a otro del planeta, más o menos alejado uno del otro. Dado que se trata de una red pública, la web es propensa a amenazas que pueden hacer peligrar la seguridad de los datos transferidos, por lo que se recurre a distintas tecnologías para asegurar la transparencia y confidencialidad de estos.

Los protocolos SSL (Secure Sockets Layer: permite la autentificación mutua de un usuario y un servidor con el propósito de establecer una conexión cifrada) y SET (Secure Electronic Transaction: asegura la confidencialidad y la integridad de los pagos basados en tarjeta hechos por Internet, con independencia de quien sea el comprador y el vendedor del producto) son estándares adoptados por las entidades bancarias y ayudan a dotar de mayor seguridad a la red en la cual están montadas. A ellos se suman tecnologías como la PKI, basada en estructuras de clave pública y aplicada en operaciones usuales (como compra/venta, transacciones interbancarias o gestión de cuentas). 

El problema, sin embargo, suele estar más del lado de los usuarios que del de las entidades bancarias. El ejemplo de Carnaback es claro al respecto: no se necesitó vulnerar ninguna barrera de seguridad, sino apuntar al factor humano, es decir, a los propios empleados de los bancos. El fraude informático suele ser mucho más efectivo a través de estas vías que atacando directamente a la estructura de un banco.

En este sentido, vale destacar al phishing como la práctica más habitual a la hora de encarar un delito informático. Su modus operandi está basado en el engaño a los usuarios, utilizando perfiles falsos de personas o empresas de confianza, generalmente a través de correos electrónicos y mensajes instantáneos. Este tipo de engaño es el predilecto a la hora de llevar a cabo el robo de información sensible, ya que apela a la ignorancia de la persona que cae en la trampa (usualmente, se utilizan URLs apócrifas que redireccionan a sitios falsos, con el objetivo de que el usuario ingrese sus datos). En varios países, Argentina incluida, se han llevado adelante iniciativas para penar esta práctica, con resultados disímiles. 

El otro gran talón de Aquiles se encuentra en las claves generadas por los propios usuarios. Iperva, firma desarrolladora de software de seguridad, reveló hace algunas semanas una lista con las 20 contraseñas más utilizadas en 2014. El resultado es, a simple vista, alarmante: a pesar de las recomendaciones en este aspecto, la contraseña más utilizada sigue siendo “123456”, seguida de “12345” y “123456789”. El universo de Internet ha evolucionado de manera dramática desde sus albores, a principios de los 90’s, y aun así se siguen utilizando las mismas claves, completamente vulnerables.

El top 20, que se completa con opciones como “password”, “iloveyou”, “qwerty” o “abc123”, deja a la vista la facilidad  de la que disponen los hackers a la hora de vulnerar la cuenta de un usuario. Al mismo tiempo, existen varios agravantes, como la costumbre de repetir la misma clave en distintas plataformas. Servicios como Google, Facebook y Twitter poseen una compleja estructura de seguridad para proteger los datos de sus usuarios/clientes, pero no se cumple la misma premisa con aplicaciones de procedencia dudosa, o sitios más pequeños con protocolos de seguridad más blandos (un buen recaudo a la hora de ingresar usuario y contraseña es chequear la URL del sitio: si está emplazado bajo el protocolo HTTPS, su seguridad está garantizada).

Si bien no existe la contraseña perfecta, sí existen ciertas combinaciones que otorgan muchísima más seguridad que otras. Desde los programas de seguridad para usuarios de Google recomiendan combinar letras, números y símbolos en una misma clave, ya que esta es la mejor manera de mantener a raya a cualquier software de desbloqueo. Una contraseña con más de 8 caracteres, letras minúsculas y mayúsculas, números y símbolos puede llevar décadas ser adivinada, aún con el soft indicado.

Existen además medidas adicionales para garantizar la invulnerabilidad de una cuenta. En primer lugar, una de las más comunes es la verificación por dos pasos. Su funcionamiento es sencillo: en el caso de las entidades bancarias, se suele utilizar una tarjeta de coordenadas o un “token”, los cuales entregan una clave variable que se suma al ingreso de la contraseña. Otras plataformas hacen uso de un mecanismo similar, pero enlazando un dispositivo móvil a la cuenta. Cuando se ingresa la clave, el sistema envía un código numérico a través de un sms, el cual debe ser ingresado para poder acceder al servicio en cuestión.

Otro elemento útil es la Clave de Seguridad o “Security Key”. Este dispositivo USB suplanta la verificación de dos pasos, ofreciendo un funcionamiento similar al de una llave. Las plataformas que sean compatibles con el protocolo U2F pueden hacer uso de ella, ya que ofrece una protección aún mayor contra el phishing, gracias al uso de criptografía en lugar de códigos de verificación. Otro plus que lo vuelve un accesorio sumamente seguro es que funciona de manera automática y únicamente en los sitios en los que debe funcionar. Esto evita caer en la trampa de los sitios de entidades bancarias falsos y, por ende, en prácticas de phishing.

La seguridad comienza en casa

En definitiva, la seguridad del sistema bancario en la era de Internet depende tanto de los bancos como de los propios usuarios. Para los hackers, es muchísimo más sencillo robar datos desde la cuenta de un usuario incauto que a partir de la violación de un complejo sistema de seguridad. Los casos recientes, como el de Carnabak, dejan al descubierto la efectividad de este tipo de prácticas. A partir de ahora serán cada vez menos frecuentes los golpes armados a los bancos (que forman nuestro ideario popular gracias a las miles de adaptaciones cinematográficas que Hollywood ha hecho al respecto) y, en cambio, cada vez más usuales los robos de grandes sumas a partir de un error humano, o de una contraseña tan sencilla como “123456”.

¿Cuál es, entonces, la solución? Educar tanto a los usuarios como a los empleados bancarios. Puede sonar absurdo, en pleno siglo XXI, hablar sobre el desconocimiento de los peligros de la web; pero a pesar de los mensajes de alerta, las recomendaciones y las campañas al respecto, se siguen registrando este tipo de vulnerabilidades. Por eso, la seguridad comienza en casa.

Una versión de esta nota salió en la edición 138 de Alzas y Bajas.