Ciberdelicuentes interceptan SMS de bancos para robar dinero a sus clientes

También puedes leer... Cómo evaluar las opciones de SD-WAN La Seguridad es Infinity Gestión de cuentas con privilegios para Dummies Cómo combatir las amenazas cifradas Cómo vencer al malware evasivo

En los últimos dos años, el concepto de autenticación de doble factor (2FA) se ha implementado de forma masiva, pero todavía queda mucho por hacer en muchos sectores, también el financiero. En este sentido, Kaspersky Lab alerta de un tipo de fraude que se vale del sistema 2FA que emplean la mayoría de entidades financieras de todo el mundo para mantener a salvo el dinero de sus clientes, por el que se manda un código vía SMS, que el cliente debe introducir para aprobar una transacción.

Los cibercriminales pueden acceder a los mensajes de distintas formas, y una de ellas es aprovechando un error en el protocolo SS7, utilizado por las compañías de telecomunicaciones para coordinar el envío de mensajes y llamadas. A la red SS7 no le importa quién envía la solicitud, por tanto, si los ciberdelincuentes consiguen superar los sistemas de seguridad, la red seguirá sus comandos como si fueran legítimos para dirigir los mensajes y llamadas. Los cibercriminales obtienen el usuario y contraseña de la banca online, probablemente a través de phishing, keylogger o troyanos bancarios. Entonces, inician sesión en la banca online y solicitan una transferencia.

Actualmente, la mayoría de los bancos solicitan una confirmación adicional y envían un código de verificación a la cuenta del propietario. Si el banco realiza esta operación a través de SMS, ahí es cuando los ciberdelincuentes explotan la vulnerabilidad SS7, interceptan el mensaje e introducen el texto, como si tuvieran tu teléfono. Los bancos aceptan la transferencia como legítima ya que la transacción se ha autorizado dos veces: con la contraseña del cliente y con el código de un solo uso. El dinero acaba en manos de los delincuentes.

El pasado mes de enero, Metro Bank del Reino Unido confirmó que algunos de sus clientes sufrieron este tipo de fraude online, y ya en 2017 algunos bancos alemanes se habían enfrentado al mismo problema. Todo esto se podría haber evitado si los bancos utilizaran autentificación de doble factor que no dependiera de los mensajes de texto. Pero, de momento, la mayoría de las entidades financieras no permiten otros medios de autentificación de doble factor que no sea a través de SMS.

Los analistas de Kaspersky Lab esperan que, en un futuro próximo, los bancos de todo el mundo puedan ofrecer a sus clientes otras opciones que mejoren su protección. En este sentido, recomiendan usar versiones seguras de la 2FA como las aplicaciones de autentificación o los Yubikeys en lugar de los SMS, y una solución antivirus de confianza para proteger los sistemas de troyanos bancarios y keyloggers y que, por tanto, los cibercriminales no puedan robar los usuarios y contraseñas.