Carlos A. Castillo L.

Una de los principales preocupaciones actualmente cuando se navega en Internet es la protección de la confidencialidad de la información; en especial la relacionada con transacciones electrónicas o información que permita identificar a una persona (Personally Identifiable Information or PII) con el fin de prevenir fraude electrónico o suplantación de identidad entre otros riesgos. Una de las herramientas más comunes para obtener dicha información de forma ilegitima son los “Keyloggers”: Componentes de software o hardware que  tienen como objetivo capturar las pulsaciones realizadas en el teclado con el fin de obtener la información que digita el usuario y enviarla hacia el delincuente informático. Tradicionalmente, los keyloggers están diseñados para funcionar en computadores tradicionales, sin embargo, debido a la cada vez más popularidad de los dispositivos móviles y la siempre llamativa idea de vulnerar el segundo método de autenticación (PIN) en cajeros automáticos, estos mecanismos están empezando a evolucionar con el fin de evitar métodos de detección y evadir medidas adicionales que se implementan para proteger la información.

Un ejemplo de estos “keyloggers” es el uso de camaras térmicas para obtener la clase secreta (PIN) de un cajero automático. La investigación fue presentada a comienzos de Agosto en el USENIX Security Symposium por investigadores de la Universidad de California. La idea consiste en detectar el calor residual dejado en cada tecla presionada mediante el uso de una cámara térmica. Lo interesante es que, aunque aún no se ha detectado la implementación de esta técnica, en realidad es factible obtener el PIN mediante el calor residual:

Fuente: Thermal Camera-Based Attacks Whitepaper

Entre las “ventajas” de este ataque está que permite evadir el mecanismo de seguridad de tapar con la mano el teclado mientras digitamos el PIN, sin embargo, es casi imposible que esta técnica funcione en un teclado metálico. De todas formas, según los investigadores, en teclados plasticos es bastante efectivo (80% en una ventana de tiempo de 10 segundos despues de que la persona presionó las teclas) permitiendo obtener las teclas e inclusive el orden en que fueron presionadas.

Un segundo ejemplo de keyloggers creativos es Touchlogger: Un keylogger que funciona haciendo uso de los datos capturados por el acelerómetro presente en casi cualquier teléfono inteligente. Investigadores de la Universidad de California Davis afirman que este keylogger funciona debido a que cada tecla tiene asociado un movimiento del dedo único que permite identificar cuál tecla se está presionando:

Fuente: TouchLogger Whitepaper

Según las pruebas realizadas por los investigadores, la efectividad promedio de esta técnica es del 71.5% y desde luego la precisión depende de la sensibilidad del acelerómetro, sin embargo, más del setenta porciento no es un número para nada despreciable. De otra parte, esta técnica de seguro pasaría totalmente desapercibida para el usuario debido a que casi cualquier aplicación puede hacer uso de estos datos sin requerir permisos adicionales.

Para mayor información sobre estos keyloggers, recomiendo leer los artículos oficiales disponibles en los siguientes enlaces: (Thermal Camera-Based Attacks  y TouchLogger).

Fuente: S21Sec

Son aproximadamente dos meses desde mi último post en el blog. La razón de esto es que, durante este tiempo se dió una nueva oportunidad laboral: cambié mi trabajo en la Superintendencia Financiera de Colombia por el de Malware Researcher en el nuevo McAfee Labs en Santiago de Chile. Sin embargo, durante estos meses no he dejado de estar enterado del mundo de la seguridad informática revisando diariamente noticias, papers, investigaciones y nuevos descubrimientos de amenazas que pueden estar afectando a las personas que navegan todos los días en Internet. De esta forma, me enteré del post titulado “ZeuS Mitmo: Man-in-the-mobile” publicado en el blog de la empresa española S21Sec el cual anuncia el descubrimiento de la evolución del conocido troyano bancario ZeuS hacia el mundo de los dispositivos móviles.

Antes de comentar la novedad, primero voy a dar una pequeña introducción sobre ZeuS. En realidad, no se trata de un solo ejemplar de malware sino de un kit de herramientas que permite construir y administrar una botnet mediante la generación de código malicioso. El objetivo principal de ZeuS es robar información confidencial que puede ser utilizada por los delincuentes informáticos para realizar fraude electrónico o para efectuar robo de identidad. Una de las últimas novedades de ZeuS era la inclusión de la técnica Man-in-the-Browser la cual permite la captura, en tiempo real, de las credenciales de acceso (nombre de usuario y contraseña) a la banca en línea por lo que la transferencia de fondos hacia la cuenta del delincuente informático se realiza sin que el cliente se de cuenta. Esto es posible debido a que el malware cuenta con un sistema de notificación que le avisa al bot master que el cliente se ha autenticado por lo que, desde ese momento, se cuenta con todos los elementos necesarios para realizar la transferencia bancaria (incluso se puede obtener los one-time passwords que generan los Tokens físicos). Adicionalmente, según SecureWorks, ZeuS también es capaz de capturar certificados digitales (PKCS #12) que son usados por los navegadores de las víctimas para autenticarse en los sitios web transaccionales.

Abarcados estos métodos de autenticación fuerte, ZeuS va un paso más allá: ahora incluye la opción de infectar dispositivos móviles y capturar los mensajes de texto (SMS) que son enviados al teléfono como segundo método de autenticación. Esto es debido a los cada vez más populares tokens de software los cuales utilizan los mensajes cortos de texto para autenticar a los usuarios de la banca en línea.

El principal método de infección consiste en enviar un link, mediante SMS, que permite instalar una aplicación maliciosa encargada de robar el SMS adicional de autenticación. Para ello, ZeuS dispone de un sitio web que permite registrar el modelo y número de teléfono celular al cual se le envía el mensaje de texto con el link mencionado:

Fuente: S21Sec

Importante mencionar que el malware es multiplataforma: al escoger el fabricante, el código malicioso escoge si enviar el link para instalar una aplicación Symbian (.sis) o una aplicación para BlackBerry (.jad). S21Sec analizó el ejemplar para Symbian S60 evidenciando el sistema de Comando y Control implementado en el malware mediante el uso de los mensajes cortos de texto SMS:

Fuente: S21Sec

Básicamente, el código malicioso se registra con el bot master enviando un mensaje SMS con la cadena “App installed ok” y queda a la espera de recibir comandos por el mismo medio. Dichos mensajes son recibidos y enviados por un número predefinido pero puede ser cambiado mediante el comando “SET ADMIN”. ZeuS también incluye la opción de adicionar/eliminar/actualizar contactos con lo cual el envío/recepción de SMS puede ser fácilmente enmascarado.

Con esta nueva funcionalidad de ZeuS, queda demostrado que el crimeware va a la par con los avances en seguridad informática incluyendo, en esta ocasión, los dispositivos móviles los cuales son cada vez más indispensables en la vida cotidiana y, por tanto, seguirán siendo objetivo de los delincuentes informáticos.

Update: Según el blog de F-Secure, el C&C desde donde se administraba la botnet ha sido dado de baja, sin embargo, de seguro se espera que aparezcan nuevas versiones del malware con funcionalidades mejoradas.

Recientemente surgió en el mercado una novedosa alternativa para reducir el riesgo de que un delincuente informático intercepte una transacción electrónica en tiempo real mediante un ataque de man-in-the-middle. Se trata del dispositivo ZTIC (Zone Trusted Information Channel) de IBM el cual se encuentra actualmente implementado en UBS (Union Bank of Switzerland), el segundo mayor banco en el mundo en la administración de activos privados y el segundo banco de Europa, tanto en capitalización del mercado como en costo/beneficio.

El ZTIC es un lector de tarjetas inteligentes (lo que se conoce como tarjetas chip en Colombia) que se conecta al puerto USB desde donde se va a realizar la transacción electrónica. En el momento de realizar esta acción, se despliega tanto en el dispositivo como en el computador, el mensaje “Start Online Service” con lo cual comienza el proceso de autenticación y autorización con el sitio web transaccional. Luego de que el ZTIC se ha instalado, se procede a insertar la tarjeta inteligente en el dispositivo y se ingresa la clave personal bancaria en el sitio web del banco. Hasta este punto, el cliente solamente puede realizar consultas sobre sus saldos y su historial transaccional, sin embargo, para poder realizar transferencias o pagos en necesario diligenciar unos datos en la web entre los que se encuentra el número de cuenta bancaria. Al confirmar la transacción, en el ZTIC debe aparecer el mismo número de cuenta proporcionado realizando de esta manera un tercer paso de autenticación. Finalmente, un mensaje de confirmación debe aparecer en el sitio web transaccional del banco.

Lo importante de esta tecnología es que ofrece un tercer factor de autenticación el cual previene de ataques que intercepten la transacción (como por ejemplo los que es capaz de efectuar el famoso y difundido troyano Zeus con su ataque man-in-the-browser) mostrando en el dispositivo el número de la cuenta real a al cual va a ser transferido el dinero.

Probablemente la desventaja más notoria del ZTIC es que actualmente cuesta 65 CHF (francos suizos) que al cambio equivale a 56 USD o 110.000 COP lo cual es bastante costo para la mayoría de personas en Latinoamérica.

Para un mayor entendimiento de cómo funciona el ZTIC, a continuación les comparto un video de su uso:

La tarjeta que ven en la parte superior reemplazará en Colombia dentro de poco la tradicional banda magnética que ha reinado durante aproximadamente 50 años. Forrest Perry, ingeniero de IBM, inventó en 1960 la tarjeta de banda magnética bajo el auspicio del gobierno de los Estados Unidos. El único mecanismo de seguridad que tenía el estándar era una “firma” embebida (MagnaPrint, Magne Print o BluPrint) en la tarjeta que le permitía al dispositivo lector validar la identidad de la tarjeta junto con otro factor de autenticación para validar al usuario el cual es desde luego es una clave personal. La tecnología avanzó y actualmente es muy frecuente el fraude electrónico a través de la técnica llamada comúnmente “Skimmer” o “clonación de tarjetas” la cual consiste básicamente en esconder un dispositivo lector de banda magnética el cual se encarga de copiar toda la información (incluyendo la firma) para posteriormente colocarla en otra tarjeta y realizar transacciones desde prácticamente cualquier parte del mundo. La técnica es bastante conocida y, desde luego, Colombia no es la excepción.

Varios años después, Marc Lauss, uno de los pioneros de las tarjetas inteligentes en Francia visitó en 1988 a Datacard Corp, el gigante de las tarjetas de crédito en Estados Unidos en ese tiempo. La idea era implementar las llamadas “tarjetas con chip” en el sistema bancario y reducir en un alto porcentaje la clonación de tarjetas. La reunión en ese entonces no surtió efecto, sin embargo, en 1995 hubo un giro inesperado y la empresa de Lauss (Gemplus SCA) adquirió las operaciones internacionales de manufactura de Datacard, logrando que gigantes como Visa y Mastercard centraran su atención en esta nueva tecnología la cual tiene un principio realmente simple: incorporar mayor almacenamiento de información en las tarjetas y proporcionar mayor seguridad contra fraudes.

Ya en el 2008, el Banco AV Villas fue la primera entidad financiera en arriesgarse a implementar las nuevas tarjetas inteligentes distribuyendo 3.000 de estas entre sus empleados. El cambio más significativo con esta nueva tecnología consiste en que la tarjeta queda dentro del dispositivo lector MIENTRAS DURE LA TRANSACCIÓN por lo que si se intenta sacar antes de tiempo, se corre el riesgo de dañar el chip. En Colombia, las entidades que le siguen a AV Villas son Bancolombia y Banco de Bogotá las cuales ya están adelantando actualizaciones en cajeros automáticos y datafonos para la nueva tecnología.  Actualmente, en el 2010, se estima que 6.000 millones de tarjetas inteligentes se estarán usando en todo el mundo las cuales “permiten, entre otros aspectos, almacenar firmas digitales, datos encriptados, características biométricas como la huella digital o el iris, entre otras aplicaciones que evitan las posibilidades de fraude”.

Me llama la atención la afirmación del director de Mercadotécnica de Gemalto, Dimas Goméz, al asegurar que “Hasta el día de hoy no habido un caso de clonación con este chip. Disminuye a cero la probabilidad de clonación”. Primero que todo, no es posible asegurar un 0% de posibilidad del mismo modo que no existe un nivel de seguridad del 100%. Por otro lado, ¿Y si no fuera necesario clonar la tarjeta para realizar el fraude? Esto fue lo que descubrieron investigadores de la Universidad de Cambridge al realizar un ataque de hombre en el medio (man-in-the-middle) aprovechándose de una vulnerabilidad contenida en el estándar EMV (Europay Mastercard Visa) de las actuales tarjetas inteligentes. El fallo consiste en que el subprotocolo de negociación de cómo el usuario de la tarjeta debe ser verificado (PIN, firma o ningún método) no es autenticado por lo que es posible engañar a la tarjeta haciéndola pensar que está haciendo una transacción Chip-Firma cuando en realidad está haciendo una transacción del tipo Chip-PIN:

Lo más relevante sobre este ataque es que:

1. El ataque aplica tanto a tarjetas usadas en línea (con conexión a la entidad bancaria) como con tarjetas que se utilicen en datafonos sin red
2. El ataque funciona para cualquier monto de dinero que se desee (no tiene límite)
3. El ataque no funciona una vez el banco cancela la tarjeta
4. El ataque no funciona en cajeros automáticos
5. La falla aplica para esquemas de tarjetas de crédito basados en el estándar EMV (Europay – Mastercard – Visa) el cual es el caso de Colombia

En conclusión: El protocolo EMV tiene una falla en el método de autenticación del código PIN (o clave secreta como la llamamos en mi país) por lo que es posible realizar transacciones débito en un datafono sin la necesidad de proporcionar la clave correcta.  La solución al problema se encuentra en la misma definición del protocolo EMV por lo que se requiere de bastante esfuerzo para migrar los sistemas que soportan las aproximadamente 730 millones de tarjetas en el mundo que utilizan el estándar.

Por otro lado, actualmente se requieren varios dispositivos de hardware para realizar el fraude por lo que es necesario contar con una tarjeta robada lo cual le da tiempo al cliente de evitar el ataque cancelando la tarjeta en la entidad bancaria. Adicionalmente pienso que, a pesar de los hallazgos encontrados, el nivel de sofisticación de un ataque a una tarjeta inteligente es mucho mayor que el que se puede llevar a cabo en una tarjeta de tecnología antigua con banda magnética por lo que lo recomendable es seguir las recomendaciones de seguridad que proporcionan las entidades bancarias debido a que, si bien no existe un 100% de protección contra el fraude, si se puede tomar medidas y controles para minimizar ésta posibilidad.

Finalmente una pregunta abierta: ¿Deberíamos empezar a pensar en autenticación mediante métodos biométricos para realizar transacciones financieras? (Huella dactilar, Iris, Facciones etc…)

PD: Si desean profundizar en el tema en este link pueden encontrar el paper técnico en donde se explica en detalle el tema.

PD2: Un video de la BBC en donde muestran y explican el ataque: