Los cibercriminales han tenido bastante éxito durante el año pasado a la hora de atacar a los bancos en su punto débil—los PCs de sus clientes. En 2009, el fraude online se vio duplicado, según datos del FBI.

Los bancos han empezado a contraatacar, enfocándose no sólo en la seguridad de sus sistemas sino en la de los sistemas de sus clientes. La semana pasada, la firma de seguridad Trusteer anunció que proporcionaría un servicio a los bancos que les permite analizar de forma remota los ordenadores de clientes que hayan sido atacados. Mediante el uso del servicio, llamado Flashlight, los clientes de banca que crean que han sido atacados podrán descargar un programa en su PC que analiza rápidamente el sistema a la búsqueda de pistas digitales dejadas atrás por los ladrones de internet y su software malicioso.

“Mediante el análisis del malware, los bancos pueden descubrir cómo se intentan saltar las medidas de seguridad los distintos grupos,” afirma Mickey Boodaei, director general de Trusteer. “Nos hemos dado cuenta de que la mayoría de los bancos no entienden realmente sus pérdidas por fraude. No tienen ni idea de dónde se originan, tanto si fue a través de Zeus [un caballo troyano bastante común] o a través de cualquier otro software malicioso, ni de qué grupos criminales los están atacando.”

Hasta ahora los bancos han tenido un éxito desigual a la hora de cazar a los cibercriminales. Mientras que el ciberfraude ha bajado en los últimos tres años, las transacciones fraudulentas por internet han aumentado, según una presentación de la Federal Deposit Insurance Corporation (FDIC), la agencia responsable de asegurar los ahorros de los americanos. En el tercer cuarto de 2009, las pérdidas relacionadas con el fraude online alcanzaron los 120 millones de dólares, de entre los cuales 25 millones fueron pérdidas en pequeños negocios, según informa la FDIC.

La mayoría del fraude se produjo debido a “malware en los PCs que los clientes usan para la banca por internet, relacionado con el phishing, la descarga de programas troyanos, o la visita a una página web que acabe infectando al PC con un ataque de malware de tipo ‘drive-by’,” afirmó David Nelson, examinador de la FDIC, durante la presentación.

Aunque las leyes de los EE.UU. requieren que los bancos utilicen más que únicamente un nombre de usuario y una palabra clave para asegurar las transacciones bancarias, los ladrones por internet se han adaptado rápidamente a la nueva seguridad. En vez de entrar en la cuenta de un usuario desde un país distinto, muchos cibercriminales cada vez utilizan con más frecuencia de forma subrepticia el navegador de la víctima para iniciar transacciones fraudulentas. “Tan pronto como las instituciones financieras empezaron a implementar fuertes procesos de autenticación, los criminales empezaron a encontrar formas de saltársela,” afirmó Nelson. “Casi todas las pérdidas (más recientes) se dieron como resultado de intrusiones informáticas en las redes de los PCs de los clientes de banca.”

Dado que los consumidores no son generalmente responsables de las pérdidas en sus cuentas provocadas por el fraude, los bancos cada vez toman más medidas para asegurar sus sistemas y los propios. “Los bancos se están dando cuenta de que el ser humano al otro lado es el eslabón más débil,” afirma Steve Surdu, vicepresidente de servicios profesionales en la firma de seguridad y servicios forenses Mandiant. “Al hacer que los clientes se unan a sus sistemas, se crea una debilidad.”

Muchos bancos ya analizan las transacciones a la búsqueda de patrones que indiquen fraude. Algunos requieren que los clientes añadan seguridad adicional a sus PCs. Por ejemplo, Trusteer vender un add-on de seguridad para navegadores, conocido como Rapport, que los bancos pueden entregar a sus clientes para ayudarles a asegurar las transacciones por internet.

Flashlight permite a los bancos tomar información acerca de sus clientes tras un incidente de fraude sin ni siquiera tener que enviar a un investigador. Puesto que el navegador es el portal que los clientes de banca por internet utilizan para acceder a su institución financiera, Flashlight centra ahí sus esfuerzos. El programa utiliza un proceso forense remoto para encontrar cambios en el navegador que se esté ejecutando en la memoria, cualquier archivo malicioso que haya sido añadido, así como cambios en la forma en que el navegador se comunica con otros programas. Envía sus descubrimientos de vuelta a Trusteer, quienes crean un informe para el banco detallando, si así fuera el caso, la existencia de algún programa con malas intenciones en el ordenador del usuario.

“Este es un proceso que los bancos pueden seguir con cada evento de fraude que sufran,” afirma Boodaei desde Trusteer. “Pueden tener una visión actualizada de las pérdidas por fraude.”

Durante las pruebas iniciales, Flashlight descubrió que cerca del 95 por ciento de todas las pérdidas bancarias en el Reino Unido fueron causadas por tres troyanos: el programa Zeus; un programa localizado específicamente en el Reino Unido llamado Silon; y Yaludle. Trusteer no tiene tantos clientes en los EE.UU., por lo que no pudo proporcionar datos acerca de las tendencias en el país.

La oferta de servicios forenses remotos es “un paso adelante inteligente,” afirma Mikko Hypponen, director general de investigación de la firma de antivirus F-Secure. La mayoría de las compañías de antivirus tienen herramientas de apoyo que permiten a los técnicos recabar información sobre los sistemas infectados de los usuarios. Microsoft proporciona un paquete forense a los agentes del orden conocido como Computer Online Forensics Evidence Extractor.

Hypponen está de acuerdo con que los bancos demandarán cada vez más que los clientes aseguren sus sistemas de forma más precisa. La ciberseguridad consiste principalmente en defender los sistemas mejor que otros objetivos, afirma. “No tienes que tener un tipo de seguridad perfecta,” afirma. “Tienes que tener una seguridad mejor que la de otros bancos.”