Las palabras clave de un solo uso son vulnerables ante las nuevas técnicas de los hackers.
A mediados de julio, un director de cuentas de Ferma, una compañías constructora en Mountain View, California, entró en la cuenta bancaria de la compañía para pagar unas facturas, y utilizó una palabra clave de un solo uso para hacer que las transacciones fuesen más seguras.
No obstante, el ordenador había sido secuestrado. Un análisis forense llevado a cabo más tarde reveló que una visita anterior a otra página web había permitido que un programa malicioso invadiese el ordenador. Al mismo tiempo que el director de cuentas efectuaba los pagos legítimos, el programa inició otras 27 transacciones a varias cuentas bancarias, extrayendo 447.000 dólares en cuestión de minutos. “No sólo entraron en el sistema, sino que supieron la cantidad que podían extraer, y extrajeron el límite,” afirma Roy Ferrari, el presidente de Ferma.
El robo tuvo lugar a pesar de que Ferma utilizó una palabra clave de un solo uso, un código de seis dígitos que genera un pequeño aparato electrónico cada 30 ó 60 segundos. Los ladrones por internet se han adaptado a esta medida de seguridad adicional mediante la creación de programas especiales—caballos Troyanos en tiempo real—que pueden efectuar transacciones a un banco mientras que el titular de la cuenta esté en internet, convirtiendo la palabra de clave de un solo uso en el eslabón débil dentro de la cadena de seguridad financiera. “Creo que es un modelo que ya no funciona,” afirma Ferrari.
Los expertos en seguridad afirman que tanto los bancos como los consumidores necesitan adaptarse—que los bancos deberían ofrecer a los titulares de cuentas más seguridad, y que los consumidores deberían tomar más precauciones para permanecer seguros, especialmente protegiendo los ordenadores que utilizan para las transacciones financieras.
“Fundamentalmente tenemos que volver a rediseñar la forma en que los clientes interactúan con sus bancos por internet,” afirma Joe Stewart, director de investigación de malware para la firma de seguridad SecureWorks, en Atlanta, Georgia. “Dejando al margen los problemas que se dan con la tecnología, si los atacantes son capaces de ejecutar su código en tu ordenador, entonces son capaces de hacer cualquier cosa. Se convierten en ti mismo.”
La compañía de seguridad RSA, con sede en Bedford, Massachusetts, y que fabrica un aparato de palabras clave de un solo uso llamado Escurrid, argumenta que ni las compañías ni los consumidores deberían depender de ningún factor individual para llevar a cabo sus transacciones. Sam Curry, vicepresidente de marketing de producto para la compañía, y que ahora es una división de EMC, afirma que la tecnología de palabras clave de un solo uso, aplicada junto a otras medidas de seguridad, puede subir el listón contra los atacantes pero no puede mantenerlos alejados para siempre. “Las compañías deberían recelar tanto de las profecías acerca del fin del mundo, como puede ser la muerte de un tipo de tecnología, como de aquellos que pinten la seguridad de color de rosa,” afirma Curry. “Cualquier barrera se puede romper.”
Las medidas de seguridad puede que no eliminen las amenazas, pero pueden hacer que a los criminales les cueste más utilizar un tipo particular de ataque, añade Curry. El problema reside en encontrar la mejor combinación entre costes, usabilidad y seguridad para el consumidor.
Una solución consiste en utilizar software o un terminal específico para asegurarse de que ningún programa malicioso logra interceptar las comunicaciones del consumidor con el banco. Los consumidores con PCs o portátiles antiguos podrían instalar en ellos un sistema operativo Linux gratis y utilizar la máquina exclusivamente para las transacciones financieras, según sugiere Stewart desde SecureWorks. Algunas compañías de seguridad también están desarrollando un software que permite a los usuarios ejecutar una zona segura en el ordenador que elimina la amenaza de que las comunicaciones sean interceptadas.
“Volvemos a la pregunta, ‘¿Se puede confiar en el ordenador que estamos utilizando? ¿Ha sido infectado por algo capaz de impactarte cuando entras en tu cuenta bancaria?” afirma Stewart.
Otra solución consiste en utilizar una segunda forma de comunicación, como por ejemplo llamar desde un teléfono o enviar un mensaje SMS, para confirmar que una transacción es válida, afirma Ariel Avitan, director de seguridad de información para Europa, Oriente Medio y África en Frost&Sullivan, una consultoría global de negocios con sede en San Antonio, Texas. “Es el juego del gato y el ratón,” afirma Avitan. “Los criminales abren una nueva puerta, y nosotros la cerramos. Después acaban encontrando otra puerta.”
Encontrar soluciones y hacer que las compañías financieras las adopten son dos retos distintos. Los bancos no implementaron la autenticación de dos factores hasta octubre de 2005, después de que el Consejo de Examen de Instituciones Financieras Federales (FFIEC, en sus siglas en inglés) obligase a que las cuentas bancarias online poseyesen medidas de seguridad adicionales.
Desde Ferrari, Ferma ya ha decidido volver a utilizar una solución de baja tecnología. “Hemos vuelto a los tiempos en que escribíamos los cheques a mano,” afirma.