{"id":6863,"date":"2020-01-07T18:05:00","date_gmt":"2020-01-07T17:05:00","guid":{"rendered":"http:\/\/www.montejo.biz\/blog\/?p=6863"},"modified":"2020-05-03T18:18:29","modified_gmt":"2020-05-03T17:18:29","slug":"codigo-contra-el-fraude-bancario","status":"publish","type":"post","link":"https:\/\/www.montejo.biz\/blog\/2020\/01\/07\/codigo-contra-el-fraude-bancario\/","title":{"rendered":"C\u00f3digo contra el fraude bancario"},"content":{"rendered":"
\n

Uno de los objetivos principales de los ciberdelincuentes es acceder a los datos de los servicios de Banca electr\u00f3nica de los usuarios de internet para poder robarles el dinero.<\/p>\n\n\n\n

Desde hace varios a\u00f1os se est\u00e1n dando muchos casos de este tipo de robos. Desde los primeros m\u00f3dulos da\u00f1inos que grababan alrededor del cursor<\/a> (para ver lo que se eleg\u00eda o tecleaba, algunos lo siguen haciendo), pasando por las t\u00edpicas campa\u00f1as de phishing, con robos de contrase\u00f1as y funciones de backdoor<\/a>, siempre aderezadas con ingenier\u00eda social<\/a> y terminando con ataques distribuidos de denegaci\u00f3n de servicio, que son capaces de dejar sin servicio a entidades financieras.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Fuente: SeguridadyFirewall<\/a><\/p>\n\n\n\n

Un organismo dependiente de la Universidad de Cambridge, Cronto<\/a>, ha desarrollado un nuevo m\u00e9todo de protecci\u00f3n contra los ataques conocidos como \u201cman-in-the-browser<\/a>\u201d. Cabe recordar que este tipo malware se centra en atacar a los usuarios de la banca online.<\/p>\n\n\n\n

Este tipo de malware es utilizado por los cibercriminales para infiltrarse en el ordenador de un usuario haci\u00e9ndose pasar por software leg\u00edtimo. Una vez instalado, el troyano detecta el momento en el que el usuario est\u00e1 llevando a cabo una transacci\u00f3n online bancaria y, antes de realizar la transacci\u00f3n, es capaz de desviar fondos a otra cuenta sin que sea detectado de manera inmediata ni por el banco ni por el usuario.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Fuente: Blog Ehcgroup<\/a><\/p>\n\n\n\n

Lo que han hecho es crear una capa adicional de seguridad, utilizando, dependiendo del objetivo, un m\u00e9todo u otro de comprobaci\u00f3n.<\/p>\n\n\n\n

Configuraci\u00f3n y utilizaci\u00f3n<\/strong><\/p>\n\n\n\n

La primera operaci\u00f3n que hay que hacer es configurar los elementos de seguridad de la cuenta bancaria: Todas las entidades financieras est\u00e1n insistiendo a sus clientes que se aseguren que los datos de correo electr\u00f3nico y n\u00famero de tel\u00e9fono incluidos en sus bases de datos son correctos<\/em>, estos son esenciales para comprobar la seguridad de las transacciones.<\/p>\n\n\n\n

Una vez que hemos comprobado correctamente estos datos, podemos comenzar a utilizar la Banca online.<\/p>\n\n\n\n

Cronto permite que se pueda utilizar un dispositivo propio que implementa estos mecanismos de seguridad o tambi\u00e9n se puede utilizar nuestro tel\u00e9fono m\u00f3vil (tipo Smartphone obviamente).<\/p>\n\n\n\n

Para que una entidad financiera pueda implementar estos servicios es preciso que suministre a sus clientes (previo pago, estamos hablando de Bancos\u2026) un dispositivo comprado a Cronto o tambi\u00e9n elaborar una app m\u00f3vil (como el Commerzbank<\/a> o el Deutsche Bank<\/a>) que permite utilizar sus servicios.<\/p>\n\n\n\n

Hay 2 momentos en la utilizaci\u00f3n de la Banca online que es preciso utilizar esta seguridad reforzada:<\/p>\n\n\n\n

Autenticaci\u00f3n<\/em>. Cuando nos estamos identificando en los servicios de Banca electr\u00f3nica.<\/p>\n\n\n\n

Firma<\/em>. Cuando queremos realizar una operaci\u00f3n de transferencia de fondos o de cambio de alg\u00fan par\u00e1metro cr\u00edtico (como el n\u00famero de tel\u00e9fono o el correo electr\u00f3nico).<\/p>\n\n\n\n

En el caso de la autenticaci\u00f3n el m\u00e9todo que se ha elegido por defecto es el env\u00edo de un mensaje push al tel\u00e9fono m\u00f3vil del cliente.<\/p>\n\n\n\n

Debajo vemos un ejemplo de este tipo de mensajes.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Cuando hayamos introducido el usuario y la contrase\u00f1a (esto, en principio, sigue igual) el servicio nos env\u00eda un mensaje como este al tel\u00e9fono m\u00f3vil que nos pregunta si somos nosotros quien intentamos autenticarnos en el servicio, debemos pulsar en S\u00cd si es as\u00ed, NO en caso contrario.<\/p>\n\n\n\n

Esto tambi\u00e9n sirve si alguien ha conseguido nuestro usuario\/contrase\u00f1a del servicio e intenta entrar: entonces nos aparecer\u00eda en el m\u00f3vil este mensaje indicando que alguien (que no somos nosotros) intenta identificarse en el servicio, debemos pulsar NO y cambiar la contrase\u00f1a ipso facto<\/em>.<\/p>\n\n\n\n

Cuando el servicio nos pide firmar una transacci\u00f3n, los pasos que hay que seguir son los siguientes:<\/p>\n\n\n\n

Primero nos aparece en la transacci\u00f3n una imagen con puntos de distintos colores.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Debemos escanearla con nuestro tel\u00e9fono m\u00f3vil (o el dispositivo suministrado por el Banco) a trav\u00e9s de la aplicaci\u00f3n PhotonTAN del Banco.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Una vez escaneada la imagen, la aplicaci\u00f3n la descifra y nos presenta los datos de la cuenta y adem\u00e1s un c\u00f3digo num\u00e9rico que debemos incluir en la transacci\u00f3n.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

De esta forma ya hemos \u2018firmado\u2019 dicha transacci\u00f3n con un m\u00e9todo mucho m\u00e1s seguro que el t\u00edpico de enviar un SMS al m\u00f3vil.<\/p>\n\n\n\n

Los m\u00e9todos de autenticaci\u00f3n disponibles a trav\u00e9s de los servicios de Cronto son:<\/p>\n\n\n\n