Reducción del phishing y pharming en entidades bancarias mediante tracking avanzado

Se presentan técnicas informáticas que dificultan la realización de estafas por Internet y al mismo tiempo facilitan la identificación del sujeto autor del fraude.

Javier Ruiz Jiménez Director de Tecsisa

Si se realiza un análisis de los sitios web y las oficinas virtuales de algunas entidades bancarias se observa que la configuración de su infraestructura tecnológica no ayuda a prevenir el phishing y el pharming. Las técnicas que presento a continuación están orientadas a los diseñadores de software y administradores de sistemas y son de fácil aplicación. Aunque no solucionan el problema del todo, si ayudan a mitigarlo en gran medida.

El phishing es el término con el que se conoce la práctica fraudulenta de ingeniería social para conseguir información confidencial engañando al propietario de la misma. El phishing es utilizado habitualmente para conseguir la información de acceso a las oficinas virtuales de entidades bancarias y los números de las tarjetas de crédito.

El pharming es un término relacionado con el anterior y consiste en la explotación de una vulnerabilidad del sistema de nombres de dominio (DNS) que es el encargado de traducir direcciones web en direcciones de máquina. Esta vulnerabilidad permite redirigir un nombre de dominio específico a otra máquina distinta de la auténtica. Así, los piratas informáticos consiguen que los usuarios accedan a una página distinta de la verdadera, suplantando la página original por otra similar en aspecto, pero que utilizarán para capturar los datos de la víctima (contraseñas de acceso, número de tarjetas de crédito, etc.)

Duplicación del entorno de la oficina virtual

La duplicación del entorno de la oficina virtual (logotipos, colores, scripts...) es cada vez más habitual y los piratas están consiguiendo grandes niveles de realismo con los que consiguen engañar a sus víctimas. Sin embargo, suelen carecer de infraestructuras tecnológicas potentes y utilizan servidores alojados en países lejanos.

La técnica del phising se ha sofisticado mucho. Hace tiempo los mensajes de correo electrónico que enviaban los piratas a sus víctimas contenían texto plano y errores de ortografía que facilitaban su detección. Pero cada día estos mensajes están mejor diseñados, incorporan elementos que reproducen con gran similitud la imagen de marca de la entidad bancaria y están escritos en un lenguaje correcto, sin faltas de ortografía que permitan a las víctimas sospechar sobre su procedencia.

Pero aunque hayan avanzado para evitar ser detectados, las limitaciones técnicas y presupuestarias de los piratas les lleva a no utilizar copias de estos recursos (logos, teclados virtuales, estilos…), sino que referencian mediante enlaces los propios recursos de la entidad que intentan suplantar. Es decir, envían mensajes de correo electrónico en formato HTML con referencias a recursos publicados en los servidores de la propia entidad. De esta forma, los piratas consiguen que el mensaje de correo se cargue con mayor velocidad, transmiten mejor imagen y más realismo, lo que aumenta sus probabilidades de éxito a la hora de convencer a sus víctimas. Además, algunas configuraciones de servidores de correo electrónico permiten el paso de estos mensajes sin que salten los filtros antispam.

A continuación propongo cómo utilizar estas limitaciones técnicas a favor de la seguridad de la entidad bancaria y no en su contra como muchas veces sucede en la actualidad. Estas tres técnicas son complementarias y sencillas:

1. Utilización de direcciones web identificadas

2. Utilización de información de seguimiento en recursos

3. Seguimiento de Cookies

1. Utilización de direcciones web identificadas

Esta técnica genera direcciones web únicas para cada visita del usuario y recurso solicitado (logos, teclados virtuales, estilos, código…) impidiendo que los recursos sean referenciados posteriormente desde mensajes de correo electrónico u otros sitios web fraudulentos.

Las ventajas de aplicar esta técnica son:

• Los recursos no son utilizables fuera de su entorno.

• Se genera una alerta de seguridad cuando se intenta utilizar un recurso desde fuera de la entidad.

• El recurso solicitado se sustituye por un aviso o imagen que alerta a quien lo visualiza de un intento de fraude.

• El pirata es identificado.

2. Incorporación de información de seguimiento en recursos

Consiste en manipular todos los recursos generados por los servidores web de la entidad (sitios públicos y oficinas virtuales) para incluir una marca digital. De esta forma, la entidad bancaria o los organismos antifraude competentes pueden extraer suficiente información para identificar al pirata.

El resultado de aplicar esta técnica es la identificación del usuario que consiguió las imágenes u otros recursos de la entidad bancaria con el fin de cometer un fraude.

3. Seguimiento de Cookies

Una cookie es un fichero con información que se almacena en el navegador del usuario y que sólo puede ser consultado y modificado por la página web visitada.

Una vez el pirata ha conseguido que su víctima le proporcione los datos de acceso a la oficina virtual, utilizará la información obtenida fraudulentamente para realizar transferencias de fondos a una entidad bancaria distinta a la atacada.

La utilización de cookies y su seguimiento por parte de las entidades bancarias permite identificar patrones de comportamiento anómalos, tales como el acceso con la misma cookie a distintas cuentas bancarias, las cuales están a nombre de diferentes titulares no relacionados entre sí.

Ya que en la mayoría de los casos las transacciones con destino a entidades externas no se procesan de inmediato, la detección de patrones anómalos mediante el seguimiento de cookies permitiría realizar comprobaciones manuales sobre las operaciones antes de ejecutarlas, o al menos, contar con información de seguimiento que pueda ser procesada por la entidad bancaria en caso de denuncia de fraude por parte de algún cliente.

El resultado de esta técnica es la identificación de operaciones interbancarias fraudulentas mediante la detección de patrones de acceso anómalos en la oficina virtual de la entidad.

Conclusión

Las técnicas anteriores son de fácil aplicación por parte de los desarrolladores de software y administradores de sistemas de las entidades bancarias y aunque no solucionan del todo el problema del phising, si ayudan a mitigarlo. Además, ponen a disposición de las autoridades competentes información que puede ayudar a capturar a los autores del fraude.