Burlar bitcoins

CLAVES:

• Tecnologías cada vez más accesibles ya permiten el robo de huellas dactilares, replicar la voz o copiar el iris.
• Algunos expertos en seguridad resaltan que el robo de claves es menos problemático que la usurpación de la seña de identidad biométrica, ya que esta no se puede cambiar y un código PIN se modifica de manera rápida.
• La ciberdelincuencia podría empezar a poner en jaque la inversión de la banca en controles biométricos.
• Crece el consenso en que al final, la seguridad dependerá de la implementación de múltiples sistemas combinados.

La huella dactilar, el reconocimiento de voz o del iris de los ojos parecían estarse postulando como los nuevos sistemas de autenticación capaces de hacer frente a las nuevas amenazas cibernéticas con mayor solvencia, sustituyendo de forma definitiva a los sistemas de contraseñas y nombres de usuario. Sin embargo, algunas investigaciones recientes parecen apuntar a que los ciberdelincuentes van un paso por delante de estas innovaciones y ya han descubierto formas para burlar también estos nuevos sistemas de seguridad.

Por ejemplo, un análisis de Kaspersky, firma especializada en seguridad informática, destaca que existen múltiples fabricantes de productos capaces de ser utilizados para copiar la huella dactilar de cualquiera. Según Kaspersky, “ya existen al menos 12 vendedores que ofrecen aparatos capaces de robar las huellas dactilares de las víctimas. Y al menos tres de ellos ya están analizando dispositivos que podrían obtener ilegalmente datos de los sistemas de reconocimiento de venas de la mano y del iris“. “Si un ciberatacante roba un pasaporte electrónico, tendrá acceso a los datos biométricos de esa persona. Roban la identidad de una persona“, afirma Olga Kochetova, experta en seguridad de Kaspersky Lab.

La siguiente gráfica, extraída del informe de Kaspersky, muestra cómo sería el escenario de un ataque llevado a cabo mediante el robo de datos de autenticación biométrica, utilizando el llamado “data skimming” y los pasos en que tendría lugar:

En esta otra gráfica, vemos cómo se llevaría a cabo el ataque usurpando los datos de biométricos a través de un dispositivo de tarjetas EMV:

Documento completo: Kaspersky Lab – Future Attack Scenarios Against Authentication Systems, Communicating with ATMs

KASPERSKY LAB. Future Attack Scenarios Against Authentication Systems, Communicating with ATMS. 22 de Septiembre de 2016 [consultado 30-09-2016]. Disponible en https://securelist.com/files/2016/09/Future_ATM_attacks_report_eng.pdf

KASPERSKY LAB. Biometric skimmers are here: Kaspersky Lab Examine Near-Future Threats to ATMs. 22 de Septiembre de 2016 [consultado 30-09-2016]. Disponible en: http://usa.kaspersky.com/about-us/press-center/press-releases/2016/Biometric_skimmers_are_here_Kaspersky_Lab_Examine_Near-Future_Threats_to_ATMs

¿Qué pasa entonces con las inversiones de la banca?

Sin embargo, los bancos llevan desde hace tiempo investigando e invirtiendo para utilizar estas nuevas soluciones biométricas en un futuro próximo. Según un estudio de BBVA las inversiones del sector en la actualidad se sitúan en los 25.000 millones de dólares. La consultora Acuity calcula que en el 2020, la biometría se utilizará para autentificar casi el 65% de todas las transacciones de comercio móvil y es precisamente ese impulso de la telefonía móvil el que cimentará el desarrollo de los controles biométricos. ¿Qué va a ocurrir con todo este movimiento ahora que empiezan a surgir dudas también sobre la seguridad de estos sistemas?

ACUITY. Mobile Biometrics to Disrupt the Global Payments Market Securing 65% of all MCommerce Transactions by 2020. 15 de Julio de 2015 [consultado 30-09-2016]. Disponible en: http://www.prnewswire.com/news-releases/mobile-biometrics-to-disrupt-the-global-payments-market-securing-65-of-all-mcommerce-transactions-by-2020-300113518.html

Algunos expertos en seguridad resaltan que el robo de claves es menos problemático que la usurpación de la seña de identidad biométrica, ya que esta no se puede cambiar y un código PIN se modifica de manera rápida. El problema es que los datos biométricos se han incorporado también en documentos relevantes como los DNI o los pasaportes, por lo que en caso de robo del documento esos datos biométricos pueden difundirse.

Si los bancos incorporan los datos biométricos a sus cajeros automáticos, algo ya previsto y en marcha, la inseguridad de las transacciones puede llegar a elevarse y, según Kaspersky, “los ciberdelincuentes lo ven como una nueva oportunidad para robar información sensible“.

Llegan los “shimers”: dispositivos capaces de copiar la información de un chip

A la duplicación de tarjetas de crédito, la ciberdelincuencia ha sumado la tecnología de ‘shimers’ o dispositivos capaces de copiar la información de un chip (de una tarjeta, por ejemplo). Esa información puede ser suficiente para llevar a cabo un ataque de retransmisión ‘on line’. Frente a estos delincuentes tecnológicos, los ‘hackers’ de siempre continuarán realizando ataques basados en ‘malware’, entradas en bancos de datos (como el pirateo realizado recientemente en Yahoo) y entrada en webs empresariales para aprovechar los datos que luego pueden ser utilizados para hurtar el dinero de los bancos y sus clientes.

En la siguiente imagen vemos un dispositivo shimer, hallado en 2015 en un ATM de México, capaz de copiar toda la información registrada en un chip y utilizado para realizar robos mediante esta nueva técnica de “skimming”, diferente a la del tradicional duplicado de tarjeta:

La primera venta de máquinas capaces de copiar datos biométricos en “pruebas de preventa”, según Kaspersky, se detectó en septiembre del 2015. El problema principal de esos aparatos era el uso de módulos GSM para la transferencia de datos, por lo que eran demasiado lentos para transferir el gran volumen de datos obtenidos. Las nuevas tecnologías de transferencia de datos móviles han superado ese problema y en cuestión de segundos información personal hasta ahora insospechada puede pasar a otras manos.

¿Alternativas multibiométricas?

Ante esa nueva amenaza, las empresas que apuestan por sistemas de seguridad biométricos se han apresurado a mejorar sus tecnologías. Un ejemplo es Vector ITC que ha desarrollado un sistema multibiométrico que no se conforma con la identificación de la huella dactilar, sino que la combina con reconocimiento facial, de voz y de documentos oficiales. El objetivo es diseñar un ‘cóctel’ de identificación que haga muy complicado el fraude. La próxima frontera es la prueba de ADN rápida.

VECTOR ITC. Tecnología Biométrica. Sencillez, rapidez, y seguridad en el alta y registro de usuarios. 26 de Septiembre de 2016 [consultado 30-09-2016]. Disponible en: http://www.vectoritcgroup.com/es/productos-de-software/solucion-multibiometrica

Por otro lado, algunos expertos en seguridad, más próximos a los intereses de las operadoras de telecomunicaciones, apuestan por sistemas de validación vinculados al móvil. Reivindican que el control de la identidad se realice mediante claves virtuales, no residentes en el proveedor del servicio y que deben validarse durante un periodo de tiempo concreto. Los sistemas de seguridad se centrarían en ese caso especialmente en la inviolabilidad de esa transmisión de información entre el cliente y el banco, por ejemplo.

Por tanto, vemos como crece el consenso en que al final, la seguridad dependerá de la implementación de múltiples sistemas combinados; claves tipo PIN, tarjeta de claves, mensajes al móvil, identificación biométrica múltiple, control ADN inmediato… y siempre en continuo cambio.

BIOMETRIC UPDATE. Kaspersky Lab reveal how criminals could exploit biometric ATM authentication. 26 de Septiembre de 2016 [consultado 30-09-2016]. Disponible en: http://www.biometricupdate.com/201609/kaspersky-lab-reveal-how-criminals-could-exploit-biometric-atm-authentication

El PERIÓDICO. La ciberdelincuencia pone en jaque la inversión de la banca en controles biométricos. 29 de Septiembre de 2016 [consultado 30-09-2016]. Disponible en: http://www.elperiodico.com/es/noticias/economia/biometrica-seguridad-banca-5426348?utm_source=feedly-noticias&utm_medium=feed&utm_campaign=portada

Descargar este documento en pdf