En el último año hemos asistido a un crecimiento excesivo de intentos de
robo de identidad electrónica. El principal método usado ha sido el phishing
(«pesca» mediante correos engañosos) con un aumento del 110% mensual en los
últimos 6 meses. Este hecho añadido a otras técnicas más tradicionales como
son explotación de vulnerabilidades, troyanos y sus derivados, llevan a los
expertos a idear mejoras para los sistemas de autenticación.
Tradicionalmente el usuario dispone de una pareja que consta de un nombre y
una clave, que lo identificarán como usuario del servicio y le permitirán
hacer uso del mismo. Los inconvenientes de esta formula son varios:
– El usuario puede utilizar claves muy simples si se lo permitimos,
por ejemplo: «clave».
– El usuario puede usar la misma clave para varios servicios. Si por
cualquier causa se compromete una de estas claves existe peligro de
intromisión en el resto de servicios en que usáramos.
– El usuario puede ser engañado para que proporcione sus datos de
identificación en un sitio que aparenta ser el mismo que el que nos
proporciona el servicio real.
– El usuario puede encontrarse en un ordenador de poca confianza (por
ejemplo en un cibercafé) o su ordenador puede encontrarse comprometido y
enviando toda la información introducida al atacante.
Estas desventajas propician la aparición de métodos que complementan al
funcionamiento tradicional y que se basan en añadir una capa de seguridad
mediante el uso de nuevos soportes, entre los que destacamos:
– Tarjetas de un solo uso en las que el cliente debe rascar la
superficie para ver el valor que deberá usar la próxima vez que quiera
conectarse al servicio. El banco, en este caso, envía por correo
convencional una nueva tarjeta cuando detecta que al cliente se
le va a agotar la actual.
– Calculadoras especiales de bolsillo o llavero que computan un valor
dependiendo de sus características y otras variables como el momento en el
que se consultan.
– Tarjetas con chips inteligentes que devuelven una palabra de paso
de un solo uso tras introducir el PIN en un lector especial.
– Métodos menos asequibles que sirven para identificarnos únicamente, tales
como aparatos que hacen uso de parámetros biométricos (huellas dactilares,
escáner de retina, etc)
En todos los casos vemos que el aumento de la seguridad está asociado a un
mayor coste de la solución, pero comienza a ser necesario el uso de estos en
servicios como la banca, cuyos clientes están continuamente expuestos a
intentos de robo.
fsantos@hispasec.com
Más información:
Anti-Phising Working Group
http://www.antiphishing.org/
Complex Passwords Foil Hacks
http://www.wired.com/news/infostructure/0,1377,63670,00.html
Contraseñas y banca electrónica
http://barrapunto.com/article.pl?sid=04/06/04/1121255&mode=thread
Continúan los intentos de estafa contra bancos españoles
http://www.hispasec.com/unaaldia/2041
Deja una respuesta