• Tweet

Un sistema de doble factor de autenticación operado por el banco Dutch Amro ha sido comprometido y los atacantes han robado el dinero de cuentas en línea de clientes quienes fueron víctima de un phishing scam.

El doble factor de autenticación para la banca en línea generalmente involucra contraseñas y tokens los cuáles proporcionan sincronización y constante cambio de claves para utilizarlas como evidencia adicional de identidad.

La industria de la seguridad ha promovido los tokens como una medida preventiva contra el hackeo a los sistemas bancarios en línea. Sin embargo, expertos han advertido que estos sistemas aún son vulnerables a ataques phishing, donde los correos electrónicos fraudulentos engañan a los usuarios con el objetivo de obtener información confidencial, evadiendo los métodos de seguridad de los sitios web.

Cuatro clientes que utilizaron el doble factor de autenticación han sido compensados por ABN Amro por cantidades no reveladas tomadas de sus cuentas bancarias.

“Estamos tomando de una manera muy seria este incidente, adicionalmente estamos informando a nuestros clientes y estamos implementando todas las medidas técnicas que están a nuestra disposición para detener a los criminales”, dijo Johan van Hall de ABN Amro en los Países Bajos. “El uso de la seguridad en las computadoras caseras y en las que se encuentran en la oficina es un requerimiento esencial para la banca en línea, y planeamos recordarle a nuestros clientes este hecho de manera más frecuente y urgente que antes de este hecho.”

Los hackers enviaron emails falsos a los clientes aparentemente provenientes de ABN Amro. Si los recipientes abrían un archivo adjunto, un software era instalado en sus máquinas sin su conocimiento. Cuando los clientes visitaban el sitio del banco, el software los redireccionaba a un sitio controlado por el hacker en dónde les pedía sus detalles de seguridad.

Tan pronto como los hackers recibían esta información, estában listos para entrar en la cuenta de los clientes en el sitio web auténtico de ABN Amro, antes de que expirara el número generado por el token. Entonces podrían transferir el dinero de los clientes.

Expertos en seguridad han advertido que estos “ataques de hombre en medio” no pueden ser prevenidos por los tokens de seguridad.

En el congreso E-Crime en Londres llevado a cabo el mes pasado, varios expertos hablaron sobre las limitaciones de los sistemas y el peligro de este tipo de ataques, los cuáles son inminentes.

“Hay varias cosas negativas que pueden decirse sobre la autenticación de dos factores”, dijo en la misma conferencia Ross Anderson, un profesor de seguridad de la información en la Universidad de Cambridge. “Los bancos se están resistiendo a utilizarlos por que su staff técnico sabe que será muy caro introducirlos y no serán efectivos. Algunos bancos los introducirán, pero rápidamente serán vulnerados, y entonces serán rápidamente olvidados.”