Herramientas de detección de fraude Web. Renovarse o morir

Buenas,

Hace algún tiempo publiqué una pequeña guía para seleccionar herramientas de detección de fraude Web (WFD, Web Fraud Detection). En el mundo de la seguridad no existen opiniones unánimes sobre las herramientas de este tipo, ya que dependiendo de la organización, el sector en el que opera y las actividades Web a monitorizar pueden ser consideradas como de gran utilidad o por el contrario, de escaso valor añadido. Es frecuente ver este tipo de soluciones especialmente en banca a distancia y comercio electrónico, aunque también hay mercado para WFD en otros segmentos, como por ejemplo los servicios de tramitación en línea.

Las soluciones WFD tienen como prinicipal problema el propio avance de las técnicas empleadas por los amigos de lo ajeno, pero a veces también se topan con cambios introducidos por terceras partes no maliciosas que perjudican o dificultan la detección de la actividad fraudulenta.

Ejemplos de la continua evolución de la técnica en la industria del malware hay muchos, y uno de los casos que podemos mencionar es el de la familia ZeuS y su particular módulo BackConnect, que permite a los atacantes realizar los ataques desde las propias máquinas en las que se han obtenido las credenciales, con lo que la detección basada en identificación del dispositivo y en la ubicación usual del cliente se verá perjudicada o incluso anulada. En el mundo de los troyanos financieros hace ya bastante que los ataques se orientan al uso de credenciales desde la máquina donde han sido obtenidas, con la finalidad fundamental de anular los mecanismos de detección del fraude que se basan precisamente en detectar operativa fraudulenta considerando el dispositivo y la ubicación usuales del cliente.

Para complicar aún más las cosas, además de los avances por parte de los atacantes, tenemos los cambios en los aspectos técnicos de terceras partes que sirven para la detección. El último caso lo tenemos en Adobe, que ha anunciado cambios en su popular tecnología Flash que pueden y de hecho afectarán a las soluciones WFD. Cuando se publique Flash Player 10.1, cuyo lanzamiento se prevé a lo largo de los próximos dos meses, los usuarios contarán con mejoras en la privacidad que tendrán un impacto casi inmediato en el mercado WFD. Las funciones de privacidad en Flash se harán más notorias para los usuarios y se soportará la navegación privada.

Adobe sostiene que ha añadido estas funcionalidades para prevenir que determinados sitios Web hagan un uso malintencionado de las funcionalidades de almacenamiento local de Flash. Esta práctica se conoce como browser cookie re-spawning, y consiste en que las aplicaciones Flash pueden emplear el almacenamiento local en el equipo del usuario para reinstanciar cookies HTTP borradas por el usuario sin que exista ni noción ni consentimiento de la reinstanciación.

La postura de Adobe es clara y ya quedó patente en una carta remitida a la Federal Trade Comission norteamericana, en la que se opina explícitamente sobre la oposición al uso de las funcionalidades de almacenamiento local de Flash sin consentimiento del usuario. También en la carta hay un comunicado en el que Adobe asegura haber contactado con los fabricantes de navegadores para ver cómo integrar en la configuración de privacidad de los productos de navegación la privacidad relativa a Flash.

El problema para las soluciones WFD que respaldan sitios con tecnología Flash resulta obvio, ya que las cookies y objetos son utilizados para la detección de operativa fraudulenta, puesto que permiten asociar objetos a usuarios legítimos y por tanto, detectar la presencia de usuarios no legítimos. El debate que se abre es interesante, ya que equilibrar la balanza entre privacidad y prevención del fraude no es una tarea sencilla.

Bien sea por la mejora en la técnica de los atacantes o por los requisitos regulatorios y de privacidad, las soluciones de detección de fraude Web deben renovarse continuamente. O acabarán muriendo.

Un saludo,
Autor: Sergio HernandoFuente: Seguridad de la Información y Auditoría de Sistemas