7 oct 2016

Skimmers biométricos: el nuevo método para robar en cajeros automáticos

Una de las opciones para mejorar esta seguridad de los accesos en la que se está trabajando desde hace años es la biometría. Considerada por muchos como el futuro de los métodos de autenticación, el acceso mediante la huella dactilar o el iris puede ser una gran forma de mejorar la seguridad. Pero por supuesto, los ciberdelicuentes lo están viendo como una oportunidad más para robar información sensible.

Pero como no podía ser de otra manera, los cajeros también son un objetivo de los estafadores informáticos. Hace años que proliferan los skimmers, aparatos que conectan a un cajero automático para robar información de las tarjetas. Estos se pueden ayudar bien de un teclado falso (colocado estratégicamente sobre el teclado real, para recopilar los códigos PIN), un lector de bandas magnéticas o incluso cámaras web que recogen toda la información que los usuarios marcan en las pantallas. Este tipo de dispositivos se han ido sofisticando, de forma que cada vez son más difíciles de detectar y están mimetizados con el cajero.

También han evolucionado para adaptarse a las nuevas tarjetas. Los denominados shimmers por ejemplo, también pueden recoger información de las tarjetas con chip.

Skimmers biométricos

Kaspersky Lab ha investigado cómo los ciberdelincuentes podrían aprovechar las nuevas tecnologías de autenticación biométrica en los cajeros automáticos previstas por los bancos. Aunque muchas organizaciones financieras consideran las soluciones basadas en la biometría como una de las adiciones más prometedoras a los métodos de autenticación actuales, o incluso un reemplazo total para dichos métodos, los cibercriminales perciben la tecnología biométrica como una nueva oportunidad para robar información sensible.

Los cajeros automáticos llevan años en la mira de estafadores que están a la caza de los datos de tarjetas de crédito. Todo comenzó con los skimmers primitivos –dispositivos caseros conectados a un cajero automático, capaces de robar información de la banda magnética de la tarjeta y el NIP, con ayuda de un teclado de cajero automático falso o una cámara web. Con el tiempo, el diseño de tales dispositivos ha mejorado para que sean menos visibles. Con la implementación de tecnología en las tarjetas bancarias como el chip o usar el NIP para realizar los pagos, se hace mucho más difícil, aunque no imposible, clonarlas. Los dispositivos evolucionaron a lo que ahora se llaman “shimmers”: que son básicamente los mismos, pero capaces de recabar datos del chip, lo que ofrece suficiente información para llevar a cabo un ataque de retransmisión en línea. La industria bancaria ha respondido con nuevas soluciones de autenticación, algunas de las cuales están basadas en la biometría.

De acuerdo con una investigación, existen al menos 12 vendedores que ofrecen skimmers capaces de robar huellas dactilares de las víctimas. Y al menos tres vendedores clandestinos investigan dispositivos que podrían obtener datos de manera ilegal de los sistemas de reconocimiento de iris y de las venas de la mano.

Se observó la primera ola de skimmers biométricos en las "pruebas de preventa" en septiembre de 2015. La evidencia reunida por los investigadores de Kaspersky Lab reveló que, durante las pruebas iniciales, los desarrolladores descubrieron varios errores. Sin embargo, el principal problema era el uso de módulos GSM para la transferencia de datos biométricos -que eran demasiado lentos para transferir el gran volumen de información obtenida. Como resultado, las nuevas versiones de skimmers utilizarán tecnologías más rápidas de transferencia de datos.

También hay debates continuos en comunidades clandestinas, en relación con el desarrollo de aplicaciones móviles basadas en la colocación de máscaras sobre un rostro humano. Con este tipo de aplicación, los atacantes pueden tomar la foto de una persona publicada en redes sociales y utilizarla para engañar a un sistema de reconocimiento facial.

"El problema de los datos biométricos es que, a diferencia del NIP o las contraseñas que se pueden modificar fácilmente en caso de una situación comprometida, es imposible cambiar la imagen de una huella digital o del iris. Por lo tanto, si los datos de una persona se ven comprometidos una vez, no va a ser seguro utilizar de nuevo ese método de autenticación. Por eso es muy importante mantener y transmitir la información de forma segura. Los datos biométricos se registran también en los pasaportes modernos -llamados electrónicos– y en las visas. Por lo tanto, si un atacante roba un pasaporte electrónico, no solo posee el documento, sino también los datos biométricos de ese individuo. Se han robado la identidad de una persona", dijo Olga Kochetova, experta en seguridad de Kaspersky Lab.

El uso de herramientas capaces de poner en peligro los datos biométricos no es la única amenaza cibernética potencial que enfrentan los cajeros automáticos, opinan los investigadores de Kaspersky Lab. Los hackers continuarán realizando ataques basados en malware, ataques de caja negra y ataques a la red para obtener datos que luego pueden utilizar para robar dinero de los bancos y sus clientes.

El informe completo sobre las próximas ciberamenazas a cajeros automáticos y las medidas que pueden proteger a los bancos contra estas amenazas está disponible en: Futuros escenarios de ataques contra sistemas de autenticación de cajeros automáticos

Fuente: GlobbSecurity | Kaspersky

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!