Ayudas para la elección de una estrategia efectiva de prevención del fraude online

En este post haremos un breve repaso a una taxonomía de controles para prevenir y mitigar el fraude online. Las contramedidas presentadas son especialmente útiles, aunque no exclusivas,  para el fraude a cuentas de banca online, consecuencia de phising,  malware o casos de “man in the middle”.  Haremos un análisis de la utilidad, así como de los pros y los contras de cada contramedida específica. La idea es que el artículo sea de utilidad para seleccionar los elementos de una estrategia de prevención efectiva y coste eficiente.

Hemos de mencionar en primer lugar que ninguna de las medidas presentadas, por sí misma, servirá para eliminar el problema.  Por el contrario, la experiencia ha demostrado que las únicas estrategias efectivas son aquellas que combinan diferentes tipos de controles, actuando a diferentes niveles, y apoyándose y potenciándose mutuamente. Se trata de aplicar el conocido principio de “defensa en profundidad”.

Recomendamos al lector que no tenga un conocimiento muy detallado de las distintas técnicas de fraude por Internet que lea primero nuestro post sobre escenarios de robo de credenciales en este mismo blog.

La taxonomía que vamos a revisar se articula alrededor de dos ejes principales:

  • Medidas aplicadas a nivel del Usuario/Cliente

Se incluyen aquí todas aquellas medidas que dependen de la pericia y grado de conocimiento del usuario; por ejemplo, hábitos de navegación segura por Internet o de configuración segura (ej: aplicación de parches de seguridad; sistemas antivirus, firewall personal…) de los dispositivos usados para navegar.

  • Medidas aplicadas a nivel de la organización que presta el servicio (ej: banco online)

En esta categoría se incluyen todas aquellas medidas que la entidad que presta el servicio despliega en sus sistemas y a lo largo de la organización

MEDIDAS A NIVEL DEL USUARIO/CLIENTE

Grado de concienciación y pericia (awareness)

La conciencia de los usuarios y su conocimiento sobre el fraude por Internet es cada día mayor, en parte por la labor de información de los medios de comunicación. Unos usuarios bien informados son la primera línea de defensa de una buena estrategia, dado que son capaces de detectar intentos de engaño en las fases iniciales (por ejemplo, intento de robo de credenciales mediante escenario típicos de phising). Sin embargo, hasta los usuarios más avezados pueden ser víctimas de técnicas “silenciosas e invisibles”; como por ejemplo, keyloggers o ataques man-in-the-middle.

Las organizaciones que prestan servicios online, suelen realizar también acciones de comunicación para incrementar la sensibilidad y el grado de alerta de sus usuarios/clientes. Así, es una práctica común de la banca online, tener secciones fijas en la web  dedicadas a la seguridad y la prevención del fraude o mostrar pantallas emergentes llamando la atención sobre amenazas recientes. Estas ventanas emergentes suelen ser bastante efectivas (especialmente si se muestran en el acceso inicial) aunque hay que manejarlas con cuidado para no crear una alarma o desconfianza excesivas. Por el contrario, con respecto a las secciones fijas dedicadas a temas de seguridad en la web, hay que mencionar que, aunque son un estándar recomendable,  su utilidad es bastante relativa, dado que se evidencia que muy pocos usuarios entran en estas secciones y los que lo hacen suelen ser precisamente los que están previamente sensibilizados.

Una parte importante de la concienciación que las organizaciones hacen para con sus clientes está dedicada a proporcionarles formación técnica sobre cómo proteger su dispositivos de acceso (ej: ordenador, Smartphone), mediante la instalación de sistemas de antivirus, parches de seguridad del sistema o cortafuegos personales. El problema, independientemente de la eficacia relativa de cada una de estas medidas, es que a veces el usuario/cliente no está interesado en o no tiene el perfil técnico necesario para seguir estas recomendaciones. Por otro lado, hay que tener en cuenta que si esperamos que el usuario/cliente tenga que “hacer un master de tecnología” para realizar una contratación online, a lo mejor perdemos una oportunidad de negocio. Por ello, mi recomendación en este sentido, es que la estrategia debe basarse en la suposición de que el usuario/cliente tiene poco o ningún conocimiento sobre seguridad informática.

MEDIDAS A NIVEL DE LA ENTIDAD QUE PRESTA EL SERVICIO ONLINE

MEDIDAS TÉCNICAS Y OPERATIVAS

En esta categoría se incluyen las medidas que en mi opinión son más efectivas a la hora de prevenir y mitigar el fraude y las consiguientes pérdidas económicas.

Controles de aplicación

El propio diseño de las aplicaciones online debe incorporar características que las hagan resistentes a los ataques. Sin ánimo de ser exhaustivos, dentro de esta categoría podríamos citar como ejemplos:

  • Los teclados virtuales usados por algunas entidades financieras y orientados a impedir la efectividad de los keyloggers o programas espías que graban las teclas pulsadas por el usuario/cliente.
  • Procesos de verificación de los datos introducidos en los campos de los formularios de las aplicaciones web o móviles, para evitar los denominados ataques de inyección, consistentes en introducir datos manipulados para provocar efectos indeseados en las aplicaciones (ej: Inyección SQL).
  • Controles orientados a impedir que los parámetros (datos) de la sesión de un usuario conectado puedan ser manipulados fraudulentamente.
  • Métodos de autenticación de usuarios y operaciones

Hay que mencionar que, de manera aislada, muchos de estos controles tienen una eficacia muy limitada y que pueden de hecho ser vulnerables a ataques distintos a aquellos para los que fueron diseñados; sin embargo, son necesarios para prevenir precisamente estos ataques específicos. Así por ejemplo, el teclado virtual que hemos mencionado es eficaz contra los keyloggers, pero no contra software espía que grabe imágenes de la pantalla. Como ya hemos mencionado, es el conjunto combinado de diferentes controles el que proporcionará al sistema global una mayor resistencia al fraude; apoyándose cada control en los demás de acuerdo al principio de defensa en profundidad o “en capas”.

Chequeo automático de la seguridad del dispositivo de conexión (End Point Security)

Además de formación, algunas entidades proporcionan a los usuarios/clientes acceso a herramientas de seguridad capaces de evaluar el nivel de seguridad del dispositivo de conexión usado (ej: el ordenador personal). Algunas entidades utilizan la información que proporcionan estas herramientas para denegar el acceso hasta que el cliente haya subsanado las deficiencias de seguridad o le permiten la conexión bajo su propia responsabilidad.

En mi opinión, este tipo de medidas presentan diferentes dificultades que no las hacen muy recomendables para una estrategia efectiva y coste-eficiente:

  • Delega en el usuario/cliente la solución de problemas técnicos que probablemente no entienda (cuando él lo que intentaba originalmente era hacer una simple operación online).
  • El coste de estas herramientas no es bajo.
  • Son herramientas intrusivas para el usuario/cliente y su eficacia  global depende de que sean usadas por el mayor de número de usuarios/clientes posibles. La experiencia demuestra que a menos que se “obligue” a los clientes a usarlas como requisito obligatorio previo para acceder al servicio online, no serán usadas voluntariamente por la mayoría de los usuarios.
  • Estas herramientas pueden ser a su vez vulnerables a ataques. Además no son 100% efectivas. Se pueden generar expectativas erróneas en los usuarios creándoles un falso sentido de seguridad. Finalmente, la entidad prestadora del servicio online podría enfrentarse a responsabilidades legales en caso de incidentes o daños en los equipos de los usuarios/clientes.
  • La entidad prestadora del servicio deberá organizar y proporcionar a los usuarios soporte técnico para solventar las dudas e incidencias en el uso de las herramientas.

Métodos de Autenticación y validación de operaciones

Como hemos mencionado, dentro los controles de aplicación, una categoría especial la constituyen aquellos procesos orientados a verificar la identidad de los usuarios cuando intentan acceder al sistema u ordenar una operación con impacto económico, es decir, los métodos o factores de autenticación usados por el sistema.

Un factor de autenticación es un método usado para establecer la identidad de una persona (o sistema informático) y determinar si puede acceder a un sistema y con qué permisos.

El factor de autenticación más simple usado en la web es la contraseña. Durante el proceso de entrada en le sistema,  el usuario se valida en el mismo introduciendo un código de usuario, seguido de un PIN o una contraseña. Se trata de un mecanismo sencillo de implementar y de usar. Pero es un hecho que en el mundo de Internet, este tipo de método que se basa solamente en algo que el usuario conoce es insuficiente para prevenir el fraude. A lo largo de los últimos años han ido proliferando distintas modalidades exitosas de “engaño online” orientadas a robar a los usuarios sus contraseñas de acceso. Estas campañas de engaño forman parte frecuente del paisaje habitual de Internet (ver nuestro post sobre escenarios de robo de credenciales).

Por esta razón, el uso de una simple contraseña para la validación de operaciones con impacto económico  no es en absoluto recomendable. Como mucho, el uso de una contraseña simple podría ser aceptado para acceder a un sistema y otorgar al usuario así validado permisos de sólo consulta de la información.

Una contraseña o un PIN constituyen como hemos visto un factor de autenticación basado en algo que el usuario conoce. Otros factores de autenticación se basan en algo que el usuario tiene (por ejemplo una tarjeta) o algo que el usuario es (por ejemplo, cuando la autenticación se lleva a cabo verificando las huellas digitales o la huella de voz del usuario). Se conoce como autenticación fuerte el procedimiento de autenticación que requiere dos o más factores independientes; por ejemplo, una validación introduciendo una tarjeta (algo que el usuario tiene) y luego el PIN de la tarjeta (algo que el usuario conoce).

La validación de operaciones monetarias por Internet, requiere al menos dos factores de autenticación. Veamos algunos ejemplos:

Tarjeta de coordenadas: Se trata de una matriz de entre 50 a 100 coordenadas (códigos de validación)  cada uno de ellas de 2 o tres dígitos. La matriz puede estar impresa en una tarjeta de plástico o se puede imprimir en papel desde la web. El sistema solicitará al usuario que introduzca una coordenada aleatoriamente seleccionada para validar la operación. La coordenada es identificada por la fila y la columna de la matriz  y una vez que ha sido usada no volverá a ser requerida hasta que el resto de coordenadas sean elegidas aleatoriamente para validar posteriores operaciones. En otros casos, uan vez usadas todas las coordenadas hay que generar una nueva. La tarjeta de coordenadas puede usarse como segundo factor de autenticación adicional a una contraseña o PIN. Es un mecanismo barato y fácil de implementar y usar y ha sido usado extensivamente en la banca online. Las estadísticas demuestran que los intentos de engaño orientados a que la víctima proporcione todas las coordenadas no suelen tener mucho éxito, por lo que aunque no es perfecto, es un método bastante eficaz.

Contraseñas de un sólo uso  u OTP (One Time Pasword): Son generadas por sencillos algoritmos  y  se usan tanto para el acceso a los sistemas como para la validación de operaciones. La contraseña es generada con un periodo de validez breve, tras el cual la contraseña deja de ser válida. Este tipo de contraseñas pueden ser generados por una aplicación en el teléfono móvil o por un pequeño dispositivo hardware previamente proporcionado al usuario. Los generadores hardware suelen ser más seguros, pero tienen un alto coste y llevarlos encima puede ser incómodo para el usuario. Por ello, una variante frecuentemente usada por su bajo coste es generar el código y enviárselo al usuario mediante SMS, aunque este mecanismo es menos seguro que las otras alternativas,  por lo que se recomienda que se use de manera  combinada con otros factores como la tarjeta de coordenadas.

La seguridad de los OTP  viene determinado, además de por la corta vida de la contraseña, por el hecho de que es generada o recibida en un dispositivo físico que está en poder del usuario y que suele ser un canal distinto al que se usará para teclear la contraseña recibida (“out of band”). Además, normalmente, el dispositivo de generación debe ser desbloqueado con un PIN sólo conocido por el usuario para poder generar el OTP.

Firma digital de las operaciones:   Una de las limitaciones de las contraseñas de un sólo uso (OTP) cuando se utilizan para validar operaciones monetarias,  es que en su generación no se tiene en cuenta ninguna información relativa a la propia operación. Ello hace que en caso de que el usuario tuviese infectado el ordenador con un troyano bancario,  podría llegar a validar sin darse cuenta una operación que hubiese sido previamente manipulada de manera encubierta por el troyano.  A esta estrategia de fraude mediante troyano se le conoce como ataque síncrono y la única forma razonablemente efectiva de prevenirlo es mediante la firma electrónica o digital de la operación que está siendo visualizada por el cliente.

En el caso de la firma digital de operaciones, al igual que en el de el OTP que acabamos de ver, un dispositivo genera una contraseña de validación de la operación de un solo uso; sin embargo, el algoritmo de generación de firma utiliza datos específicos de la operación a ser firmada (ej: fecha y hora, cuenta de destino, importe, etc…) para generar este código.  De esta forma,  el código generado no sería valido en el caso de que se produjese una manipulación encubierta de los datos de la operación, ya que el servidor detectaría que el código no sería coherente con los datos de la operación recibida.

Como en el caso de los OTP, este tipo de contraseñas pueden ser generados por una aplicación en el teléfono móvil o por un dispositivo hardware previamente proporcionado al usuario. Los generadores hardware suelen ser más seguros, pero tienen un alto coste y llevarlos encima puede ser incómodo para el usuario. Como en el caso de los OTP, el dispositivo de generación debe ser desbloqueado con un PIN sólo conocido por el usuario para poder generar la firma.

Firma electrónica de las operaciones: En el caso de la firma electrónica, el cliente/usuario utiliza un certificado digital emitido por una autoridad certificadora reconocida (ej: la casa de la moneda, la policía en el caso del DNI electrónico…) para firmar los datos de la operación. La firma se lleva a cabo con la clave  criptográfica contenida en el certificado. El soporte del certificado puede ser una tarjeta inteligente, como en el caso del DNI electrónico o puede estar almacenado en el disco duro del ordenador ó dispositivo con el que se esté navegando (modalidad software). La mayor seguridad la proporciona el certificado soportado en una tarjeta; sin embargo su coste es alto y tiene el inconveniente operativo para el usuario de que requiere tener un lector de tarjeta para poder acceder al sistema y operar. Normalmente para poder hacer una firma digital es necesario poseer el certificado físico y el PIN necesario para “liberar” el certificado de firma. Es decir, su uso implica un doble factor: la posesión del certificado y el conocimiento del PIN. La firma electrónica es dependiente de los datos de la operación y es razonablemente resistente a los ataques síncronos (tipo man in the middle).  Sin embargo,   hay que tener en cuenta que en la modalidad en la que el certificado es un fichero que está en el ordenador, la necesidad de uso de PIN depende lamentablemente de que el  usuario haya configurado este requisito. Este hecho hace que su seguridad sea cuestionable, especialmente si el ordenador está comprometido.

Biometría: Los métodos biométricos, se basan en la lectura y análisis de características fisiológicas o de comportamiento del usuario (algo que el usuario es). Por ejemplo, la huella digital, atributos de la retina del ojo, o características peculiares del usuario cuando escribe sobre un teclado. Los métodos biométricos no están muy extendidos como medidas de control de acceso y validación de operaciones, sobre todo por la complejidad de crear y gestionar la base de datos de patrones biométricos usados como criterio de comparación, porque requieren lectores específicos. En cualquier caso, las huellas biométricas deberían usarse como factor adicional en combinación con otros mecanismos, combinando algo que el usuario tiene o conoce, junto con algo que el usuario es.

Avisos y alertas al usuario/cliente

El uso de alertas y avisos tempranos a los usuarios (mediante envíos de mensajes SMS al móvil o correos electrónicos) es uno de los factores de prevención del fraude online más efectivos. Los mensajes de este tipo suelen avisar de situaciones cómo acceso a sistemas, pagos con tarjetas, realización de transferencias o cambio de datos como la dirección  de correo. Este tipo de alertas son bien recibidas por los usuarios y les proporciona una gran sensación de seguridad y control.

El uso de este tipo de alertas implica la involucración del propio usuario/cliente como si fuera un analista de prevención del fraude, lo cual se demuestra que es una estrategia bastante efectiva.

En cuanto al coste, éste no es muy elevado; no obstante, los costes se pueden controlar haciendo un envío selectivo de este tipo de alertas solamente en aquellos contextos en los que se perciba mayor riesgo (por ejemplo a partir de determinados importes) o repercutiendo el coste total o parcial al cliente.

Monitorización de transacciones

En el corazón de una buena estrategia de prevención del fraude online se encuentra la monitorización de transacciones. La monitorización implica comparar aspectos relevantes de las operaciones contra criterios de fraude previamente establecidos de modo que las operaciones puedan ser clasificadas en función de su riesgo potencial de fraude, lo que determina un curso de acción predeterminado (ej: paralizar una operación y alertar a los analistas de fraude). La monitorización puede ser realizada por procedimientos automáticos en tiempo real en el momento mismo en que la operación se está intentando realizar o a posteriori, cuando la operación acaba de ser realizarse. La estrategia más recomendable es una  combinación de ambos tipos:

  • Procesamiento automatizado en tiempo real; capaz de paralizar automáticamente operaciones o determinar la necesidad de niveles de autenticación adicionales (ej: requiriendo un OTP, o una coordenada de tarjeta, además del PIN) en las operaciones de mayor nivel de riesgo.
  • Procesamiento semi-automático de las operaciones de menor riesgo potencial ya realizadas para determinar patrones de fraude que traten de pasar desapercibidos volando “por debajo del radar” (por ejemplo, operaciones repetitivas de bajo importe) y poder gestionarlas.

Dentro de las variables que se pueden usar para evaluar el riesgo potencial de una operación, las hay de distintos tipos,  siendo las más comunes:

  • Datos relacionados con la conexión, como por ejemplo, la dirección I.P. y el país de localización  de la misma;  hora de conexión; datos sobre el dispositivo de conexión como el navegador, sistema operativo, etc…
  • Datos financieros de la propia operación; por ejemplo importe, beneficiario…
  • Concurrencia de eventos formando patrones significativos, como cambios en los datos de los usuarios seguidos de determinadas operaciones o coincidencia de patrones en series de operaciones de distintos usuarios.

Estos datos se suelen contrastar contra patrones de uso normal previamente establecidos, de cara a calcular un rating de riesgo potencial.

Establecer un framework de monitorización eficaz puede suponer importantes inversiones en  desarrollos y/o implantación de herramientas software; por lo que debe aplicarse un criterio pragmático, teniendo muy claro antes de abordar el proyecto la información mínima necesaria para obtener los mayores resultados con el mínimo esfuerzo y coste. Uno de los principales errores que suelen cometerse es tratar de incluir toda la información posible, aún sin tener muy claro como se va a explotar esta información; el segundo error más común, es pensar que todo consiste en la implantación de una herramienta software, cuando lo más importante es cómo organizar el trabajo de las personas, para explotar los sistemas y sacar provecho de ellos.

Entornos de acceso aislados seguros (sandbox)

Una de las formas más seguras de operar consiste en hacerlo a partir de un sistema operativo completamente limpio de virus o troyanos bancarios. Esto se puede conseguir haciendo que antes de establecer la conexión al banco, tienda online, etc…, el usuario reinicie el ordenador de acceso con un sistema operativo blindado y seguro, lo que impediría que la conexión fuese afectada por la posible infección de la máquina; para ello, las organizaciones podrían proporcionar discos o memorias USB de arranque; otras soluciones de este tipo, basadas en la virtualización, consisten en proporcionar al usuario un software que crea una máquina virtual con un sistema operativo limpio,  aislado de la máquina anfitriona y que permite abrir un navegador seguro desde este entorno “limpio”. En este último caso no es necesario reiniciar el PC, pero la solución es técnicamente menos segura. Ambas soluciones son sin duda muy efectivas a la hora de prevenir el impacto de los troyanos bancarios y los virus; sin embargo, tienen alto impacto en la usabilidad desde la perspectiva del usuario/cliente, limitando además la capacidad del éste de conectarse libremente desde distintos tipos de entornos (por ejemplo el laboral), donde puede no tener los privilegios necesarios para reiniciar el PC o instalar/ejecutar software de terceros.

Identificación de ordenadores de clientes infectados con malware

Una pieza de información esencial a la hora de poder evaluar el riesgo potencial de una operación online, es la capacidad de identificar ordenadores o dispositivos de usuario infectados y de usar esta información para el análisis del riesgo de fraude. Esta categoría de control se diferencia de la del chequeo automático de la seguridad del dispositivo de conexión (End Point Security) que hemos visto con anterioridad,en que la detección no se realiza de manera invasiva en el propio ordenador del usuario; sino que se realiza de manera indirecta por la organización prestadora del servicio online al detectar las “huellas” que conocidos troyanos dejan en las conexiones que establecen contra los servidores. Otras vías de información sobre “clientes infectados” la proporcionan empresas terceras de seguridad o la policía cuando desmantelan o tienen acceso a servidores usados por los defraudadores. Una buena estrategia de prevención es capaz de sacar provecho de esta información, incluyéndola  como parte de los parámetros que se usan en la monitorización de las transacciones.

MEDIDAS ADMINISTRATIVAS Y ORGANIZATIVAS

Citaremos aquí algunas prácticas que aportan un gran valor en el marco de una estrategia de prevención efectiva. Es importante  sacar provecho de la información que proporcionan este tipo de procesos, incluyéndola  como parte de los parámetros que se usan en la monitorización de las transacciones:

Servicios de inteligencia y alerta temprana de amenazas

Se trata en este caso de contar con un laboratorio capaz de identificar de manera temprana y analizar en profundidad las nuevas amenazas que se difunden por Internet (ej: nuevos troyanos bancarios, campañas de phising…). Lo normal es que estos servicios sean prestados por empresas de seguridad muy especializadas. El valor añadido está en permitir que las organizaciones usuarias de estos servicios de inteligencia puedan evaluar de manera temprana el grado en que las nuevas amenazas les afectan y establecer contramedidas efectivas. A su vez, estas empresas de seguridad juegan un papel importante a la hora de desmantelar campañas de fraude en curso, lo que beneficia de manera colectiva a sus clientes y a la sociedad.

Buzón de usuarios/clientes

Dotar a nuestros usuarios/clientes de un canal directo de comunicación donde poder reportar intentos de fraude, amenazas o consultas es una práctica muy recomendable. La experiencia demuestra que habilitar un buzón de correo electrónico  incrementa notablemente la detección temprana de las amenazas que se difunden por Internet, complementando la información proporcionada por los servicios externalizados de inteligencia  alerta temprana descritos anteriormente.

Colaboración con otras organizaciones y con las autoridades

La implantación de controles integrados como los descritos, entra dentro del terreno de lo que una organización por sí misma puede realizar; sin embargo,  ‘hacer la guerra’ en solitario limita necesariamente la efectividad del modelo. La prevención de la cyber-delincuencia, debe pasar por conseguir una coordinación entre distintos actores: entidades, autoridades, operadores de comunicaciones y de una cobertura legal que transcienda las fronteras.  Es lógico pensar que la colaboración entre las partes interesadas, compartiendo detalles de los intentos de fraude, permite abortar campañas de fraude de manera muy efectiva. ..

…Pero, creo que este post se ha extendido ya demasiado y puede ser un buen momento para cerrarlo…Un fuerte abrazo y muchas gracias por su atención. Espero que sea de utilidad…

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s