La compañía Cronto, líder en seguridad para transacciones online dependiente de la Universidad de Cambridge, ha ideado una solución sencilla y eficaz para proteger las operaciones de banca a través de Internet. Se trata de un código de barras bidimensional que permite a la entidad financiera transferir con seguridad un mensaje codificado que el cliente escanea, obteniendo un código de seis dígitos que debe introducir para confirmar la operación. La herramienta es capaz de mitigar ataques incluso de los troyanos más sofisticados.
Por Patricia Pérez de Tendencias Científicas
Los ataques de troyanos son frecuentes y cada vez mayores. Como su propio nombre hace referencia, se trata de un tipo de malware que se presenta como un regalo inofensivo para persuadir a los usuarios de que lo instalen, permitiendo de esa forma el acceso al equipo a piratas informáticos con el fin de robar información o dañar el sistema.
La empresa de seguridad McAfee identificó más de 1,5 millones de variantes de este tipo de malware en 2012, sobresaliendo los sitios web de entidades financieras como uno de los destinos más populares. Los troyanos son especialmente peligrosos, ya que controlan tanto lo que el banco recibe del cliente como lo que éste ve en su navegador.
Para tratar de hacer frente a esta amenaza trabaja la empresa Cronto, entidad dependiente de la Universidad de Cambridge, en Reino Unido, líder en soluciones de autenticación para transacciones seguras. En colaboración con uno de los bancos más grandes de Alemania, Commerzbank AG, ha desarrollado una tecnología moderna e innovadora para proteger las operaciones online de los ataques más sofisticados.
Según explica la Universidad en un comunicado, CrontoSign, conocido en Alemania como PhotoTAN, permite al banco establecer un canal de comunicación visual para transferir datos de forma segura. El cliente simplemente debe escanear la imagen que le proporciona la página web de la entidad financiera y verificar los detalles de la operación.
Se trata de un código de barras bidimensional que contiene la información que el cliente decodifica en un pequeño dispositivo que no necesita conectarse al ordenador, o bien en el móvil. De esta forma se produce un refuerzo importante en la seguridad, ya que el troyano puede ver la imagen enviada por el banco, pero no acceder a la información cifrada.
Con aprendizaje automático
Una de las principales amenazas de la banca actualmente es el troyano Man-in-the-Browser. En este tipo de ataque, el cliente inicia sesión en su cuenta de un banco online para realizar una transferencia. El troyano, al detectar la actividad, aumenta la cantidad transferida y cambia el número de cuenta de destino a la de los autores del fraude. Una vez que el banco confirma la operación, el malware modifica el mensaje del cliente, haciéndole ver que su transacción se ha completado, así como las solicitudes enviadas de vuelta al banco, por lo que ninguno detecta que el fraude se lleva a cabo.
Son ataques que pueden causar pérdidas millonarias, como ocurrió en 2012 con Eurograbber, un malware que transfirió ilegalmente más de 36 millones de euros de clientes desprevenidos. "Ataques del tipo Man-in-the-Browser combinados con técnicas de ingeniería social son la amenaza más presente y activa en la banca online", asegura la cofundadora y directora de Tecnología en Cronto, Elena Punskaya.
Por ello, son conscientes de que la seguridad en este ámbito debe ir más allá de identificar a un cliente a través de una contraseña, una pregunta sobre la calle donde creció o el nombre de su mascota. "Eso no es suficiente", expresa en la misma línea el CEO de la empresa, Igor Drokov.
Por contra, tratan de crear una solución fácil de usar para millones de clientes, pero lo suficientemente robusta para cumplir con los retos de seguridad a los que se enfrentan los bancos. El resultada pasa por una nueva y exclusiva simbología visual optimizada desarrollada por el equipo de la profesora Punskaya, especialista en algoritmos de aprendizaje automático avanzados y análisis de datos estadísticos, que permite la transferencia de información de forma rápida, segura y confidencial.
El código de barras 2D permite al banco transferir con seguridad un mensaje con más de 100 caracteres que puede ser decodificado por la aplicación o el hardware de Cronto en fracciones de segundo. Las características específicas de la imagen se han desarrollado mediante pruebas de algoritmos de aprendizaje automático en grandes bases de datos de imágenes captadas en diferentes condiciones.
Al escanear la imagen se obtiene un código de seis dígitos que el cliente debe introducir en la web del banco para confirmar la operación. El código actúa como la firma del cliente para esta instrucción específica, y una vez recibida y validada por la entidad, se completa la transacción.
Comercialización
La herramienta puede utilizarse en diferentes escenarios, ya que permite a los bancos cambiar el mensaje que desean que sus clientes vean, bien en respuesta a una amenaza de seguridad o simplemente para permitirles llevar a cabo un tipo de transacción diferente.
Tras el exitoso lanzamiento de PhotoTAN con Commerzbank AG a principios de año, la compañía pretende colaborar ahora con las principales entidades financieras de Alemania y Suiza, una vez superadas con éxito las evaluaciones de seguridad internas y externas. Todo para "permitir a más clientes mejorar la seguridad y comodidad de sus transacciones", según Drokov.
Aunque Cronto se centra actualmente en el sector de la banca online, los investigadores ven también posibilidades comerciales para su tecnología en ámbitos como el comercio electrónico, pagos en línea o cualquier otra aplicación que requiera crear una conexión de confianza entre las dos partes.
En España, de momento, se puede probar esta herramienta a través de la aplicación móvil disponible para dispositivos IOS o Android, o en la cuenta demo.
http://www.laflecha.net/canales/blackhats/noticias/nuevo-codigo-de-barras-2d-combate-el-fraude-bancario-online