Cómo los ataques de fraude con emuladores explotan a los usuarios de móviles con resultados vertiginosos

Adriana Pansera, 2 de Marzo de 2021

Regularmente organizamos webcasts sobre temas como la prevención del fraude, la autenticación y las mejores prácticas de seguridad digital. Si se perdió nuestro reciente webcast, The Red Flag: What the Emulator Farm Attack Signals for US Mobile Fraud, organizado por American Banker, aquí tiene el resumen de 5 minutos. La presentación completa está disponible por encargo.

La pandemia ha cambiado nuestros hábitos de muchas maneras. El sector de los servicios financieros no es una excepción, ya que los clientes recurren con entusiasmo a la banca digital y a sus dispositivos móviles para realizar transacciones bancarias a distancia. Sin embargo, este aumento del uso y del tráfico en el canal móvil no ha pasado desapercibido para los estafadores, que lo ven como un objetivo cada vez más lucrativo para los ataques.

En una encuesta reciente realizada a profesionales de las finanzas durante el seminario web, el 77,3% confirmó un aumento de sus usuarios activos de móviles durante el transcurso de la pandemia. La misma audiencia también informó de un aumento del 47,5% del fraude dentro de su organización en el último año. La línea de tendencia es clara: a medida que aumenta la familiaridad con las aplicaciones bancarias móviles, crece también el grupo de clientes que quedan expuestos y en riesgo de explotación.

Anatomía de un ataque de fraude móvil

A medida que la COVID-19 seguía cambiando el comportamiento de los consumidores, los casos de fraude en general continuaron en un pico ascendente. Los trabajadores de todo el mundo recurrieron rápidamente al trabajo a distancia para mantener la continuidad del negocio, lo que hizo que los empleados dependieran de dispositivos vulnerables y de redes personales menos seguras para cumplir con sus obligaciones laborales y puso los datos sensibles en riesgo de ser comprometidos más fácilmente. Los robos de identidad aumentaron, así como los ataques de phishing, los fraudes de aplicaciones y facturas, y los ataques de ingeniería social. Solo en el último año, el fraude por absorción de cuentas experimentó un aumento del 34% con respecto a 2019, constituyendo la friolera del 54% de todos los eventos relacionados con el fraude en 2020, según un informe reciente.

En junio de 2020, el FBI emitió una advertencia en la que preveía un aumento del número de ataques a clientes de bancos móviles debido al creciente uso de aplicaciones bancarias y al declive de la sucursal física. Esa advertencia se hizo realidad en diciembre, cuando un esquema de fraude masivo a través del móvil, conocido como el "ataque de la granja de emuladores malignos", tuvo un nivel de éxito sin precedentes debido a la increíble velocidad y escala de su operación. Mediante el uso de una red de emuladores (tecnología utilizada por los desarrolladores para probar e interactuar con las aplicaciones a través de una simulación de un dispositivo móvil), los hackers fueron capaces de falsificar miles de dispositivos de usuarios comprometidos y originar transacciones bancarias fraudulentas. Consiguieron estafar millones de dólares a titulares de cuentas bancarias tanto en Estados Unidos como en toda Europa en cuestión de días.

Cómo los dispositivos móviles fueron vulnerables al ataque "Evil Emulator Farm"

Los atacantes se aprovechan de la fruta que cuelga más baja. Dado que no todos los bancos se mantienen al día con las últimas tendencias de ciberseguridad, los hackers saben que pueden reciclar los métodos, la tecnología y el formato de sus ataques mientras migran de un banco a otro.

Las estafas de phishing y los programas maliciosos en los dispositivos infectados permiten a los piratas informáticos obtener el número de cuenta y las credenciales de los titulares. Combinada con datos sobre las especificaciones del dispositivo, como la marca, el modelo y el sistema operativo, esta información se introduce en los emuladores para simular con éxito a un usuario legítimo y obtener acceso. Los emuladores también eran capaces de automatizar el flujo de las interacciones típicas de las aplicaciones, interceptando los códigos de los SMS para su autorización, y así conseguir la aprobación de las transacciones para despojar a las cuentas de sus fondos.

¿Cómo contribuyeron los mensajes de texto SMS a este ataque?

Aunque el uso del código de acceso de un solo uso (OTP) para la autenticación por SMS es mejor que confiar únicamente en las combinaciones de nombre de usuario y contraseña, es una forma de autenticación anticuada y puede plantear riesgos. Los SMS son una tecnología antigua y se envían a través de las ondas públicas. No es seguro ni está diseñado para ser encriptado, por lo que puede ser fácil de interceptar. El equipo que utilizan los estafadores para secuestrar los mensajes SMS es barato y fácil de conseguir, y los piratas informáticos pueden aprovechar las bases de datos llenas de datos recogidos. Además, un usuario podría introducir su OTP en una página web pensando que está autenticando una acción genuina, pero en cambio está interactuando con un sitio de phishing. Esta falta de información contextual, cuando a los usuarios no se les proporciona el contexto de por qué se está generando un código, expone otra vulnerabilidad inherente al confiar únicamente en esta forma de autenticación.

¿Qué se puede hacer? Soluciones del lado del cliente y del servidor

Dado que los defraudadores se aprovechan de los datos, las instituciones financieras deberían seguir su ejemplo recopilando el tipo de datos adecuados y utilizándolos para proteger a sus usuarios en lugar de ser víctimas de ellos. Los bancos ya no pueden confiar únicamente en un enfoque disociado de la supervisión del fraude, como las soluciones de supervisión de dispositivos y transacciones, que no se comunican entre sí.

El conocimiento de la interacción de la sesión o la comprensión de la sesión es crucial; la recopilación de datos de comportamiento o de información sobre los recorridos de los usuarios y las rutas típicas de interacción dentro de una aplicación bancaria o un sitio web resulta especialmente valiosa en el contexto. Estos atributos, a diferencia del tipo de dispositivo y el sistema operativo, no pueden ser vistos ni robados fácilmente por los estafadores. El análisis continuo del lado del servidor es una forma de pensar en cada evento como un flujo o viaje de entrada, no sólo de forma aislada. Cuando se utilizan varios dispositivos, debe haber una correlación entre el dispositivo iniciador, por ejemplo un navegador web, y el dispositivo de autenticación, a menudo un teléfono móvil. ¿Son estos los dispositivos normales a los que ha accedido el usuario en el pasado, así como los comportamientos típicos dentro del canal? La supervisión continua de las sesiones garantiza la eliminación de estos puntos ciegos y disminuye las posibilidades de abuso.

Llevar la seguridad un paso más allá: blindaje de aplicaciones móviles con protección en tiempo de ejecución

¿Qué deben hacer los bancos ante la falta de control sobre los dispositivos móviles en los que se ejecuta su aplicación? Aunque un banco no puede obligar a sus clientes a practicar una buena higiene de seguridad en Internet o prohibirles que descarguen por error aplicaciones comprometidas, sí se pueden establecer defensas. El blindaje proactivo de aplicaciones móviles protege las aplicaciones de entornos desconocidos y potencialmente hostiles y proporciona visibilidad de la integridad de la aplicación que se utiliza para facilitar las transacciones. La protección en tiempo de ejecución ayuda a supervisar e identificar continuamente situaciones nefastas como inyecciones de malware y superposiciones de pantalla, asegurando que la aplicación no ha sido manipulada y proporciona la confianza de que los datos recibidos de un usuario son precisos.

Conclusión

Mientras que los ciberdelincuentes siguen aprovechando los avances tecnológicos con malos efectos, las instituciones financieras que buscan mitigar el fraude deben adoptar un enfoque dinámico y de múltiples capas para frustrar posibles ataques. La incorporación de la seguridad avanzada de las aplicaciones móviles en tiempo de ejecución para detectar emuladores y otras herramientas de ataque puede mitigar el riesgo de esquemas avanzados de fraude móvil, como el ataque de la granja de emuladores. Además, deben adoptarse métodos modernos de autenticación, y el análisis continuo de los riesgos del cliente y del servidor y la supervisión de las sesiones pueden proporcionar niveles adicionales de seguridad para proteger mejor a los clientes y sus datos.

Para conocer más estrategias de seguridad para móviles, vea la grabación de nuestro seminario web conjunto, The Red Flag: What the Emulator Farm Attack Signals for US Mobile Fraud. Para saber más sobre cómo se puede implementar OneSpan para mitigar los ataques de fraude, lea más en Mobile App Shielding: How to Reduce Fraud, Save Money, and Protect Revenue.

Webcast del cuaderno de notas
Webcast

La bandera roja: lo que significa el ataque a la granja de emuladores para el fraude de los móviles en EE.UU

Elimine el impacto de las sofisticadas amenazas de fraude utilizando estrategias para proteger a los usuarios de dispositivos móviles con seguridad avanzada de aplicaciones para evitar la emulación.

Ver ahora

Adriana Pansera es especialista en marketing en OneSpan, responsable de la difusión de la digitalización de las empresas y de los eventos. Narradora digital con experiencia en diversos sectores, aprovecha su licenciatura en inglés para comunicar cómo nuestras experiencias están determinadas por nuestra relación con la tecnología y el mundo.