El fraude masivo en la banca móvil resalta la necesidad de mantener la seguridad en las aplicaciones, así como una autenticación modernizada y análisis de riesgos en la banca

Este artículo fue escrito en colaboración con Greg Hancell, gerente senior de consultoría contra fraudes de OneSpan, con aportaciones de Frederik Mennes, director de producto de OneSpan, y Will LaSala, director senior de soluciones globales.

En el verano de 2020, el FBI advirtió sobre un aumento actividades maliciosa que tenían como objetivo las vulnerabilidades de los servicios financieros móviles, como resultado del incremento digital en la banca móvil y los confinamientos en respuesta al COVID-19. Esa advertencia se hizo realidad a fines de diciembre con el descubrimiento de una "fábrica de emuladores malvados'' que imitaban los dispositivos móviles de las víctimas para defraudar a titulares de cuentas bancarias en Estados Unidos y Europa por millones de dólares.

El propósito de este artículo es concienciar a las instituciones financieras sobre esta amenaza, así como explicar el enfoque de varios niveles que se puede usar para mitigar este tipo de fraude cada vez más sofisticado.

Fraude móvil contra los servicios bancarios de una escala y velocidad nunca vistos

Los investigadores dicen que la escala y la velocidad de esta estafa la diferencian de incidentes anteriores de fraude móvil. Los atacantes construyeron una red de aproximadamente 20 emuladores que imitaban 16 000 dispositivos móviles, aprovechando la automatización para robar millones de dólares de cuentas bancarias en solo unos días. Un emulador móvil es un dispositivo móvil virtual que imita la funcionalidad de los dispositivos móviles reales e interactúa como si fuera el usuario legítimo. Originalmente, los emuladores se desarrollaron para permitir pruebas automatizadas de software en una amplia variedad de dispositivos.

Las acciones automatizadas por los atacantes incluyeron al menos las siguientes:

• Recoger los atributos del dispositivo 
• Introducción de nombres de usuario y contraseñas
• Iniciar transacciones
• Recibir y robar códigos de autorización de un solo uso enviados por SMS
• Ingresar esos códigos SMS robados para completar transacciones

Recoger identificadores de dispositivos móviles

En algunos casos, los estafadores imitaron los dispositivos existentes de la víctima. En otros casos, los simularon que la víctima usaba un nuevo dispositivo para acceder a su cuenta bancaria. Los investigadores no están seguros de cómo se consiguieron las credenciales bancarias, aunque es posible que fueran robadas a través de malware, obtenidas a través de ataques de phishing o encontradas en la web oscura. No está claro exactamente cómo se recopilaron los identificadores de dispositivos, pero parece lógico que los datos fueran recopilados por malware móvil en los dispositivos de las víctimas.

Qué pueden hacer las instituciones financieras para mitigar amenazas móviles similares

No existe hay una fórmula infalible de seguridad de banca móvil que elimine esta amenaza. La mejor protección es un enfoque de defensa detallado y con diferentes niveles que incluya (sin limitación) lo siguiente:

1. Una sólida autenticación del cliente ;
2. Análisis de riesgos del lado del cliente y del servidor para la prevención del fraude
3. Protección de aplicaciones móviles con protección en tiempo de ejecución

Combatir la toma de control de cuentas mediante la modernización de la autenticación

Recientemente, la firma de analistas de servicios financieros Aite Group sugirió en su reporte de "Revisando su Marco de Control de Autenticación" que “las instituciones financieras, las empresas de tecnología financiera y los vendedores deben dar un paso atrás y revisar su marco de control de autenticación. Si han pasado algunos años desde la última vez que se revisó ese marco, con los avances tecnológicos que han ocurrido, es probable que necesite una actualización”.

El robo de nombres de usuario y contraseñas utilizados para autenticar a los usuarios y los pagos fue la base de este fraude móvil. Estas credenciales estáticas de "factor único" son vulnerables a ataques de phishing si es que no han sido robadas en otras infracciones relacionadas con la seguridad de datos. La implementación de la autenticación multifactor (AMF) o la autenticación de dos factores con códigos de autenticación únicos y dinámicos mitiga significativamente el riesgo de la toma de control de cuentas. Además de hacerse pasar por los dispositivos existentes de los usuarios, en algunos casos los atacantes pudieron activar nuevos dispositivos con las cuentas de las víctimas.

Un banco tampoco debe tomar a la ligera la decisión de qué canales usar para transmitir códigos dinámicos de autenticación/autorización. Se sabe que los códigos SMS son vulnerables al phishing e incluso a ser interceptados. En este caso, las personas que diseñaron la estrategia pudieron recibir códigos SMS con los dispositivos suplantados, haciendo que fueran completamente inútiles a la hora de proteger las cuentas bancarias. Un ataque típico a contraseñas/códigos de acceso de un solo uso (CSU) por SMS comienza dirigiendo a la víctima a una página web de phishing que se parece a la del banco. Una vez allí, el usuario ingresa sus datos, los cuales activan la transmisión de una CSU por SMS. El malware presente en el dispositivo de la víctima obtiene los códigos SMS y se los reenvía al atacante, lo que significa que la víctima nunca se conecta con el banco, ya que está interactuando con una página de phishing.

Las notificaciones automáticas enviadas a través de un canal encriptado a una aplicación móvil fuertemente asociada con el dispositivo del usuario durante la activación probablemente habrían evitado que los atacantes recopilaran y usaran códigos de acceso únicos de SMS para acceder a cuentas o autorizar pagos. Además, aprovechar las funciones de hardware de los dispositivos móviles (por ejemplo, Secure Enclave en dispositivos iOS o Trusted Execution Environment/Secure Element en dispositivos Android) hace que sea mucho más difícil robar identificadores de dispositivos. Requerir autenticación biométrica junto con la confirmación de una notificación automática habría proporcionado otro nivel de defensa que podría haber detenido a estos atacantes.

También es importante que las instituciones financieras apliquen tecnología anti-manipulación avanzada (consulte «mobile app shielding» con protección de tiempo de ejecución a continuación) a cualquier aplicación de banca móvil. Esto reduce el riesgo de que alguien pueda manipular o aplicar ingeniería inversa al proceso de vinculación del dispositivo para replicar la interacción de una aplicación de banca móvil de un usuario legítimo en un dispositivo emulado.

Combata el fraude digital sofisticado con análisis a nivel del cliente y del servidor

Gartner ha sugerido un marco de detección de fraude en línea con cinco niveles de prevención - centrado en el punto final, centrado en la navegación y la red, centrado en el usuario y la entidad, centrado en el usuario y la entidad en varios canales, y análisis de usuario y entidad de big data para detectar el fraude en línea. Como los estafadores usaron un emulador, pudieron superar ciertos aspectos del primer nivel de prevención. Cada vez vemos más ejemplos de estafadores sofisticados que pueden simular datos del lado del cliente, como el dispositivo, la ubicación y la hora del día.

Este incidente de fraude móvil, y la creciente sofisticación de los grupos criminales relacionados con el fraude en línea en general, hacen que sea necesario contar con una solución de prevención de fraude más completa con niveles adicionales correctamente configurados. En este momento, es mucho más difícil para los atacantes burlar los niveles de prevención posteriores:

• Nivel 1: Centrado en el punto final – análisis del comportamiento final y correlaciones de ubicación; este nivel también incluye detección de malware y huellas dactilares de dispositivos
• Nivel 2: Centrado en la navegación y la red – Análisis de sesión, red y comportamiento de navegación y patrones sospechosos
• Nivel 3: Centrada en el usuario y la entidad (canal único) – Análisis del comportamiento del usuario/entidad por canal (por ejemplo, banca online, banca móvil, etc.)
• Nivel 4: Centrado en el usuario y la entidad en todos los canales y productos – Análisis de comportamiento anómalo correlacionado entre canales
• Nivel 5: Vinculación de entidades y usuarios de Big Data – Análisis de relaciones para detectar delincuencia organizada y colusión

Está claro que recopilar y correlacionar señales de riesgo en estas áreas se vuelve casi imposible "a velocidad humana". Para lograr tener un impacto, cualquier sistema completo de detección de fraude en línea debe utilizar aprendizaje automático del lado del servidor, así como reglas automatizadas contextuales.

Detección de interacción automatizada no humana

La fábrica de emulación criminal simulaba los dispositivos de las víctimas, lo que pone en riesgo a cualquier banco que confíe únicamente en identificar/confiar en los dispositivos móviles mediante una identificación o con un código de un solo uso enviado por SMS. Si las aplicaciones bancarias dirigidas hubieran habilitado el análisis de sesiones junto con el comportamiento final y las correlaciones de ubicación, el dispositivo podría identificarse como emulado debido a la falta de un comportamiento de interacción "humano" (por ejemplo, la forma en que un humano interactúa con un dispositivo, como el ritmo de la escritura, ángulo, altura y otros rasgos de comportamiento).

Cómo y cuándo un usuario interactúa con una sesión puede proporcionar información sobre su comportamiento habitual en la sesión. Esta es una capa de prevención adicional que puede dificultar el trabajo de un atacante, ya que el emulador automatizado necesitaría imitar constantemente la velocidad de interacción de la víctima humana y otras cosas.

Supervisar más que el evento de inicio de sesión: Monitoreo continuo de sesiones

A medida que avanzamos hacia los niveles 3 y 4, es importante tener en cuenta la actividad de la sesión bancaria más allá del inicio de sesión inicial. En última instancia, un atacante no tiene la intención de pagar las facturas de un usuario, su objetivo es extraer fondos. Por lo tanto, es crucial que los bancos apliquen un monitoreo continuo para revisar nuevos dispositivos, beneficiarios y transacciones. El propósito de esta revisión es ver si los dispositivos, los beneficiarios o las transacciones son nuevos y/o conocidos por (es decir, usados por) cualquier otro consumidor o cliente comercial de un banco.

Automatización de la detección/prevención del fraude con el poder del aprendizaje automático

Comprender los análisis en torno a la actividad típica de todos los usuarios y dispositivos puede ayudar a identificar la activación masiva de dispositivos, la creación masiva de beneficiarios y las transacciones masivas, todas señales de un ataque escalado. En este caso, mirando atrás, parece que el banco podría haber sido alertado sobre cualquiera de las muchas etapas del ataque. Estas etapas incluyen atacantes que activan numerosos dispositivos nuevos, emulan dispositivos, crean nuevos beneficiarios, transfieren grandes cantidades, agotan el saldo de las cuentas y envían dinero a cuentas previamente desconocidas.

Estos indicadores, así como miles más, se pueden proporcionar a los modelos de aprendizaje automático, que pueden operar en un espacio altamente dimensional que supera con creces al de un ser humano, y pueden proporcionar una predicción (puntuación de anomalía/riesgo) en tiempo real. Esto habría permitido al banco detener el ataque evitando que se propagara, permitiendo una reacción automatizada.

Combata los emuladores y otras amenazas móviles con App Shielding, incluida la protección en tiempo de ejecución

Si bien no se conocen los detalles de cómo los atacantes identificaron las debilidades en las aplicaciones móviles de los bancos víctimas y los sistemas de detección de fraude, tiene sentido pensar que aplicaron ingeniería inversa a ciertos aspectos de la aplicación móvil. Es probable que los atacantes simplemente descargaran las aplicaciones legítimas de las tiendas de aplicaciones oficiales y comenzaran a observar las aplicaciones durante la ejecución.

El blindaje de aplicaciones móviles con protección en tiempo de ejecución habría detectado esta actividad y habría cerrado la aplicación de inmediato para evitar esta actividad maliciosa. El blindaje avanzado de aplicaciones móviles no solo evita que una aplicación se ejecute en un emulador, sino que también detecta y bloquea varias herramientas utilizadas para aplicar ingeniería inversa a la aplicación y comprender cómo funciona.

Con la sofisticación de esta amenaza, no es descabellado suponer que los atacantes pudieron aplicar ingeniería inversa a la aplicación para comprender cómo estaba vinculada al dispositivo de un usuario (si es que lo estaba) y cómo se comunicaba con las API del lado del servidor del banco. El blindaje de aplicaciones móviles con protección en tiempo de ejecución habría agregado otra capa de control de seguridad que habría hecho que el trabajo de los estafadores requiriera mucho más tiempo y dinero.

Además de la mitigación de ingeniería inversa, el blindaje de aplicaciones con protección en tiempo de ejecución ofrece varias capacidades de seguridad de aplicaciones de banca móvil que dificultan que los atacantes lleven a cabo un ataque cibernético en aplicaciones y usuarios de banca móvil:

• Evitar la suplantación de la aplicación al detectar el reempaquetado de la aplicación (por ejemplo, modificar y volver a publicar una aplicación de forma malintencionada)
• Identificación de modificación de código y/o inyección de bibliotecas de tiempo de ejecución maliciosas en una aplicación
• Reducir el riesgo de fuga de datos confidenciales al detener capturas de pantalla y teclados maliciosos
• Detectar la escalación de privilegios mediante el reconocimiento de dispositivos con jailbreak o liberados
• Mitigación de los ataques de superposición de UI al evitar la anulación de seguridad en dispositivos Android

Resumen y seguridad cibernética

A fin de cuentas, para proteger a sus clientes bancarios e instituciones de la evolución continua de los riesgos de seguridad creados por los piratas informáticos, las instituciones financieras deben adoptar un enfoque de varios niveles para enfrentar el fraude bancario en línea. Esto debe incluir una autenticación sólida, análisis de riesgos del lado del servidor y una seguridad avanzada de aplicaciones móviles con blindaje de aplicaciones y protección en tiempo de ejecución.