Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
23/04/2013
Desarrollan un sistema que mejora la seguridad en las operaciones bancarias
Cronto acaba de anunciar que ha desarrollado un nuevo método de protección contra el malware bancario. El nuevo sistema, denominado photoTAN, utiliza una imagen 2D para mejorar la autentificación y reducir los riesgos en las operaciones bancarias.
Un organismo dependiente de la Universidad de Cambridge, Cronto, ha desarrollado un nuevo método de protección contra los ataques conocidos como “man-in-the-browser”. Cabe recordar que este tipo malware se centra en atacar a los usuarios de la banca online.
Este tipo de malware es utilizado por los cibercriminales para infiltrarse en el ordenador de un usuario haciéndose pasar por software legítimo. Una vez instalado, el troyano detecta el momento en el que el usuario está llevando a cabo una transacción online bancaria y, antes de realizar la transacción, es capaz de desviar fondos a otra cuenta sin que sea detectado de manera inmediata ni por el banco ni por el usuario.
Un ejemplo de este tipo de malware es el scam Eurograbber. En 2012, y gracias a que utilizó una variante del troyano Zeus, consiguió robar más de 28,6 millones de euros a cerca de 30.000 usuarios bancarios de Alemania, Holanda y España. Además, y tal y como ha asegurado Symantec, se ha incrementado la sofisticación del malware Shylock, que, después de hacer estragos en el Reino Unido, ha ampliado sus objetivos geográficos.
Para combatir estos ataques, Cronto ha desarrollado, junto con Commerzbank (segundo banco más importante de Alemania) el sistema photoTAN. Y es que, y tal y como ha asegurado la compañía, gracias a este nuevo método de protección, que utiliza un sistema de seguridad visual en un dispositivo móvil, se mejora la autentificación y se reduce el riesgo del fraude.
A grandes rasgos, el sistema utiliza una imagen a color de dos dimensiones que contiene los datos que el banco quiere enviar. Esta imagen ha sido desarrollada realizando una serie de test de algoritmos de aprendizaje automáticos en grandes bases de imágenes. De esta forma, la imagen, que se refleja en la pantalla del dispositivo móvil, se escanea y decodifica utilizando una aplicación que, a su vez, genera un número de seis dígitos de autentificación, el cual es necesario para completar la transacción.
Según Igor Drokov, CEO de Cronto, el sistema proporciona una serie de ventajas sobre los tradicionales PIN. "El dispositivo y la aplicación es tan o más sencillo de utilizar que PIN, ya que sólo es necesario escanear el código de barras 2D para confirmar que todos los aspectos de la operación son correctos, e introducir un código que funciona como una firma para poder realizar la transacción", ha destacado el CEO de Cronto, quien recuerda que “los lectores de PIN al utilizar solamente dígitos, son muy limitado. Si la página se ve comprometida por un ataque man-in-the-browser, el usuario estaría a merced de los hackers”.