Keyloggers y protecciones de credenciales en banca online (I)

Sergio De Los Santos  19 julio, 2013

Los keyloggers o registradores de teclas han supuesto un
problema de seguridad desde el principio de los tiempos. Todavía son usados y
su capacidad para capturar contraseñas sigue siendo muy considerada por
atacantes. Más aún cuando los métodos de pago y la banca online son tan
populares (y siguen protegidos fundamentalmente por contraseñas y sus variantes).
A pesar de su veteranía y de los distintos métodos aplicados para combatir el
malware que recoge lo escrito en el teclado, ¿siguen suponiendo un problema?
¿Los hemos superado?
Los keyloggers funcionaron en los 90 de una forma sencilla:
interceptaban las funciones del sistema operativo que recogían las pulsaciones
de teclas. Las escribían en un fichero, se imprimían en pantalla y se le enviaban
al atacante. Fueron tremendamente populares y consiguieron robar contraseñas de
correo y otros servicios a pesar del cifrado web. A principios de la década
pasada, con la explosión de la banca online hubo que combatirlos con ideas más
ingeniosas.

Teclados virtuales

Teclado virtual que cambia de posición y reordena las letras
Fue una de las primeras reacciones de la banca contra los
keyloggers. Si recogían las pulsaciones de teclado, qué mejor que evitar que el
usuario tecleara. Pulsaría sobre una animación en pantalla. Esta medida es
ahora casi un estándar en la banca online. Pero pronto supieron eludirla. El
malware comenzó a capturar pequeños trozos de pantalla como imágenes alrededor
del ratón cuando se hacía “click”, que se almacenaban en orden temporal
y permitían al atacante saber la secuencia de tecleo en el teclado virtual.
La
contramedida de los programadores (en aquellos tiempos, bancos brasileños y rusos)
fue ocultar las teclas en cuanto se pulsaban. El número era sustituido por un
asterisco, y la secuencia que obtendría el atacante entonces sería una serie de
imágenes con teclas sin información útil. ¿La reacción de los atacantes? Grabar
en vídeo el m
ovimiento de ratón.
Secuencia de imágenes grabada por un troyano ante un teclado virtual

Contraseñas incompletas
Algunos bancos decidieron entonces que con solo dar una
parte de la contraseña al banco, bastaba. El atacante no podría obtener la
contraseña por completo. Esta medida fue también invalidada. Bien porque el
malware podría simplemente esperar varias conexiones hasta completar la
contraseña, bien porque podía modificar la página legítima para que realmente
pidiera toda la secuencia de números o letras
… o coordenadas. Todavía hoy es
habitual que phishing y troyanos pidan toda la tarjeta completa. El usuario
medio piensa que, a más coordenadas (más contraseñas), más seguridad.

Troyano que modifica una web de banca online para pedir toda la contraseña en vez de solo una parte

Gestores de contraseñas

Para los usuarios más avanzados que se manejan con gran cantidad
de contraseñas, los gestores permiten almacenarlas todas de forma segura.
Cuando se va a utilizar una contraseña, se hace doble click sobre la deseada y
esta queda en el portapapeles esperando a ser pegada en el campo correcto. Pero
contra los gestores de contraseñas el malware también sabe qué hacer.
Obviamente, caza el contenido del “clipboard” cuando el usuario
visita el banco.
Esto es menos habitual, pero ocurre.
Pero el juego no acabó aquí. Existían otros vectores de
ataque que aprovechar y otras contramedidas que implementar que veremos en la siguiente entrega.

* Keyloggers y protecciones de credenciales en banca online (y II)

Sergio de los Santos
ssantos@11paths.com
@ssantosv

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *