staff systems

Brian Krebs alerta sobre los peligros de usar Windows al conectarse a su Banco. La recomendación es sencilla, la misma que hacemos nosotros desde hace años: use Linux! y si lo hace en la modalidad LiveCD, mejor. Cómodamente y sin excusas.

Una serie de investigaciones que he estado haciendo acerca de las bandas organizadas de delincuencia cibernética que roban millones de dólares a pequeñas y medianas empresas ha generado más que unas pocas respuestas a los empresarios que estaban preocupados por mejor la manera de protegerse de este tipo de fraudes.

La más simple y rentable respuesta que conozco: No utilice Microsoft Windows para acceder a su cuenta bancaria en línea.

Yo no doy esta recomendación a la ligera, he entrevistado a decenas de empresas víctimas que perdieron entre $ 10,000 y $ 500,000 dólares a causa de una infección de malware. He oído historias dignas de un guión sobre la miríada de formas criminales cibernéticas que están evadiendo casi todos los obstáculos de seguridad de los bancos que encuentran en su camino.

Pero independientemente de los métodos utilizados por el banco o los ladrones, todos los ataques tienen un denominador común único e innegable: Tuvieron éxito porque los malos eran capaces de plantar software malicioso que les dio el control total sobre la computadora de la víctima que usaba Windows.

¿Por qué es importante el sistema operativo? Prácticamente todos los programas maliciosos de robo de datos en circulación hoy en día está diseñado para atacar a los sistemas Windows, y simplemente no se ejecuta en ordenadores que no sean Windows. Además, el malware basado en Windows empleado en cada uno de estos recientes ataques en línea contra las empresas era tan sofisticado que hace extremadamente difícil para los bancos la diferencia entre una transacción iniciada por sus clientes y un equipo de transferencia en marcha por los piratas que habían secuestrado la PC de dicho cliente.

El truco infame contra el Condado de Bullitt, Kentucky ilustra cómo los ladrones utilizan software malicioso para derrotar a dos de las principales líneas de defensa utilizadas por los bancos para impedir actividades no autorizadas. Muchos bancos ofrecen al cliente la opción de la llamada "doble control" - que requiera al menos dos empleados autorizados a firmar en cualquier transferencia de dinero. En ese ataque, los ladrones utilizan el malware plantado en el sistema del tesorero para de manera efectiva agregarse como un aprobador autorizado de las transacciones.

Los bancos también suelen llevar un registro de las direcciones de Internet utilizadas por sus clientes, y observar medidas de seguridad adicionales cuando los clientes acceder a sus cuentas en línea a través de direcciones desconocidas de computadoras. En el caso del Condado de Bullitt, y al menos otras tres víctimas que he entrevistado en los últimos tres meses, los atacantes utilizan su software malicioso para dirigir su conexión con el sitio web del banco a través de un túnel, de la dirección de Internet de la víctima a su propio ordenador.

El software malicioso también está ayudando a los ladrones a derrotar la llamada autenticación de dos factores, que generalmente consiste en pedirle a los clientes de banca en línea ingresar algo que ellos tienen, además de su nombre de usuario y contraseña, como por ejemplo el código generado por una llave que crea un nuevo código numérico de seis dígitos que cambia cada 30 segundos.

En los últimos dos meses, escribí sobre la situación de dos empresas que fueron víctimas de fraude bancario en línea a pesar de que los bancos requieren el uso de estos mecanismos de seguridad.

David Johnston, propietario de Modesto, California, perdió casi 100.000 dólares el 23 de julio debido a malware basado en Windows. El banco de Johnston requiere a sus clientes introducir el código de un token de seguridad. Pero los ladrones - armados con malware en el PC del controlador de la empresa - fueron capaces de interceptar uno de esos códigos cuando el controlador trató de iniciar la sesión, y luego retrasar el control. De hecho, Johnston dijo que los registros de las computadoras de la compañía muestran al controlador registrado en el sistema, mientras que la serie de robos ya estaba en marcha.

Los ladrones utilizaron el mismo método para robar 447.000 dólares de Ferma Corp., una empresa de demolición en Santa Maria, California, cuyo banco también se requiere a los clientes introducir un código de token de seguridad.

Yo no soy el único en recomendar a los clientes comerciales de banca en línea, que accedan a sus cuentas únicamente a partir de sistemas no-Windows. El uso compartido de servicios de información financiera y el Centro de Análisis (FS-ISAC) - un grupo de la industria con el apoyo de algunos de los mayores bancos del mundo - ha publicado recientemente directrices que instan a las empresas para llevar a cabo todas las actividades bancarias en línea de una forma "stand-alone, con una protección endurecida y cerrado por completo al resto del sistema informático de la empresa, desde donde la navegación normal de la Web y el uso de correo electrónico corriente no sea posible".

En respuesta directa a esta serie de comunicados y publicaciones para la revisión de la seguridad bancaria, el SANS Technology Institute, una organización de investigación sobre seguridad y educación, desafió a sus estudiantes con la creación de un libro blanco para determinar los métodos más eficaces para las pequeñas y medianas empresas para mitigar la amenaza de este tipo de ataques. Su conclusión:

Si bien existen múltiples capas de protección que las empresas y los bancos podrían poner en su lugar, la solución más barata y más infalible es el uso de un sistema operativo de arranque de sólo lectura, como Knoppix o Ubuntu. Ver el informe de SANS aquí (PDF).

Estas formas de distribución de sistemas, también conocidas como "Live CD", son generalmente gratis, basadas en Linux, que se pueden descargarse y grabar en un CD-Rom. La belleza de las distribuciones Live CD es que pueden utilizarse para convertir a una PC basada en Windows, temporalmente en un equipo Linux.

Los CD en vivo permiten al usuario arrancar un sistema operativo GNU/Linux sin instalar nada en el disco duro, los programas de un LiveCD se cargan en la memoria de la PC, y cualquier cambio - como el historial de navegación u otras actividades – desaparecen por completo después que la máquina se apaga. Para volver a Windows, basta con quitar el Live CD de la unidad y reiniciar el sistema.

Más importante aún, el malware que está construido para robar datos de los sistemas basados en Windows no se cargan o ejecutan cuando el usuario arranca desde el LiveCD. En pocas palabras: incluso si la instalación de Windows en el disco duro está completamente corrompido por un virus que registra las pulsaciones de teclas o caballo de Troya, el malware no se puede capturar las credenciales de la víctima bancaria si el usuario sólo transmite sus credenciales después de arrancar en uno de los estos CD en vivo.

El Arco de Steuben, un baño de Nueva York- fundación sin fines de lucro, que ofrece cuidado para los adultos con discapacidades, ha tomado este consejo en serio. En septiembre, escribí sobre cómo los ladrones habían utilizado programas maliciosos para robar cerca de 200.000 dólares de la organización. Desde entonces, la organización ha restringido el acceso a su cuenta bancaria en línea a un sistema Linux en su red, según un informe de 01 de octubre en el Boletín Oficial de Star locales.

Por supuesto, un equipo Mac probablemente funcionará igual de bien, pero el documento se centra en los usuarios de Windows que pueden estar buscando una manera económica de fortalecer su configuración actual para evitar el software malicioso.

The Washington Post. Avoid Windows Malware: Bank on a Live CD

Computerword también hace eco de la misma recomendación, donde Jay McLaughlin responde a la sugerente pregunta: Can Ubuntu save online banking?

En Staff Systems venimos realizando desde hace muchos años estas recomendaciones a nuestros clientes, no solo al usar Home Banking, vale para toda transacción electrónica, incluyendo las pasarelas de pago. Téngalo presente cuando maneja su cuenta Paypal, DineroMail, etc.

Esperamos que este artículo sirva para concientizar al gran público, The Washington Post es una reconocida y popular publicación, Brian ha incluido numerosas referencias públicas, conservando un lenguaje llano tanto como fue posible.