El aumento del uso de la banca móvil ha provocado que, en estos momentos, estas aplicaciones sean uno de los principales objetivos de los ciberdelincuentes. Ante posibles ataques, usuarios y empresas han de incrementar las precauciones.
¿Qué técnicas se están utilizando para atacar a los usuarios de estas compañías?
Los ciberdelincuentes están adoptando un enfoque de dos pasos para instalar malware bancario en los dispositivos móviles de los usuarios. Primero, suben una aplicación relativamente inocente a la Play Store. Esta aplicación tiene una funcionalidad legítima, pero también la capacidad de descargar e instalar aplicaciones adicionales cuando los atacantes le indiquen que lo haga. Cuando aumentan la base de usuarios instalada, filtran los objetivos que consideran relevantes para recibir el malware bancario. Con las víctimas seleccionadas, indican a la aplicación que instale una actualización maliciosa que dibuja superposiciones sobre las aplicaciones con fines de phishing. Algunos troyanos bancarios también incluyen capacidades de acceso remoto para extender el robo de información más allá de las credenciales bancarias.
Esta estrategia suele tener éxito, ya que los usuarios tienen tendencia a instalar aplicaciones sin preguntarse si realmente las necesitan o no, y no las desinstalan inmediatamente cuando se dan cuenta de que no funcionan correctamente o cuando reciben críticas negativas que mencionan un potencial malware en su interior.
Una parte importante de estos ataques afecta a usuarios corporativos, ¿qué pueden hacer las empresas y los bancos para evitarlos?
Las empresas son mucho más estrictas que los usuarios domésticos cuando se trata de banca y pagos. Sin embargo, una de las brechas que se encuentran con más frecuencia en la cadena de ciberseguridad de las organizaciones es la ausencia de políticas sólidas o de procesos claros de aprobación de las transacciones. Así, los departamentos financieros que operan pagos regularmente solo deberían ejecutarlos después de validar la existencia de contratos y de solicitar la aprobación por escrito del responsable de cada contrato. Se han dado muchos casos de fraude que han tenido éxito al conseguir suplantar la identidad del CEO, por lo que establecer procedimientos, procesos y protocolos puede resultar clave para evitar este tipo de incidentes.
Es muy importante seguir los procedimientos y las pautas establecidas por el equipo de TI. Siempre que haya dudas sobre si se puede instalar una aplicación o no, se debe comunicar a los responsables de tecnología. Los empleados también deben saber que no pueden compartir sus dispositivos corporativos con amigos o con otros miembros de su familia. Para asimilar todo esto, las empresas deberían inscribir automáticamente a los nuevos empleados en cursos de capacitación y concienciación de seguridad para ofrecerles unos conceptos básicos sobre seguridad online.
En cuanto a los bancos, hay que reconocer que se toman la ciberseguridad muy en serio y que hacen todo lo posible para adoptar las tecnologías de seguridad más avanzadas. Como cualquier organización, no están libres de sufrir un ciberataque, pero la realidad es que necesitan de una mayor concienciación y compromiso por parte de los usuarios.
¿Cuáles son sus previsiones con respecto al malware bancario?
Los usuarios de banca móvil están aumentando a un ritmo muy rápido, y con más víctimas potenciales, este mercado resulta cada vez más atractivo para los ciberdelincuentes, por lo que todo indica que va a seguir creciendo. El año pasado ya hablábamos sobre malware de Android altamente sofisticado, como Mandrake, o sobre los troyanos bancarios Cerberus. Hace tan solo unos días, Bitdefender ha publicado una investigación que alerta sobre un conjunto de nuevas aplicaciones maliciosas de Android que instalan Teabot y Flubot en los teléfonos de los usuarios. Estos dos troyanos bancarios son capaces de robar las credenciales de las víctimas, acceder a sus SMS y controlar de forma remota el teléfono. Teabot está teniendo una especial incidencia en España, y ya se ha puesto en circulación dentro de aplicaciones que imitan a las aplicaciones originales de las principales entidades financieras del país, como Bankia, Bankinter, BBVA, Openbank, Banco Sabadell, ING o Santander, entre otras.
*** Sergio Bravo es director de ventas de la zona Oeste en Bitdefender.