Ponen al descubierto secuestro al paso de red digital de banco

Fue un ataque rápido y coordinado a un banco. ¿El objetivo? Secuestrar los datos en línea y móviles de toda la organización durante varias horas. El ataque con 'malware' fue detectado en tiempo real por los investigadores de Kaspersky Lab. 

Los especialistas pudieron observar  los movimientos de los ciberdelincuentes durante las cinco horas en que la red digital de la organización estuvo bajo el control total de los atacantes. De acuerdo al reporte, el ataque habría afectado a cientos de miles o incluso millones de clientes en más de 300 ciudades alrededor del mundo.

El ataque se realizó en octubre del 2016. Los ciberdelincuentes aprovecharon un fin de semana, momento en que las medidas de seguridad son menos activas. El acceso a la red digital del banco se concretó a través de la infraestructura del proveedor de servidores DNS. “Una vez que adquirieron el control, los cibercriminales redirigieron las operaciones del banco a un prominente proveedor en la nube”, indica el informe.

Para concretarlo, los especialistas aseguran que los atacantes habían generado meses antes un certificado SSL digital legítimo (protocolo de encriptación para comunicación segura en la red) en nombre del banco y lo utilizaron durante el ataque. Es por eso que las víctimas, al momento de visitar el sitio secuestrado, no recibieron de sus navegadores ninguna advertencia: la conexión aparecía como segura debido a que el certificado usado era legítimo y la conexión con el sitio estaba cifrada.

¿Qué información pudo robar este ‘malware’? Información de inicio de la sesión de banca en línea y móvil, las listas de contactos de Outlook y Exchange, así como las credenciales de correo electrónico y FTP (servicio de Internet para transferencia de archivos).

“Además, los ciberdelincuentes eliminaron el software de seguridad instalado en los dispositivos de sus víctimas mediante el uso de herramientas anti-rootkit legítimas y gratuitas para evitar detección. También fue puesta en marcha durante este tiempo una campaña de phishing centrada en ciertos clientes para robar información de tarjetas de crédito. Más de 30 dominios pertenecientes al banco se vieron comprometidos, entre ellos los servicios de banca en línea, terminales PoS de tarjetas de crédito y de débito, y otras operaciones financieras”, detalla el informe.

“Este incidente nos muestra dos cosas. Primero, que los ciberdelincuentes son persistentes en encontrar nuevas formas de atacar a los bancos y están decididos a no ser detectados; y dos, que la seguridad de un banco no es una estrategia estática, si no que necesita evolucionar y adaptarse constantemente basándose en la inteligencia obtenida sobre las tendencias, las nuevas amenazas y las técnicas de seguridad más recientes para mantener verdaderamente segura la red. Este ataque aprovechó la vulnerabilidad de un tercero, el proveedor de servicios DNS del banco, algo que la mayoría de los bancos en América Latina tienen en común, ya que carecen de sus propios servidores. De hecho, por lo menos la mitad de los 20 principales bancos del mundo manejan su DNS parcialmente o en su totalidad empleando a terceros. La seguridad de la red de esos terceros es algo sobre lo cual no tienen control los funcionarios bancarios, un hecho que mayormente los bancos pasan por alto, pero como vimos en este caso, los cibercriminales no”, dijo Dmitry Bestuzhev, director del Equipo de Investigación y Análisis para Latinoamérica en Kaspersky Lab.