Los ataques de phishing, el intento de obtener información financiera y/o contraseñas 'online' ya sea mediante correo electrónico o falsas páginas web, siguen evolucionando y cada vez son más sofisticadas las técnicas que permiten estafar a los usuarios de entidades financieras a través de Internet, perjudicando el despegue de la banca electrónica. Hispasec ha demostrado cómo es posible realizar ataques phishing en páginas web de entidades bancarias con servidores seguros, aun cuando el usuario visualice que la URL comienza por https:// seguido del nombre de la entidad y que el icono del candado que aparece en la parte inferior del navegador certifique que se encuentra en el servidor seguro del banco, al aprovechar un tipo de vulnerabilidad que frecuentemente aparece en páginas web, el Cross-Site Scripting (XSS). (CDTinternet.net).

Hasta la fecha las recomendaciones para acceder de forma segura a la banca electrónica hacían hincapié en comprobar que la URL del navegador comenzara por https:// seguido del nombre de la entidad, así como que haciendo doble click en el candado que aparece en la parte inferior del navegador se comprobara el certificado, para cerciorarse de que el usuario estaba navegando en el servidor seguro de la entidad.

En un estudio sobre phishing avanzado, llevado a cabo por Hispasec de cara a prevenir futuras técnicas de ataque, se han detectado varias áreas de riesgo, una de ellas hace insuficientes las recomendaciones anteriores.

Básicamente se trata de aprovechar un tipo de vulnerabilidad muy común en aplicaciones web, como es el Cross-Site Scripting (XSS), para modificar el contenido de la web que el usuario visualiza en su navegador. Este tipo de vulnerabilidad es bien conocida en el mundo de la seguridad, si bien normalmente se consideraba de un riesgo medio por lo que no se le prestaba la atención que se merece.

En el análisis realizado por Hispasec en webs reales de las entidades bancarias que operan en España se demuestra cómo es posible aprovechar este tipo de vulnerabilidad para llevar a cabo ataques de phishing avanzados.

Este tipo de ataque permite que el usuario compruebe el certificado de seguridad de la web de la entidad que está visitando sin que en principio pueda observar nada irregular. Éste era, hasta la fecha, uno de los métodos más seguros de los que el usuario disponía para cerciorarse de que no estaba siendo víctima de un ataque de phishing y que sus datos se transmitían de forma segura (cifrada) a su entidad financiera, de tal forma que sólo su banco o caja de ahorros pudiera descifrarlos.

Independiente de si se trata de un problema de implementación o vacío en las especificaciones, parece también oportuno que los navegadores, al igual que nos avisan cuando desde una conexión segura se van a visualizar elementos no seguros, incorporaran un mecanismo para alertar cuando se están cruzando contenidos de diferentes servidores seguros. De lo contrario, siempre rondará la duda en el esquema de autenticación de servidores web seguros.

Además de las implicaciones técnicas y de la dificultad que entrañaría a los usuarios detectar este nuevo tipo de phishing, si se produce este tipo de ataque la responsabilidad recaería en manos de la entidad financiera afectada, ya que es posible llevarlo a cabo aprovechando vulnerabilidades en la programación de su web, y no se facilitan al usuario mecanismos adicionales para poder prevenir y detectar el fraude de forma sencilla.

Hispasec ha llevado a cabo un estudio preliminar sobre 50 sitios webs de entidades bancarias españolas, realizando un análisis superficial de la portada, detectando que 6 de ellas (12%) presentaban vulnerabilidades del tipo Cross-Site Scripting (XSS) evidentes en su primera página.

Debemos hacer hincapié en que las vulnerabilidades XSS pueden estar presentes en cualquier página de la entidad, no sólo en la portada, por lo que el número real de entidades afectadas puede ser muy superior.

Dadas las implicaciones en materia de seguridad que puede tener este tipo de debilidades para sus clientes, Hispasec recomienda encarecidamente a todas las entidades bancarias que realicen periódicamente auditorías de sus servicios webs incluyendo, de forma especial, el análisis por parte de expertos del diseño y programación de sus páginas.

Por su parte, los usuarios, deberán evitar a toda costa utilizar enlaces que les lleguen a través del correo electrónico o mediante otra vía, como por ejemplo, una página web para enlazar con servicios sensibles, como es el caso de la banca electrónica. Para evitar en concreto este nuevo tipo de ataque, se recomienda que los usuarios escriban de forma manual y directa la dirección web de su banco en el navegador.

Hispasec ha notificado los detalles de las vulnerabilidades detectadas a las entidades bancarias que forman parte del grupo de cooperación anti-phishing recientemente formado, y de forma especial a las entidades afectadas, de manera independiente a su participación en el grupo, para que puedan proceder a su pronta corrección y prevenir este tipo de ataques.

Asimismo, cabe destacar el interés y eficiencia de las entidades afectadas en la corrección de los casos detectados, que como en el caso de Bankpyme, utilizado para la realización del demo de ataque phishing, ha mostrado una diligencia ejemplar a la hora de abordar y solucionar el problema, tal como indica Hispasec.

Se recomienda visionar los tres vídeos que Hispasec ha elaborado para ilustrar y facilitar la comprensión del alcance del problema. En ellos se muestran los detalles de un caso real de phishing sobre una página web "segura" de una entidad bancaria, realizado como prueba de concepto (ya avisado y corregido antes de publicar estas líneas). El primero de los vídeos muestra la perspectiva de la víctima que sufre la estafa, el segundo cómo el atacante ha preparado el phishing, y un tercero genérico que explica de forma gráfica las implicaciones de los Cross-Site Scripting en los servidores seguros.

Aún existe un desconocimiento peligrosamente generalizado sobre el alcance de este tipo de ataques (considérese, por ejemplo, el hecho de que en páginas web publicadas en español aparece más de un 15% del total de las veces mal escrito, con una sola 'h' (phising) y no con dos 'h' intercaladas como es lo correcto) y es tal la gravedad del asunto -ya amenaza con convertirse en la plaga online de la mitad de la presente decada- que tanto las entidades financieras como la administración pública deberán tomar medidas específicas para erradicarla. Medidas y medios entre los que debe de considerarse la inclusión de nuevos dispositivos, tales como las tarjetas seguras de identificación personal aplicadas a la banca y al comercio electrónico, sector en el que España puede jugar un papel pionero al contar con algunos de los mejores especialistas mundiales en el campo de la identificación y la criptografía aplicada a las transacciones electrónicas seguras.