Así fue como ciberdelincuentes secuestraron la red digital de un banco

Así fue como ciberdelincuentes secuestraron la red digital de un banco

Los atacantes redirigieron las operaciones de la entidad a un proveedor en la nube.

hackers

El ataque se realizó en octubre de 2016 durante un fin de semana, cuando las operaciones del personal de seguridad suelen ser menos activas.

Foto:

123rf.com

04 de abril 2017 , 06:46 p.m.

Durante un período de cinco horas, ciberdelincuentes controlaron las transacciones de cientos de miles de clientes, en más de 300 ciudades alrededor del mundo, que intentaron acceder a los servicios bancarios en línea o móviles de un banco en Brasil.

Los atacantes buscaban lograr el robo de, entre otras cosas, la información de inicio de la sesión de banca en línea y móvil, las listas de contactos de Outlook y Exchange, así como las credenciales de correo electrónico y FTP. 

Los ciberdelincuentes instalaron un malware en los dispositivos de las víctimas que está diseñado para robar dinero de una lista de bancos predeterminados de todo el mundo a pesar de que el ataque comprometió las operaciones de un solo banco.

La mayoría de las entidades objetivo están en Brasil, pero otras también pueden estar en Reino Unido, Japón, Portugal, Italia, China, Argentina, Francia, Estados Unidos y las Islas Caimán.

(Lea también: Reportaje: ‘Yo fui víctima del secuestro de datos en Colombia’)

De acuerdo con Dmitry Bestuzhev, director del Equipo de Investigación y Análisis para Latinoamérica en Kaspersky Lab, empresa de ciberseguridad que pudo detectar el ataque en tiempo real, “Colombia no se encuentra entre los países donde los troyanos utilizados estén atacando las entidades, sin embargo, la técnica sí podría ser utilizada en cualquier parte del mundo”.

De acuerdo con la investigación realizada, los atacantes accedieron a la red digital del banco penetrando la infraestructura del proveedor de servidores DNS (por sus siglas en inglés, Domain Name System, un sistema de nomenclatura que permite conocer la dirección IP de la máquina donde está alojado el dominio al que se quiere acceder). Luego redirigieron las operaciones del banco a un prominente proveedor en la nube.

Meses antes del incidente, que se realizó en un fin de semana en octubre de 2016, cuando las operaciones del personal de seguridad suelen ser menos activas, los atacantes generaron un certificado SSL digital legítimo en nombre del banco y lo utilizaron durante el ataque. Eso llevó a que la conexión apareciera como segura, pues estaba cifrada, por lo que las víctimas al visitar el sitio secuestrado no recibieron ninguna advertencia por parte de sus navegadores web.

Los ciberdelincuentes usaron un malware de instalación automática disimulado como un popular plug-in de software de seguridad bancaria. Además de eliminar el software de seguridad instalado en los dispositivos de sus víctimas también llevaron a cabo una campaña de phishing centrada en ciertos clientes para robar información de tarjetas de crédito. Más de 30 dominios pertenecientes al banco se vieron comprometidos, entre ellos los servicios de banca en línea, terminales PoS de tarjetas de crédito y de débito, y otras operaciones financieras.

Según Bestuzhev, “este ataque aprovechó la vulnerabilidad de un tercero, el proveedor de servicios DNS del banco, algo que la mayoría de los bancos en América Latina tienen en común, ya que carecen de sus propios servidores. De hecho, por lo menos la mitad de los 20 principales bancos del mundo manejan su DNS parcialmente o en su totalidad empleando a terceros. La seguridad de la red de esos terceros es algo sobre lo cual no tienen control los funcionarios bancarios, un hecho que mayormente los bancos pasan por alto, pero como vimos en este caso, los cibercriminales no”.

(Además: Google informa aumento de 32 por ciento en sitios web pirateados)

“La seguridad de un banco no es una estrategia estática, si no que necesita evolucionar y adaptarse constantemente basándose en la inteligencia obtenida sobre las tendencias, las nuevas amenazas y las técnicas de seguridad más recientes para mantener verdaderamente segura la red”, agregó el experto.

Bestuzhev señala que para recuperar el control se “tuvo que tomar el acceso sobre el manejo del panel de control de los DNS. Al tener este control de vuelta se pudo volver a redireccionar la infraestructura hacia los servidores correctos. Se deben identificar las vulnerabilidades que existen en los sitios web de los proveedores”.

TECNÓSFERA

Ya leíste 20 artículos gratis este mes

Rompe los límites.

Aprovecha nuestro contenido
desde $10.999 al mes.

¿Ya eres suscriptor? Ingresa

Sabemos que te gusta estar siempre informado.

Crea una cuenta gratis y pódras disfrutar de:

  • Acceso ilimitado al contenido desde cualquier dispositivo.
  • Acceso a boletines con las mejores noticias de actualidad.
  • Comentar las noticias que te interesan.
  • Guardar tus artículos favoritos.

Crea una cuenta gratis y disfruta de acceso ilimitado al contenido, desde tu computador, tableta o teléfono inteligente.

Disfruta del contenido sin límites

CREA UNA CUENTA GRATIS


¿Ya tienes cuenta? INGRESA