Malware Bancario

El malware bancario es una de las las principales amenazas para las empresas ya que con el aumento del uso de la banca online, las técnicas maliciosas empleadas en esta ciberamenaza han avanzado para hacer crecer exponencialmente a las víctimas potenciales.

El malware bancario se refiere específicamente a troyanos bancarios y aplicaciones bancarias falsas cuyo objetivo netamente económico, robando las credenciales bancarias de las víctimas para obtener acceso a sus cuentas de banca online y disponer de ellas como les plazca.

Los malware bancarios tienen la capacidad de interceptar las contraseñas de confirmación que el banco envía por SMS para terminar de realizar una operación, por lo que son una auténtica amenaza incluso cuando se cuenta con medidas de seguridad como la doble autenticación o las pasarelas para confirmar, mediante contraseña, un pago.

¿Cómo funciona el malware bancario?

Un troyano bancario está diseñado para obtener acceso a información confidencial y/o material almacenada o procesada a través de sistemas bancarios en línea. Como su nombre lo indica, es una forma de caballo de Troya y puede aparecer como una pieza de software legítima hasta que se instala en un dispositivo informático. Una vez instalado, el troyano bancario puede obtener acceso a los archivos y sistemas informáticos, que los atacantes utilizan para realizar transacciones no autorizadas, robar las identidades de los clientes o retirar fondos de los clientes a las cuentas de los atacantes.

Cuando se ejecuta el software, se copia a sí mismo en la computadora host, creando carpetas y configurando entradas de registro cada vez que se inicia el sistema. Busca archivos de cookies específicos relacionados con las finanzas personales, que han sido almacenados en la computadora por sitios web financieros durante una visita a Internet.

El caballo de Troya puede ejecutar una serie de operaciones, incluida la ejecución de archivos ejecutables, la descarga y el envío de archivos de forma remota, el robo de información de un portapapeles y el registro de pulsaciones de teclas. Recopila cookies y contraseñas y puede eliminarse de una computadora cuando se le ordena.

Los ciberdelincuentes pueden engañar a los usuarios para que otorguen acceso a la cuenta a los troyanos bancarios de varias maneras diferentes:

  • Suplantación de identidad. Esto ocurre cuando un actor malintencionado envía un correo electrónico bajo la apariencia de un remitente aparentemente legítimo, como un banco o un minorista en línea. El correo electrónico infecta al destinatario una vez abierto o contiene un enlace que le indica al destinatario que inserte su nombre de usuario y contraseña en un sitio malicioso disfrazado de un sitio bancario legítimo.
  • Malvertising. Los troyanos bancarios pueden ocultarse en códigos maliciosos inyectados en anuncios que se muestran en sitios legítimos. Una vez que se hace clic, esos anuncios infectados dirigen al usuario a un sitio malicioso.
  • Paquetes de explotación. Los kits de explotación se integran en los sitios web, donde escanean a los usuarios en busca de vulnerabilidades para explotar y obtener acceso a su PC o red.

Tipos de malware bancario

Hay dos tipos de malware bancario: los troyanos bancarios y las aplicaciones bancarias falsas. Para propagarse e infectar los dispositivos se emplean diferentes técnicas.

El malware en los troyanos bancarios emplea el phishing para distribuirse, especialmente a través de correos electrónicos que provienen supuestamente del banco de la víctima, servicios de paquetería, entidades gubernamentales o cualquier otro tipo de “comunicación oficial”. Estos correos incluyen o enlaces que conducen a una web maliciosa, que imita la del banco o la del organismo oficial o empresa del remitente y que pedirá una descarga de algún archivo y seguramente que se introduzcan las credenciales bancarias, o archivos adjuntos que la víctima «necesita» descargar.

Una vez descargado y ejecutado el archivo, el troyano introducirá el malware en el equipo y seguirá las instrucciones que reciba desde su centro de control. Normalmente, consistirán en ocultarse, desactivar el antivirus, interceptar las credenciales bancarias y realizar las operaciones en nuestras cuentas.

Por su parte, las aplicaciones maliciosas, que pueden llegar desde el correo o que pueden ser descargadas desde marketplaces como Play Store o la Apple Store, camufladas como aplicaciones legítimas, tomarán el control del móvil para proceder a robar las credenciales bancarias e interceptar los SMS con contraseñas de confirmación, entre otras técnicas.

¿Por qué es tan peligroso el malware bancario?

El malware bancario es peligroso porque su principal objetivo es un beneficio económico. Por ejemplo, si el objetivo es una empresa y los empleados que tienen acceso a las cuentas y permisos para hacer movimientos de dinero, el daño que pueden causar a dicha empresa es elevado, si bien estos ataques exigen una planificación más personalizada y dirigida, del tipo del fraude del CEO.

Hay que tener en cuenta que cada vez hay más personas que operan a través de la banca online o de aplicaciones bancarias o que realizan compras online, usando sus tarjetas para los pagos. Esto ha ampliado el número de víctimas potenciales y la poca formación en ciberseguridad de muchos usuarios, ha aumentado el número de ataques con malware bancario.

Además, el malware bancario también ha proliferado porque se «vende» como un tipo de MaaS, es decir, como malware como servicio, lo que permite que cibercriminales con menos conocimientos técnicos puedan, a cambio de una suscripción o comisión, adquirir este tipo de troyanos para llevar a cabo sus ataques.

Indicadores de compromiso para usuarios y empresas

Si bien puede ser difícil para el usuario promedio detectar que su dispositivo ha sido comprometido, hay una serie de pistas a las que debe prestar atención. Estas pistas también pueden ser útiles para los profesionales de la seguridad que gestionan los sistemas de los usuarios:

Individuos:

  • Navegadores que cargan páginas web lentamente y ejecutan sitios lentamente.
  • El inicio lento de la computadora y el rendimiento lento cuando no se está ejecutando nada más en el sistema pueden ser un signo de un virus o troyano.
  • Un ventilador que está funcionando constantemente o un disco duro que siempre está girando podría ser un signo de infección.
  • Comportamiento sospechoso, como una computadora que se ralentiza repentinamente, abre programas que no abrió, cierra programas repetidamente.
  • Elementos de formulario nuevos o inesperados en páginas web bancarias, por ejemplo, campos que solicitan números de tarjeta de crédito o PIN.
  • Intentos de inicio de sesión fallidos la primera vez que intenta iniciar sesión a pesar de que la contraseña se ingresó correctamente.

Particulares y empresas:

  • Las ventanas emergentes inesperadas suelen ser un signo de infección. Hacer clic en esas ventanas emergentes puede instalar malware adicional.
  • Archivos que faltan o usuarios que notan que faltan archivos.
  • Correo electrónico secuestrado u otras cuentas.
  • Soluciones antivirus que dejan de funcionar.
  • Aplicaciones que tardan mucho en iniciarse o que no inician en absoluto.
  • Una computadora que está haciendo algo activamente cuando nadie la está usando.

Cómo protegerse contra los troyanos bancarios

  • Implemente un firewall de aplicaciones web.
  • Implemente la autenticación multifactor.
  • Implemente protección contra fraudes web para detectar clientes infectados que inician sesión en sus aplicaciones.
  • Utilice un sistema de detección de intrusos para detectar malware troyano. 
  • Revisar los controles de acceso.
  • Notifique a los clientes sobre malware detectado en sus sistemas durante el inicio de sesión para que puedan tomar medidas para limpiar sus sistemas.
  • Brindar capacitación sobre seguridad a empleados y clientes.
  • Mantenga actualizado el software de seguridad, aplicaciones y utilidades.
  • Utilice la autenticación de dos actores siempre que la opción esté disponible.
  • Solo descargue aplicaciones y archivos de fuentes confiables.
  • Utilice un navegador en el que confíe cuando realice compras y operaciones bancarias en línea.
  • Utilice todas las funciones de seguridad que ofrecen los bancos.
  • Utilice un administrador de contraseñas. La mayoría de los troyanos bancarios pueden registrar las pulsaciones de teclas. Al usar un administrador de contraseñas para completar las contraseñas, evita escribir físicamente las credenciales, lo que esencialmente hace que un registrador de teclas sea inútil.
  • Compare la pantalla de inicio de sesión de su banco en su computadora con la misma pantalla de inicio de sesión en la de otra persona para asegurarse de que se vean igual.
  • Utilice soluciones de filtrado de tráfico para evitar la fuga de datos.
  • Aprenda a detectar correos electrónicos de phishing y no haga clic en enlaces sospechosos. Así es como se instalan la mayoría de los troyanos bancarios.
  • Aprenda a detectar sitios web falsos.