La autenticación de doble factor, burlada por los phishers

Mal día para la banca electrónica. Es el primer caso, al menos del que yo tenga constancia, en el que se ha diseñado y ejecutado un ataque contra una infraestructura de autenticación de doble factor.

El triste honor de ser los primeros ha correspondido en este caso a Citibank, y el ataque, para fortuna de los clientes corporativos y de la propia entidad, ha sido ya desarticulado. El sitio ya no está disponible, pero Brian Krebs ha colgado en el blog algunas capturas de pantalla.

Así, podemos ver el mensaje de correo utilizado así como el aspecto del sitio habilitado para el robo de credenciales, en cuyo detalle se puede apreciar cómo los atacantes solicitan el business code, un dígito de 16 cifras, cuyas 7 últimas se generan al vuelo a través de un token, que la entidad suministró a sus clientes de banca corporativa, conocida comercialmente como Citibusiness.

El ataque, de una segmentación sin precedentes, habida cuenta del perfil de la cartera de clientes de Citibusiness y las técnicas empleadas, representa un hito también en la evolución de los delitos telemáticos relacionados con el fraude y el robo de identidad. Los métodos de doble factor siempre se han presentado como una garantía muy sólida para afrontar el phishing, pero este ataque demuestra que para cada innovación de seguridad, hay siempre una innovación maliciosa. El ataque, al más puro estilo de un man-in-the-middle, permitía recoger el dígito procedente del token, una vez introducido por el usuario. El número era verificado contra el sitio legítimo, mientras que para el usuario, quedaba rechazado. Esta secuencia de rechazo permitía a los atacantes recopilar bastantes números, ya que el usuario lo primero que suele hacer al presentarse un error, es volver a generar otro número y probar de nuevo el sistema, creyendo que está ante un fallo temporal.

Es la noticia del día, yo la he visto en el Washington Post, pero también se hacen eco otros medios masivos como Slashdot. Aquí en España, José Manuel pasa a portada la noticia también. Citibank es una entidad que sufre una gran cantidad de ataques phishing, y que no se cansa de alertar a sus clientes. En una iniciativa digna de los mejores aplausos, es de las pocas entidades que facilita formularios para que detallemos los fraudes que hemos podido sufrir, ayudando con ello a la resolución y la prevención de casos futuros.

El phishing evoluciona, y hoy el ritmo lo han marcado los atacantes. Haciendo un símil futbolístico, aprovechando el reciente mundial, podríamos decir que uno a cero, y sacamos nosotros desde el centro del campo.