Un sistema informático que recibe conexiones de clientes o usuarios para realizar operaciones, presenta tres problemas de seguridad:
- El servidor debe asegurarse que el usuario es quien dice ser y no se está suplantando su identidad.
- El usuario debe asegurarse que el servidor es el auténtico y no está siendo engañado por un atacante
- Que la comunicación, en caso de ser intervenida, no sea legible para el atacante.
Los sistemas basados en DF se presentan para asegurar el primer punto, es decir, evitar la suplantación de identidad del usuario. Se utilizan normalmente, bien al ingresar en el sistema o bien para confirmar operaciones especiales o de alto riesgo.
Conceptualmente hay dos formas de suplantar la identidad de alguien:
- El atacante conoce su mecanismo de autenticación, generalmente usuario y contraseña.
- El atacante se mete en medio de la comunicación, echa al usuario y se hace pasar por él.De todos es sabido que existen troyanos especializados en capturar pulsaciones de teclado y enviarlas al atacante para suplantar la identidad de la víctima. Los sistemas antivirus son una buena medida, pero por desgracia no son infalibles.
Además, lo “malos” comparte constantemente información actualizada de cómo evitar que los troyanos sean detectados e incluso de cómo detener el antivirus sin que el usuario pueda darse cuenta.
Este tipo de troyanos atacan los sistemas de autenticación basados en “lo que el usuario sabe”, es decir, usuario y contraseña, y opcionalmente, clave de operaciones. En algunos casos se solicitan algunas posiciones de la clave de operaciones y en otros se pide la clave entera. Simplemente es cuestión de tiempo el hacerse con el valor de todas las posiciones y por tanto de toda la clave.
Los sistemas de Doble Factor van más allá de “lo que el usuarios sabe” e incluyen el concepto de “lo que el usuario tiene” (y el atacante no puede tener). Por lo general, ese dispositivo que el usuario tiene, genera una contraseña de un solo uso (OTP, One Time Password) que para nuestra desgracias puede ser capturada por el atacante una vez generada. Realmente, el objetivo es utilizar un sistema de autenticación ajeno al canal que estamos usando, de esta forma no dependeremos de las debilidades asociadas al medio.
No olvidemos algo básico y es que en el el proceso de autenticación hay un cliente con un ordenador usando un navegador en el que es relativamente sencillo inyectar código. Este es el quid de la cuestión. La inyección de código y el secuestro de sesión son nuestros puntos débiles.
No debemos caer en el error de pensar en la fortaleza de los actuales sistemas de teclados virtuales, donde las teclas se colocan de forma aleatoria y el usuario hace clics de ratón para marcar los número. Evidentemente, es más que nada, pero existen troyanos especializados en capturar pulsaciones de este tipo de teclados.
En realidad los sistemas de Doble Factor ponen las cosas más difíciles, que no es poco, pero no son la panacea universal. Si un atacante captura un usuario-contraseña, podrá suplantar la identidad de la víctima siempre que quiera hasta que sea descubierto. Mediante un Doble Factor solo podrá suplantar la identidad de la víctima en el momento que esta usa el mecanismo de Doble Factor y además se ha interceptado la sesión, ya que el atacante no puede generar una OTP válida para esa sesión.
Mecanismos de Doble Factor
- Tarjeta de coordenadas: dispositivo tipo tarjeta de crédito que contiene una serie de valores a lo largo de unas filas y columnas. Una vez que se han pedido todas las posiciones, la tarjeta puede anularse y emitir otra o bien se puede volver a reutilizar. Aún reutilizándose, el sistema garantiza una importante reducción en el fraude en aquellas entidades que lo usan.
El sistema tiene dos debilidades. Una sería un troyano que pacientemente capturara todas las posiciones del la tarjeta y ésta fuera reutilizable. La otra sería un phising o secuestro de DNS que terminara pidiendo al usuario todas las posiciones de la tarjeta y éste las comunicara. Esto, por increíble descabellado que pueda parecer, ha ocurrido alguna vez.
En algunas entidades, en lugar de pedir el valor de una posición, piden de forma aleatoria el valor de algunos caracteres dentro de esa posición. Esto realmente no refuerza la seguridad, simplemente alarga el proceso del troyano que captura los valores.
Ya existen troyanos específicos para interceptar sesiones en sistemas que usan tarjeta de coordenadas como elemento de Doble Factor. Por lo general son troyanos diseñados específicamente para un banco concreto.
- OTP, contraseñas de un solo uso: estos sistemas son de distinto tipo. Los hay basados en tiempo, es decir utilizan la hora del dispositivo y la del servidor para establecer la validez de la OTP que se ha generado. Los hay basados en mecanismos tipo desafío/respuesta, es decir, el servidor hace una pregunta que se introduce en el token o dispositivo y éste genera una respuesta únicamente válida para el desafío previamente introducido.
Estos sistemas son robustos frente al phising tradicional y siempre y cuando estén bien planteados. Si por ejemplo el sistema le da una vida a la OTP de 24 horas es muy probable que nos puedan hacer un phising sin dificultad. En cualquier caso, ante un secuestro de sesión se muestran ineficaces dado que la OTP va a caer en manos del atacante y va a disponer de un mínimo tiempo para poder utilizarla.
- Certificados digitales:el uso de certificados digitales es conceptualmente muy distinto a una OTP, sin embargo su robustez es similar. Son atacables en la medida que se produce un secuestro de sesión, lo cual evidentemente no es sencillo, pero se hace. Personalmente entiendo que un certificado digital debe ir en una tarjeta EMV o similar (DNI electrónico), nunca instalado permanentemente en el repositorio del navegador. Por desgracia los navegadores no son precisamente robustos.
- El estándar CAP-EMV:posiblemente las tendencias de futuro puedan ir por aquí. CAP es un estándar propuesto por MasterCard y aceptado por VISA. El objetivo es generar un token usando los m