1

Cómo Apple Pay puede hacer vulnerables a los pequeños bancos

CIO.com | Por Tim Greene

Muchos bancos con menos de $ 50 mil millones en activos tienen un problema con los sistemas de pago como Apple Pay, que harían aún más atractiva la posibilidad de violar sus sistemas de seguridad.

En los Estados Unidos por ejemplo, mediante la alteración de archivos de transferencia electrónica, antes de que estos se carguen en el Centro Nacional de Intercambio de Transacciones, los delincuentes pueden redirigir los fondos a las cuentas que controlan y apropiarse de millones de dólares en un instante, según los investigadores de TrustCC , una consultora especializada en seguridad TI para instituciones financieras. Ellos presentaron sus resultados en (ISC) ² Congreso de Seguridad 2014.

El problema es que muchos bancos y cooperativas de crédito colocan estos archivos sensibles en sus LANs corporativas, antes de subirlos a la Cámara de Compensación Automatizada (ACH), una red que procesa las transacciones financieras. Eso los deja vulnerables a los piratas informáticos que se han infiltrado con éxito en la LAN.

Mientras que el ataque todavía no es común, podría convertirse en algo preocupante, a pesar de que los consumidores cambian sus tradicionales tarjetas de crédito de banda magnética, o las de chip y pin, para hacerlas más seguras ante sistemas de pago alternativos como Apple Pay.

Estos métodos más seguros significarán más trabajo para los hackers profesionales, dicen los investigadores de TrustCC, Andy Robbins y Brandon Henry. Cuando eso sucede, los delincuentes pueden tratar de robar directamente de los bancos, porque van a presentar objetivos más fáciles con mayores ganancias potenciales, ya que los bancos son un objetivo muy jugoso.

Los investigadores señalan que las víctimas del ataque estarían entre los cerca de 4.000 bancos y cooperativas de crédito en los EE.UU., los cuales manejan menos de $ 50 mil millones en activos, y que son considerados bancos pequeños. Los bancos más grandes, que en realidad controlan la gran mayoría de los fondos involucrados en las transferencias ACH, utilizan una estructura que no se expone a la misma vulnerabilidad, dice Henry.

Pero en los bancos más pequeños, los archivos por lotes en formato ACH se crean generalmente en las redes básicas de seguridad. Al final del día, estos archivos se desplazan a las acciones de la LAN corporativa para ser revisado por personas de los equipos de contabilidad de las instituciones. Una vez aprobados, estos archivos se envían a ACH.

La falla en el sistema es que los archivos de ACH a menudo se quedan como acciones por algún período de tiempo, y los hackers pueden acceder a ellos antes de que la persona en materia de contabilidad pueda alterarlos.

Los contadores verifican lo que se conoce como el registro de control de archivos de 10 dígitos, la suma de los números de ruta de la carpeta. Así que el código pirata informático alteraría los números correspondientes para desviar la transferencia a las cuentas de los ladrones y recalcular el registro de control de la carpeta, por lo que corresponde al contenido de la carpeta alterada.

Si es automatizado el proceso, éste toma alrededor de una décima parte de un segundo usando 35 líneas de código Python. “Es tan dolorosamente sencillo que cualquier programador competente podría poner esto todo junto en un día”, dice el analista en seguridad.

Estas transferencias fraudulentas pueden fácilmente pasar desapercibidas durante 24 horas, dice, pero incluso si se trata de un período más corto es sin duda lo suficiente para que los delincuentes desplacen o sustraigan los fondos de nuevo y los hacen imposibles de recuperar.

Las carpetas de lotes expuestos pueden ser alteradas, sin embargo, los hackers primero tienen que entrar en LANs bancarios y ganar privilegios suficientes para acceder a las acciones que los contengan.

Robbins dice en su experiencia como hacker, que se hacían pruebas de penetración para poder escalar al administrador de dominio en las instituciones financieras. Alrededor de la mitad del tiempo de uso de phishing en combinación con otros métodos de hacking común.

“Una vez que lo han hecho, casi siempre se puede encontrar carpetas ACH”, dice Robbins.

Los investigadores han llegado con una prueba de concepto de este hacker y la han presentado a diversas asociaciones de instituciones financieras. Después de dos meses, una fuente responsable, ha decidido revelar públicamente todo.

Recientemente han estado en contacto con NACHA y se están logrando progresos para solucionar el problema.

Una forma de abordar el problema es cifrar todos los archivos de transacción antes de que salgan de la red central segura, dice Henry. Si eso no se puede hacer, se debe reemplazar el sistema ACH y los medios para enviar electrónicamente los fondos.

Todo el acceso a estos archivos debe ser registrado y el acceso de escritura a estos archivos debe estar prohibido por máquinas fuera de la red principal, dice.

Algunos bancos más pequeños externalizan sus redes centrales a los subcontratistas, pero todavía exponen archivos ACH a sus redes de negocios. .

 

Adolfo Manaure

Entusiasta seguidor de la tecnología y las innovaciones que cambian el mundo. Director Editorial y COO en The HAP Group.

There are 1 comments

  1. Pingback: Apple Watch acapara la portada de Vogue - CIOAL The Standard IT

Comments are closed.