Nos encontramos ante un nuevo paradigma o nicho de mercado, donde los tradicionales servicios financieros, están migrando hacia servicios dependientes cien por ciento de las comunicaciones. Las autoridades y grandes holdings financieros están empujando fuertemente a la sociedad y empresas a hacer uso de ellos, pues les conviene en todo sentido.
Figura 1: Servicios Digitales Financieros: Una mirada a la
seguridad de los Mobile Financial Services.
El crecimiento de estos DFS, del inglés “Digital Financial Services”, es vertiginoso y por tanto necesitamos construir esto sobre sistemas seguros para dar confianza a los usuarios, protección a los bancos y medios de pago, y estabilidad al nuevo mercado.
El mundo Fintech
Cuando se utiliza el término “Fintech” se hace de una manera amplia abarcando al uso de aplicaciones digitales, servicios, software y tecnología por parte de empresas y startups centradas en la innovación en el mundo de la banca y las entidades financieras, y pueden ir desde servicios de pagos, como Bizum o Twyp, hasta sistemas de crédito al consumo como Movistar Money.
Esta disrupción ha hecho que la industria de los servicios financieros, especialmente la industria bancaria, se esté convirtiendo cada vez más en un negocio de tecnología. Más que nunca, la competitividad de varios productos centrados en las finanzas se diferencia por las soluciones tecnológicas que los habilitan.
En los mercados emergentes, donde más carencia de ciudadanos bancarizados existían, los teléfonos inteligentes se han convertido en el medio principal por el cual las personas acceden a Internet y utilizan diferentes servicios financieros.
Debido a este crecimiento, se ha comenzado a trabajar en dar forma al futuro de los servicios financieros en la economía digital. Según las actas de la Cuarta Cumbre de Políticas y Conocimiento entre América Latina y el Caribe y China , el crecimiento exponencial de la digitalización y la conectividad a Internet es la columna vertebral de la Cuarta Revolución Industrial, que ha afectado a todos los sectores, incluidos los servicios financieros.
La economía digital ha impactado profundamente el sector de servicios financieros en China al permitir nuevos modelos de negocios de banca e inversión basados en Internet con un menor costo de operación que han ampliado significativamente el alcance entre los consumidores, como es por ejemplo el uso de pagos con la plataforma de mensajería de WeChat.
Los Servicios Financieros Digitales
Los DFS incluyen una amplia gama de servicios a los que se accede y se prestan a través de canales digitales, incluidos pagos, crédito, ahorros, remesas y seguros. Y como hemos visto, en ellos el concepto DFS incluye servicios financieros móviles basados en los smartphones – pero también los Feature Phones que son el principal medio usado en algunos países de Africa e Índia -, llamados Mobile Financial Services (MFS), como elementos fundamentales del mundo Fintech. Dentro de los MFS, que utilizan el teléfono móvil para acceder a servicios financieros y ejecutar transacciones financieras, se encuentran los denominados:
- M-Money: es un servicio móvil que facilita las transferencias electrónicas y otros servicios transaccionales y no transaccionales que utilizan redes móviles. Es decir, centrados en la transferencia de dinero entre cuentas bancarias. Existen algunos como Instant Money, que permiten enviar dinero a cualquier teléfono móvil (SmartPhone o Feature Phone), con solo enviar un SMS.
Figura 3: Instant Money de Banco Sabadell
- M-payments: es el servicio concreto de pagos por móvil, como por ejemplo Mobile Pay, WePay de WeChat, Twyp de Bankinter con el que puedes pagar en comercios y gasolineras - por ejemplo -, o el popular Bizum.
- M-Banking: es el uso de un teléfono móvil para acceder a servicios bancarios y ejecutar transacciones financieras, donde empresas como BBVA o Banco Sabadell han hecho auténticos esfuerzos por construir una banca móvil puntera. A menudo se utiliza este termino, lógicamente, para referirse solo a clientes con cuentas bancarias.
En los servicios Fintech, hay tres tipos de compañías que están realizando estos negocios, como son los servicios virtuales construidos sobre los servicios de la banca, que funcionan de forma similar a los operados móviles virtuales de las redes de comunicaciones, pero en el entorno bancario, y que son conocidos como MVNO como es el caso de Twyp y Bizum que se basan en entidades bancarias y clientes bancarizados asociando números de cuenta bancaria o tarjetas de crédito, los que han construido algunas empresas del mundo de las telecomunicaciones aprovechando que tienen suscripciones mensuales con sus clientes y, por tanto, tienen historial crediticio solvente y domiciliación de pagos actualizada, lo que les permite crear nuevos DFS, y que son llamados MNO por ser precisamente basados en eso, en un Mobile Network Operator.
A estos, hay que unir servicios independientes creados por nuevas empresas que se meten en el mundo de los DFS, como es el caso de WePay de WeChat o WhatsApp Payments que se basan en pagos y wallets gestionados por su red de servicios de chat, por ejemplo. Por supuesto, nos vamos a encontrar situaciones mixtas, porque hay bancos que se convertirán también en MVNO de sus propios servicios, como es el caso de SberBank o, alianzas entre varios bancos como es el caso de Bizum, conformada por la unión de 27 bancos españoles.
Riesgos de seguridad en los DFS
Por supuesto, donde hay dinero, hay gente buscando la oportunidad de robarlo, así que hay que evaluar bien los riesgos de seguridad y qué debemos hacer para mejorar su seguridad. En concreto, hay que mejorar algunos aspectos de la confirmación de las operaciones con los códigos de firma de operación basados en Segundos Factores de Autenticación utilizando códigos OTP (One-Time Password).
Teniendo en cuenta que los usuarios de estas plataformas pueden sufrir en cualquier momento un robo de las credenciales de acceso, los servicios DFS cuentan con ese Segundo Factor de Autenticación que se envía por un canal paralelo, ya sea una aplicación instalada en el móvil, un SMS recibido en el terminal móvil, un token criptográfico externo o una llamada de teléfono. Y es aquí donde los atacantes focalizan sus esfuerzos.
En un informe reciente de ITU, ENISA y todos los organismos financieros relevantes, donde se analiza el posible fraude en los sistemas DFS, se ven que las superficies de ataque de estos códigos de confirmación de operaciones pueden ser las siguientes :
- SS7 (principalmente por medio de captura de mensajes SMS y USSD – ambos son mensajes SS7): En estos casos el atacante tiene que conseguir acceso a la red SS7 - porque es un empleado interno malicioso de la empresa de telecomunicaciones o vulnerando servidores de esta red -, que aunque no es algo al alcance de todos los atacantes, sí que existen esos escenarios donde es posible acceder al medio físico o la red para generar el tráfico malicioso. Sería necesario acceder al tráfico de la operadora de comunicaciones, y por tanto las empresas de telecomunicaciones que tienen los servicios FinTech en su negocio, han tomado medidas de fortificación de estas redes SS7, aunque no todas.
- Conexiones móviles (2G/3G/4G/5G): Desde hace tiempo, los ataques a las conexiones entre los terminales móviles y las antenas de comunicación han sido un punto de riesgo. Los ataques RTL-SDR para romper el tráfico GSM, o las vulnerabilidades que se han ido descubriendo en 2G/3G/4G han hecho que se pudieran capturar – si se está cerca de la víctima -, los mensajes SMS.
Estos ataques a las conexiones móviles se explican en el libro de Hacking de Comunicaciones Móviles (2G/3G/4G) se explica muy bien, y en este artículo de 2014 de Pedro Cabrera se puede ver un ejemplo. Los nuevos estándares 5G han tenido en cuenta la protección y el cifrado estas conexiones para dificultar la posibilidad de crackear este tráfico y acceder al contenido del SMS en texto plano.
- Clonado de SIM: Otra de las técnicas utilizadas por los atacantes consiste en tener el control de la tarjeta SIM de la víctima, para lo que se utilizan diferentes técnicas, como son el clonado de las tarjetas SIM, que se basa en vulnerabilidades criptografícas o debilidades en la cadena de seguridad de los proveedores de SIM – empresas de telecomunicaciones – a la hora de dar una copia de una tarjeta a una persona.
- SIM Swapping: En este caso, con el objeto de tener el control de la SIM que pertenece al número de teléfono de la víctima, el atacante pide la portabilidad de un número de teléfono de una operadora a otra sin haber validado correctamente la identidad del que solicita la portabilidad.
- Robo de 2FA en Apps TOTPs y SMS por Troyanos bancarios: Otra forma habitual de robar estos segundos factores de autenticación ha sido por medio de apps maliciosas, o troyanos instalados en el terminal. Solicitando acceso de lectura a los mensajes SMS en sistemas Android ha sido muy común, o directamente troyanizando el terminal llevándose las semillas de las apps TOTP.
- Robo de Tokens en buzones de voz: Por último, como opción de accesibilidad, muchas plataformas permiten utilizar llamadas de voz para entregar los códigos de los Segundos Factores de Autenticación, lo que permite a algunos atacantes, aprovechar momentos en que el usuario tiene el terminal apagado – por ejemplo, en horario nocturno – y solicitar la entrega de los 2FA por voz. Esto lleva a que acabe el código en el buzón de voz grabado. Si no se ha fortificado el acceso al buzón de voz cambiando la contraseña por defecto – muy común en algunas operadoras de comunicaciones – entonces el atacante puede acceder al 2FA accediendo al mensaje del buzón de voz.
Como se puede ver, para fortificar el sistema de verificación de los DFS, es necesario hacer mejoras de seguridad a varios niveles. Desde la gestión de la seguridad en los terminales móviles, hasta en los protocolos de las redes de comunicaciones, y por supuesto en las apps de los propios MFS. Y por supuesto, en el Primer Factor de Autenticación, las credenciales de acceso al sistema.
Según encuestas realizadas por el grupo de trabajo ITU y la Agencia de la Unión Europea para la Seguridad de las Redes y la Información (ENISA), menos del 30% de las empresas de telecomunicaciones de la Unión Europea (UE) y menos del 0,5% de las empresas de telecomunicaciones de los países en desarrollo habían implementado algunas medidas de mitigación para los riesgos de SMS, los protocolos inseguros de las SIM o los buzones de voz. Hay que tener presente que, un fallo criptográfico en la SIM Card obliga al cambio y distribución de millones de nuevas tarjetas, lo que no hace fácil una operativa automática y de costes eficiente.
La encuesta, y el informe es del año 2017, y es verdad que las empresas de telecomunicaciones han evolucionado sus sistemas, e incluso implantado soluciones RCS, pero la existencia del enorme mercado aún de Feature Phones, la no apuesta por RCS de iOS que apuesta por su iMessages, y la base enorme de apps que aún utilizan SMS, hace que haya que seguir poniendo medidas de seguridad al sistema SMS, que seguirá un tiempo en esta industria.
El uso del SMS en texto claro
El sistema de mensajes SMS, que se pueden enviar tanto por las redes de conmutación de paquetes, como encapsulados en la red de datos, y que se utiliza como Segundo Factor de Autenticación en muchos de los MFS, no va cifrado. Así, como se ha dicho anteriormente, si alguien accede al tráfico de las tramas SS7 que aún se utilizan en la red de conmutación de circuitos y paquetes, podrá visualizar el contenido del mensaje, en este caso el código OTP de una operación Paypal. Como se ha dicho antes, para acceder y manipular las tramas SS7 es necesario estar dentro de la red SS7 o vulnerar la seguridad de un servidor de la red - como ha hecho el mundo del cibercrimen en ocasiones pasadas - pero si lo puede hacer podrá acceder al contenido del mensaje.
En la imagen anterior vemos la parte correspondiente a la pila TCP/IP, debajo de ella la parte de SS7 y en este caso concreto, un mensaje SS7 cuyo “Operation Code” es: “forwardSM” y se corresponde con un factor de doble autenticación enviado por PayPal. El detalle que deseo que observéis (independientemente de las debilidades y ataques de la red SS7), es que estáis observando todo el contenido en texto plano, como hemos dicho, algo que no se puede cambiar porque SMS no va cifrado, así que hay que fortificar la capa de red, sí o sí. Si analizamos únicamente el campo “TP-User-Data” en otras capturas de tráfico, vemos que estos mensajes SS7 en texto plano, son empleados por un sinnúmero de aplicaciones y empresas:
En el caso de los SMS, la protección es que para acceder a ellos hay que tener acceso al tráfico de red, así que si alguien desde el otro lado del mundo intenta acceder a estos mensajes no podrá, ya que solo se envían en una ruta de encaminamiento hacia donde se encuentra el número destinatario en la red, por eso los ataques se deben de hacer desde posiciones muy estratégicas, salvo que, como se ha dicho antes, alguien pueda vulnerar la red SS7 y colarse dentro de ella.
El uso del SMS en texto claro
El sistema de mensajes SMS, que se pueden enviar tanto por las redes de conmutación de paquetes, como encapsulados en la red de datos, y que se utiliza como Segundo Factor de Autenticación en muchos de los MFS, no va cifrado. Así, como se ha dicho anteriormente, si alguien accede al tráfico de las tramas SS7 que aún se utilizan en la red de conmutación de circuitos y paquetes, podrá visualizar el contenido del mensaje, en este caso el código OTP de una operación Paypal. Como se ha dicho antes, para acceder y manipular las tramas SS7 es necesario estar dentro de la red SS7 o vulnerar la seguridad de un servidor de la red - como ha hecho el mundo del cibercrimen en ocasiones pasadas - pero si lo puede hacer podrá acceder al contenido del mensaje.
Figura 6: Captura de un SMS de Paypal en un paquete SS7 desde la red telco
En la imagen anterior vemos la parte correspondiente a la pila TCP/IP, debajo de ella la parte de SS7 y en este caso concreto, un mensaje SS7 cuyo “Operation Code” es: “forwardSM” y se corresponde con un factor de doble autenticación enviado por PayPal. El detalle que deseo que observéis (independientemente de las debilidades y ataques de la red SS7), es que estáis observando todo el contenido en texto plano, como hemos dicho, algo que no se puede cambiar porque SMS no va cifrado, así que hay que fortificar la capa de red, sí o sí. Si analizamos únicamente el campo “TP-User-Data” en otras capturas de tráfico, vemos que estos mensajes SS7 en texto plano, son empleados por un sinnúmero de aplicaciones y empresas:
Figura 7: Mensajes SMS capturados desde la red SS7.
En el caso de los SMS, la protección es que para acceder a ellos hay que tener acceso al tráfico de red, así que si alguien desde el otro lado del mundo intenta acceder a estos mensajes no podrá, ya que solo se envían en una ruta de encaminamiento hacia donde se encuentra el número destinatario en la red, por eso los ataques se deben de hacer desde posiciones muy estratégicas, salvo que, como se ha dicho antes, alguien pueda vulnerar la red SS7 y colarse dentro de ella.
Es decir, que si alguien consigue acceder a la red SS7, o conseguir una conexión GSM insegura entre la antena y el destinatario del SMS con un ataque RTL-SDR, podrán conseguir ver el Segundo Factor de Autenticación. Es verdad que para que les sea útil deben tener antes el Primer Factor de Autenticación del MFS.
En el caso de apps para gestión de tokens de verificación enviados desde el servidor, como es el caso de Latch y sus OTPs (que aunque sean TOTP no hay que confundir con los Latch Cloud TOTP que se generan en el dispositivo), o Authy, los datos se cifran usando la red datos, como podemos ver en el ejemplo en la imagen siguiente.
En la imagen anterior, podemos ver el triple handshake TCP, una vez finalizado ya pasa al nivel aplicación con el protocolo SSLv2 empleando el algoritmo SHA2, en la ventana inferior de Wireshark, se ve perfectamente que el contenido es “ilegible”.
Aún así, el uso de las apps en el dispositivo para la generación de códigos TOTP o la recepción de tokens TOTP desde el servidor, siguen teniendo sus riesgos. Las apps maliciosas en el dispositivo pueden acceder a las semillas TOTP en apps con permisos inseguros, el uso de plataformas de canales de mensajería tipo WhatsApp o Telegram siguen relegando su seguridad en el SMS (que utilizan para verificar el inicio de sesión de las cuentas), y, lo aún más preocupante, los atacantes han descubierto que cuando se hace un ataque de phishing a una víctima, lo mejor es pedirle primero el usuario y la contraseña y después el 2FA, con lo que en esos entornos no les importa si el TOTP se ha enviado por un canal sin cifrar, cifrado o se ha generado en el dispositivo. Engañan al usuario para que se lo entregue.
Reflexión final
Por supuesto, el esfuerzo en seguridad el mundo de los DFS y los MFS implica hacer ejercicios conjuntos a nivel de redes de comunicación, continuar el proceso de fortificación de las redes de conmutación de paquetes con mensajes SS7, proteger al máximo los puntos de defensa del tráfico por el que circulan los SMS, ya que mientras no haya un standard como SMS que funcione asociado a un dispositivo en iOS, Android y Feature Phones seguirá con nosotros, por supuesto, se pueden utilizar otros canales alternativos como apps, sistemas de mensajería OTT como WhatsApp, Telegram, RCS o iMessage para los 2FA, y también debemos fortificar las apps, añadir mecanismos de detección del fraude y concienciación de los usuarios con la protección de su Primer Factor de Autenticación, ya que si el atacante no consigue éste, nunca le servirá el 2FA para nada.
Como guía de mejores prácticas, se presenta a continuación exactamente lo que recomienda realizar DFS/ITU-T en su documento: “Security Aspects of Digital Financial Services (DFS)” Este documento presenta 21 recomendaciones que invito a que las leáis pues son la base de las medidas de seguridad en estas redes.
Autor: Alejandro Corletti
Figura 8: Captura cifrada de un paquete de Authy
En la imagen anterior, podemos ver el triple handshake TCP, una vez finalizado ya pasa al nivel aplicación con el protocolo SSLv2 empleando el algoritmo SHA2, en la ventana inferior de Wireshark, se ve perfectamente que el contenido es “ilegible”.
Aún así, el uso de las apps en el dispositivo para la generación de códigos TOTP o la recepción de tokens TOTP desde el servidor, siguen teniendo sus riesgos. Las apps maliciosas en el dispositivo pueden acceder a las semillas TOTP en apps con permisos inseguros, el uso de plataformas de canales de mensajería tipo WhatsApp o Telegram siguen relegando su seguridad en el SMS (que utilizan para verificar el inicio de sesión de las cuentas), y, lo aún más preocupante, los atacantes han descubierto que cuando se hace un ataque de phishing a una víctima, lo mejor es pedirle primero el usuario y la contraseña y después el 2FA, con lo que en esos entornos no les importa si el TOTP se ha enviado por un canal sin cifrar, cifrado o se ha generado en el dispositivo. Engañan al usuario para que se lo entregue.
Reflexión final
Por supuesto, el esfuerzo en seguridad el mundo de los DFS y los MFS implica hacer ejercicios conjuntos a nivel de redes de comunicación, continuar el proceso de fortificación de las redes de conmutación de paquetes con mensajes SS7, proteger al máximo los puntos de defensa del tráfico por el que circulan los SMS, ya que mientras no haya un standard como SMS que funcione asociado a un dispositivo en iOS, Android y Feature Phones seguirá con nosotros, por supuesto, se pueden utilizar otros canales alternativos como apps, sistemas de mensajería OTT como WhatsApp, Telegram, RCS o iMessage para los 2FA, y también debemos fortificar las apps, añadir mecanismos de detección del fraude y concienciación de los usuarios con la protección de su Primer Factor de Autenticación, ya que si el atacante no consigue éste, nunca le servirá el 2FA para nada.
Figura 9: Security Aspects of DFS
Como guía de mejores prácticas, se presenta a continuación exactamente lo que recomienda realizar DFS/ITU-T en su documento: “Security Aspects of Digital Financial Services (DFS)” Este documento presenta 21 recomendaciones que invito a que las leáis pues son la base de las medidas de seguridad en estas redes.
Autor: Alejandro Corletti
No hay comentarios:
Publicar un comentario