Cómo los troyanos bancarios consiguen burlar la verificación de dos pasos

¿Crees que el sistema de SMS con contraseñas de un solo uso protege de forma fiable tu banca móvil? Piénsalo bien. En este artículo te explicamos cómo los troyanos burlan el sistema de verificación en dos pasos.

El sistema de verificación en dos pasos a través de SMS está muy extendido entre las instituciones bancarias. Claro está que esta medida es mucho más segura que el uso de una mera contraseña, pero no es totalmente inquebrantable. Los especialistas en seguridad descubrieron hace ya 10 años que esta medida de protección podía ser burlada, cuando esta empezaba a ganar popularidad.

También lo hicieron los creadores de malware. Así es como los desarrolladores de troyanos bancarios traspasaron con facilidad las contraseñas de un solo uso recibidas mediante SMS. Así es como funciona:

  1. El usuario abre la app bancaria legítima en su smartphone.
  1. El troyano detecta qué app se está utilizando y superpone la interfaz legítima con una copia falsa. La pantalla fraudulenta tiene el mismo aspecto que la real.
  1. La víctima introduce su usuario y contraseña en la app falsa.
  1. El troyano envía las credenciales de acceso a los criminales. Estos utilizan estos datos para acceder a la cuenta bancaria del usuario.
  1. Luego, los criminales envían una petición de transacción financiera a su cuenta.
  1. La víctima recibe un SMS a su celular con una contraseña de un solo uso.

  1. El troyano extrae la contraseña del SMS y se la envía a los cibercriminales.
  1. Además, esconde el SMS al usuario. Así es como la víctima no se percata de que se están realizando estas operaciones hasta que comprueba su cuenta bancaria y el historial de transacciones.
  1. Los criminales usan la contraseña interceptada para confirmar la transacción y recibir el dinero de la víctima.

No estamos exagerando al decir que cualquier/todos los troyanos bancarios modernos saben cómo burlar los sistemas de verificación en dos pasos que utilizan los SMS. De hecho, los creadores de malware no tienen otra alternativa, ya que todos los bancos utilizan esta medida de protección, por lo que los troyanos tienen que adaptarse a ella.

Hay una gran cantidad de aplicaciones maliciosas que pueden hacer esto, muchas más de las que crees. Tan solo en los dos últimos meses, nuestros expertos publicaron tres informes detallados sobre diferentes familias de malware. Cada una más alarmante que la anterior:

  1. Asacub: una app espía que evolucionó en un troyano y aprendió a sustraer dinero de la banca móvil.
  1. Acecard: un poderoso troyano que es capaz de superponer interfaces de unas 30 apps bancarias diferentes. Por cierto, el malware móvil está perfeccionando está técnica: al principio, los troyanos tenían como objetivo una sola app de un banco o servicio de pago concreto, sin embargo, ahora pueden falsificar varias apps a la vez.
  1. Banloader: un troyano multiplataforma de origen brasileño que es capaz de iniciarse de forma simultánea en PCs y dispositivos móviles.

Por lo tanto, como puedes ver, la verificación de dos pasos no te protege de los troyanos bancarios. Lleva años fallando en este propósito y la situación no mejora. Por lo tanto, debes tomar medidas de seguridad adicionales.

La regla básica que debes seguir, aunque no es 100 % segura, es no descargar apps de tiendas de aplicaciones no oficiales. En muchas ocasiones los troyanos han conseguido burlar la seguridad de la Play Store, e incluso de la App Store.

Por eso, la solución más fiable es instalar un buen antivirus para dispositivos móviles. Puedes empezar por instalarte la versión gratuita de Kaspersky Internet Security. Es una versión básica, por lo que tendrás que iniciar de forma periódica el escaneo manual de tus dispositivos. La versión completa es de pago, pero atrapa los virus al momento.

Consejos