SAN FRANCISCO (Reuters) - Dos de los tipos de software más peligrosos y penetrantes para robar dinero de cuentas bancarias han sido mejorados y pueden transferir dinero automáticamente sin la supervisión de un 'hacker', según un grupo de investigadores.
Las últimas variantes de los programas extendidos SpyEye y Zeus han robado ya hasta 13.000 euros de una vez de una sola cuenta y están en las primeras fases, según investigadores de Trend Micro, una firma de seguridad con sede en Japón que tiene muchos bancos entre sus clientes.
El vicepresidente de Trend Micro, Tom Kellerman, dijo a Reuters que los investigadores de su compañía habían visto nuevos ataques en una docena de instituciones financieras en Alemania, Reino Unido e Italia. Esto es problemático porque los bancos europeos tienen por lo general defensas tecnológicas mayores que en Estados Unidos, y Kellerman considera "inevitable" que las variantes crucen el Atlántico.
El nuevo código tiene el potencial de aumentar drásticamente la cantidad robada de las cuentas y la guerra entre los bancos y las organizaciones de delincuentes que operan a menudo desde el este de Europa.
"Esto tiene implicaciones tremendas", dijo Kellerman. "Estos ataques llevan a una nueva era de atracos bancarios".
Al igual que otras firmas de seguridad, Trend Micro saca beneficio de vender software y servicios a instituciones y consumidores preocupados por el espionaje online y la toma de cuentas.
Aunque escritos y controlados por grupos diferentes, SpyEye y Zeus comparten la capacidad de instalarse en los ordenadores que visitan webs peligrosas o páginas legítimas que han quedado bajo el control de 'hackers'. Ambos programas se venden en la economía sumergida del 'hackeo', donde pueden hacerse a medida o mejorarse con módulos adicionales como los que se acaban de descubrir.
Los programas han usado ya una técnica llamada "inyección web" para generar nuevos campos de entrada cuando las víctimas introducen sus contraseñas de cualquier cuenta bancaria o página web de información delicada. Además de pedirle el número de cuenta y la contraseña, se solicita a la víctima el número de su tarjeta de crédito. Todo lo que se teclea va directamente al 'hacker', que luego se conecta y transfiere el dinero a la cuenta de un cómplice.
Estas transferencias pueden requerir mucho tiempo y el 'hacker' tiene que pensar cuánto puede sacar de una vez sin llamar la atención. Son preferibles muchas transferencias pequeñas, pero eso lleva más tiempo.
Durante el último año o más, algunas variantes han logrado captar las contraseñas únicas que los bancos envían por mensaje de texto a los clientes a través del móvil como una medida de seguridad reforzada. Pero en esos casos, un 'hacker' tiene que estar online 30 o 60 segundos para usar la contraseña única.
El nuevo software permite al delincuente sacar dinero mientras duerme. Podría incrementar significativamente el número de cuentas hackeadas y la velocidad a la que son vaciadas.
Brett Stone-Gross, destacado investigador de seguridad de la unidad de Dell Dell SecureWorks, dijo que los ladrones "podrán extraer más dinero" con la automatización.
Pero también dijo que el panorama podría no transformarse por estos avances, dado que el principal factor limitante para los grupos delictivos es el número de cómplices, conocidos como mulas monetarias, que pueden contratar para aceptar transferencias desde las cuentas de las víctimas. La automatización no reducirá la necesidad de mulas, dijo Stone-Gross.
DESDE EL ESTE DE EUROPA
Trend Micro habló online con vendedores de módulos de transferencias automatizadas que tenían sede en Rusia, Ucrania y Rumanía, donde los arrestos y los juicios no son frecuentes. Kellerman dijo que el nuevo software cuesta entre 300 y 4.000 dólares, además de las herramientas básicas contra los robos.
Hasta ahora, la compañía lo ha puesto en marcha con el sistema operativo Windows de Microsoft, que es de lejos el más utilizado en los ordenadores personales.
Los bancos por lo general devuelven al individuo las pérdidas si se detectan rápidamente. Pero las versiones recientes de SpyEye y Zeus pueden presentar extractos falsos a los clientes, que no se dan cuenta de que se han quedado sin sus ahorros hasta que es demasiado tarde.
Kellerman recomendó que los bancos dieran pasos para identificar más claramente las transferencias, como con llamadas directas para confirmar una transferencia online.
