Clicky

Investigadores encuentran un enorme y sofisticado mercado negro para el comercio de 'huellas digitales' en línea

Huella digital

Se dirige al nuevo sistema Autenticación Basada en Riesgos que analiza las 'huellas digitales del usuario'

La seguridad en Internet es un juego interminable del gato y el ratón. Los especialistas en seguridad encuentran constantemente nuevas formas de proteger nuestros valiosos datos, solo para que los ciberdelincuentes ideen nuevas y astutas formas de socavar estas defensas.

Unos investigadores de Eindhoven University of Technology (TU/e) han encontrado ahora evidencia de un mercado en línea altamente sofisticado con sede en Rusia que intercambia cientos de miles de perfiles de usuario muy detallados. Estas 'huellas digitales' personales permiten a los delincuentes eludir los sistemas de autenticación de última generación, dándoles acceso a valiosa información del usuario, como datos de tarjetas de crédito.

Nuestra economía en línea depende de los nombres de usuario y las contraseñas para asegurarnos de que la persona que compra cosas o transfiere dinero en Internet es realmente la persona que está diciendo. Sin embargo, esta limitada forma de autenticación ha demostrado estar lejos de ser segura, ya que las personas tienden a reutilizar sus contraseñas en varios servicios y sitios web.

Esto ha llevado a un comercio ilegal masivo y altamente rentable de credenciales de usuario: según una estimación reciente (de 2017), en un año se vendieron aproximadamente 1.900 millones de identidades robadas a través de mercados clandestinos.

No sorprenderá que los bancos y otros servicios digitales hayan desarrollado sistemas de autenticación más complejos, que se basan no solo en algo que los usuarios saben (su contraseña), sino también en algo que tienen (por ejemplo, un token). Este proceso, conocido como autenticación multifactor (MFA), limita gravemente el potencial de ciberdelito, pero tiene inconvenientes. Debido a que agrega un paso adicional, muchos usuarios no se molestan en registrarse, lo que significa que lo usa solo una minoría de personas.

Para aliviar este problema, recientemente se ha popularizado un sistema alternativo de autenticación entre servicios como Amazon, Facebook, Google y PayPal. Este sistema, conocido como Autenticación basada en riesgos (Risk-based Authentication - RBA), analiza las 'huellas digitales del usuario' para verificar las credenciales de alguien.

Estas pueden incluir información técnica básica, como el tipo de navegador o sistema operativo, pero también características de comportamiento, como el movimiento del mouse, la ubicación y la velocidad de las teclas. Si la huella digital cumple con lo que se espera de un usuario, según el comportamiento anterior, se le permite iniciar sesión de inmediato, utilizando solo sus nombres de usuario y contraseñas. De lo contrario, se requiere autenticación adicional a través de un token.

Por supuesto, los ciberdelincuentes han ideado rápidamente formas de eludir la RBA, desarrollando kits de phishing que también incluyen huellas digitales. Sin embargo, les ha resultado difícil convertir esto en un eficaz y rentable negocio. Una de las razones es que estos perfiles de usuario varían con el tiempo y entre servicios y deben recopilarse mediante ataques de phishing adicionales.

 suplantación de identidad

Suplantación de identidad como servicio

Los investigadores de TU/e han encontrado ahora evidencia de un mercado a gran escala y altamente sofisticado que parece superar estos límites. El mercado, que tiene su sede en Rusia, ofrece más de 260.000 perfiles de usuario muy detallados, junto con otras credenciales de usuario, como direcciones de correo electrónico y contraseñas.

"Lo que es único en este sitio web clandestino no es solo su escala, sino también el hecho de que todos los perfiles se actualizan continuamente, lo que significa que conservan su valor", dice Luca Allodi, investigador del grupo de Seguridad del departamento de Matemáticas e Informática, quien junto a la estudiante de postdoctorado Michele Campobasso fue el responsable de la investigación.

"Además, los clientes pueden buscar en la base de datos, de modo que seleccionan con precisión al usuario de Internet al que quieren dirigirse, lo que permite ataques de phishing altamente peligrosos. También pueden descargar software que carga automáticamente los perfiles de usuario comprados en los sitios web de destino".

Para enfatizar la naturaleza sistemática del sitio web, Allodi y Campobasso han acuñado el término 'Suplantación de identidad como servicio' (IMPaaS), haciéndose eco de conocidos servicios de computación en la nube como SaaS (software como servicio) e IaaS (Infraestructura como un servicio). "Hasta donde sabemos, este es el mercado criminal más grande y sofisticado para ofrecer sistemáticamente estos servicios".

No fue fácil investigar el mercado. Para acceder a las listas de perfiles de usuario disponibles, los investigadores tenían que conseguir códigos de invitación especiales compartidos por los usuarios existentes. La recopilación de datos también fue difícil, ya que los operadores de la plataforma monitorean activamente las cuentas 'deshonestas'. Los investigadores también han decidido mantener en secreto el nombre real del sitio web para minimizar el riesgo de represalias por parte de los operadores del mercado.

esquema de venta de huellas digitales

Precio

El precio de la 'identidad virtual' de un usuario en el mercado oscila entre 1 dólar y aproximadamente 100 dólares. El acceso a perfiles de criptomonedas y plataformas webmoney parecen ser los más valorados. "La mera presencia de al menos un perfil relacionado con la criptografía casi duplica el valor medio del perfil", dice Allodi.

Otro factor importante que eleva el precio es la riqueza del país donde se encuentra el usuario. "Esto tiene sentido: los atacantes que buscan hacerse pasar por perfiles de usuario y monetizarlos asignan un mayor valor a los perfiles que probablemente brinden mayores ganancias financieras, y estos se encuentran principalmente en países desarrollados", según Campobasso.

También son muy valorados los perfiles de usuario que dan acceso a más de un servicio y perfiles con huellas digitales 'reales', a diferencia de las huellas digitales 'sintetizadas' por la plataforma.

Poner los perfiles en uso

En su artículo, los investigadores también describen algunos ejemplos de cómo 'arman' los delincuentes estos perfiles, que encontraron en un canal secreto de Telegram utilizado por los clientes de la plataforma. En uno de los ataques denunciados, un atacante describe la configuración de filtros en los buzones de correo electrónico de la víctima, con el objetivo de ocultar notificaciones de Amazon relacionadas con las compras que el atacante realizó con la cuenta de Amazon de la víctima.

El informe se puede descargar desde: Impersonation-as-a-Service: Characterizing the Emerging Criminal Infrastructure for User Impersonation at Scale

Jesus_Caceres