IBM busca seguridad en la banca por Internet con memoria USB

El laboratorio de investigación de IBM en Zurich desarrolló una memoria USB que según la compañía puede garantizar transacciones bancarias seguras incluso si una PC está plagada de malware.

Un prototipo del dispositivo, llamado ZTIC (Zone Trusted Information Channel), está en exhibición por primera vez en la feria Cebit esta semana. IBM espera convencer a los bancos de que lo compren para la banca en línea, lo que ahorra dinero a los bancos en costos de personal, pero está constantemente bajo asedio de los piratas informáticos.

Cuando está conectado a una computadora, ZTIC está configurado para abrir una conexión segura SSL (Secure Sockets Layer) con los servidores de un banco, dijo Michael Baentsch, gerente de producto de BlueZ Business Computing en el laboratorio de Zurich.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

ZTIC también es un lector de tarjetas inteligentes y puede aceptar la tarjeta bancaria de una persona para la verificación. Una vez que se verifica un PIN (número de identificación personal), se puede iniciar una transacción a través de un navegador web.

Los navegadores web, sin embargo, son un punto de debilidad para la banca en línea debido a los llamados ataques man-in-the-middle.

Los hackers han creado programas de software maliciosos que pueden modificar los datos a medida que se envían al servidor web de un banco, pero luego muestran la información que el consumidor pretendía en el navegador. Como resultado, la cuenta bancaria de una persona podría vaciarse. Los ataques Man-in-the-middle también son efectivos incluso si el cliente del banco está usando un generador de contraseñas de un solo uso.

Sin embargo, el ZTIC pasa por alto el navegador y va directamente al banco. Asegura que los datos intercambiados sean precisos.

Por ejemplo, supongamos que un cliente del banco quiere transferir dinero. El cliente ingresará US $ 100 en un formulario en el navegador. Los servidores del banco intentarán confirmar la cantidad. Durante un ataque de hombre en el medio, el atacante puede transferir $ 1,000 pero puede modificar el mensaje de confirmación para mostrar aún $ 100.

Dado que tiene una conexión segura directa con los servidores del banco, el ZTIC mostrará la cantidad que en realidad ha sido solicitado para ser enviado. Entonces, incluso si el navegador muestra una confirmación por $ 100, el ZTIC mostrará $ 1,000, lo que indica un ataque de hombre en el medio en progreso, dijo Baentsch. El usuario sabría rechazar la transacción y presionar el botón rojo "x" en el ZTIC.

"Si el malware está atacando su transacción bancaria en línea, le mostrará que algo extraño sucedió", dijo Baentsch.

IBM Dedicó un gran esfuerzo a calcular cómo iniciar una sesión SSL dentro de una memoria USB, dijo Baentsch. Se necesita algo de procesamiento muscular, y dado que el USB se ejecuta independientemente de la PC, no tiene acceso al procesador de la computadora.

ZTIC usa un chip del diseñador de microprocesador ARM, y el software se ha diseñado para que pueda establecer rápidamente un Sesión de SSL, dijo Baentsch. Aunque es una tarjeta de memoria, no se pueden almacenar datos en ella, lo que también evita que el software malintencionado la infecte.

Usar ZTIC también evitaría los ataques de phishing, donde un sitio web fraudulento intenta obtener detalles confidenciales de un usuario, y ataques de pharming, donde la configuración DNS (Sistema de nombres de dominio) ha sido manipulada, dijo Baentsch. ZTIC verifica que el sitio web tenga un certificado de seguridad válido.

IBM tiene cifras internas sobre cuánto podría costar el ZTIC para los bancos, pero Baentsch no las reveló, diciendo que dependería de las especificaciones de diseño final de el ZTIC y otros factores.