ATAQUES
El problema de los ataques Man-in-the-Middle era algo que se veía venir y sólo era cuestión de tiempo antes de que los tokens tradicionales sucumbieran ante ataques más.
La razón de que aún con un token que emula un OTP (con contraseñas dinámicas) puedan acceder ilegalmente a nuestras cuentas bancarias es simple; veamos por qué:
en algunas operaciones se observa que el canal seguro termina en el cliente, sino en la computadora del éste. Es en este equipo donde el usuario teclea el código de seguridad de su token. Ese paso es importante, pues asume que la computadora del usuario "es segura". A través de código malicioso un delincuente puede capturar códigos de seguridad de un token en tiempo real y reutilizarlos para realizar transacciones fraudulentas. También puede modificar el comportamiento del navegador o redireccionar la conexión a otro sitio, aún cuando el usuario teclee correctamente el sitio del Banco (esta técnica es común en spyware).
ResponderEliminarAsí que tenemos un gran problema: Asegurar la computadora del usuario, con toda la diversidad de equipos, de software, de capacidades y de restricciones legales para hacerlo.