La seguridad de los Teclados virtuales

DragonJAR 336x280 La seguridad de los Teclados virtuales

Cada vez se hace mas evidente que la mayoría las páginas web, no tienen en cuenta la importancia de la protección de los datos, paginas con contenido confidenciales, como por ejemplo, los bancos, o webs de e-commerce, son objetivos de los atacantes o de la causa “hacktivista” del momento, solo veamos los siguientes escenario para hacernos una idea de lo que piensan los roles involucrados.

imagen teclado virtual La seguridad de los Teclados virtuales

Tres escenarios posibles, tenemos que considerar:

  • Del lado del usuario, nos conectamos a un banco o a una web de compras, ¿acaso podemos tener por lo menos una “pequeña tranquilidad” viendo el “candadito”?
  • Del lado del proveedor de ese servicio, disponemos del último antivirus, parche y cumplimos con la ISO 1.000.001 ¿damos por asentado que los usuarios estarán seguros?
  • Mientas Del lado del atacante, están contentos porque instalaron el ultimo keylogger, indetectable, y encima pueden saber si el usuario sale con la secretaria que trabaja en el proveedor

Posiblemente tu estés en alguno de esos roles y has pensado algo muy parecido a los escenarios planteados, te cuento que de cada 10 sitios webs que visito, y en el cual estén trabajando tanto con “HTTPS” como con teclados virtuales, noto que 7 de ellos tienen fallas que un atacante no perdonaría.

Hablemos de los teclados virtuales:

20090507 imagen1 La seguridad de los Teclados virtualesUn teclado virtual es una aplicación por lo general escrita en JavaScript que nos muestra una pagina web, y en el cual, mediante clics del mouse, podremos mandar nuestro o “clave”, sin utilizar el teclado y así poder tener acceso al servicio ofrecido.

Encontramos también, teclados que no obedecen ningún orden de aparición de teclas, esto significa que no están ordenadas como los teclados originales, y también tenemos teclados virtuales de números solos, o hasta gráficos (este es muy bueno, recomendable usarlo!!!)

De antemano, sabemos que es IMPORTANTE, no acceder a sitios que contengan teclados virtuales (por tanto con información sensible) desde lugares públicos, (llámese ciber, aeropuerto, hoteles, etc), dado que es más sencillo un ataque desde ahí.

Pero no siempre la seguridad de estos teclados es la mejor, algunos llegan al punto de guardar en “campos ocultos” los datos digitados sin cifrar, para luego ser enviados en métodos GET o POST, otros guardan una cookie en texto plano con esta información, sin contar con los que guardan toda la información digitada en la cache del navegador.

Existen métodos como la suplantación del teclado en la cache del navegador, que permiten a un atacante, sin modificar la pagina de la entidad bancaria o el sitio que contenga el teclado virtual, reemplazarlo con otro que además de enviar la información al sitio donde debería ir, también envía una copia de la misma a ellos y para esto solo es necesario que el usuario visite un sitio malicioso, para después acceder a la pagina legitima de la entidad.

Los atacantes casi siempre están un paso adelante, keyloggers indetectables, troyanos que graban videos, y aplicaciones que utilizamos para manejo de proxys, las cuales son de utilidad en el traslado de los paquetes hacia el destino, no se habla de un esnifeo, sino que se habla de la traslación de esos paquetes, que NO ESTAN CIFRADOS en el momento que los utilizamos en NUESTRO ORDENADOR.

La clave ingresada, sea pulsada o por teclado virtual, no está cifrada en su mayoría (al menos de cada 10 bancos que testee, 2 estaban cifrados), y pude capturar lo ingresado por teclado virtual, en TEXTO PLANO!!!!, en otros bancos, capture el hash que realizo el teclado virtual, pero no hay como un buen traductor (HASHONLINE).

CONCLUSION Y RECOMENDACIONES

De lado del cliente:

  • Utilizar software para la administración de contraseñas como LastPass.com o similares
  • Realizar nuestras transacciones desde equipos seguros y ojala siempre desde el mismo.
  • Utilizar diferentes claves SEGURAS para cada sitio (ayuda mucho usar software de administración de contraseñas)

Del lado del sitio web:

  • CIFRA TODO, cada etapa del camino que recorre la información debe ser cifrada
  • Si vas a almacenar la información temporalmente en alguna parte, asegúrate que esta este cifrada y que sea borrada cuando no se necesite
  • Utiliza un teclado que cambie cada la posición de las teclas cada vez que el usuario entre y ojala que maneje símbolos que acordaran utilizar mutuamente con anterioridad.
  • No te quedes con el “OK, tengo todo controlado”, piensa mejor ¿¿tengo todo controlado??

Como conclusion, no nos podemos confiar del canadito y el teclado virtual pensando que son medidas altamente seguras y que nuestra informacion estará segura con ellas, como vimos anterioremente existen muchas formas de atacar estas medidas


Si te ha gustado el post, compartelo y ayudanos a crecer.

Unete a nuestra Fanpage Siguenos en Twitter

Autor: Banchiero

Compartir este Artículo
  • http://@jnahuelperez Nahuel P

    Increible documento. Y yo que creia que era mas seguro usar un teclado virutal, Doh!

  • marcos

    Los teclados virtuales que tienen algunos antivirus como el kaspersky son fiables? podrian hacer algún analisis de ese teclado virtual o de algun programa de teclado virtual que lo incorpore en los navegadores? un saludo y gracias

  • SEBASTIAN

    He visto paginas maliciosas de bancos (tipo banco Patagonia y banco Frances)(en casos de phishing) en los que copian hasta los teclados virtuales..sonpaginas muuuuy creibles..

  • http://www.seinhe.com Florencio Cano

    Hola @Banchiero.

    Buen artículo. Estoy de acuerdo con casi todo lo que dices. Pero me gustaría añadir, por la mención que haces al tema de las ISO, que la ISO más relacionada con seguridad de la información es la ISO 27001. Es una norma buena, bien hecha, pero efectivamente, igual que el “candadito”, su cumplimiento no garantiza que la página sea segura, ¡ni mucho menos! Pero por lo menos es un punto más para la empresa que indica que se ha preocupado en tener un sistema de gestión de seguridad de la información certificable.

    También comentarte, que en mi opinión, igual que es cierto que los teclados virtuales no son la solución definitiva, el software de gestión de contraseñas tampoco es lo mejor del mundo. Implica otros riesgos. Si todos empezamos a usar este tipo de software los atacantes empezarán a desarrollar ataques específicos contra ellos ya que al almacenar muchas contraseñas son muy apetecibles (ataques que por otro lado ya existirán probablemente).

    Muchas gracias por el post y saludos.

    • banchiero

      Florencio: cuando hable de la norma ISO “1.000.0001”, hable en general de todas las normas relacionadas con seguridad (tanto la 27001, 27002 y ahora la 27010), es una manera de decir, que aun apoyándonos en las normas, nadie garantiza nada, no es nuevo lo que digo.
      Empresas poderosas, de gran recursos económicos, reconocidas mundialmente y encima certificadas, fueron victimas de ataques, la norma mucho no sirvió, no??

      Ojo, no estoy en contra de las normas, al contrario, ojala todos las pueden cumplir, el problema que yo apunto es mas que nada al usuario final, nadie tiene una “norma” en la casa, entonces como podemos ayudarlos.

      Ahí es cuando saque el tema de administrador de contraseñas.

      Slds. y gracias por tu comentario