Una simple llamada telefónica o un mensaje de texto podrían haberle ahorrado a Mark Patterson cerca de 350.000 dólares. El dinero fue robado de la cuenta bancaria de su empresa el año pasado por unos ciberdelincuentes con sede en Europa del Este. Patterson descubrió el fraude seis días después que éste empezara, cuando el banco le envió un aviso de que una transferencia fraudulenta de 9.000 dólares a una cuenta en California no se había completado.

Una startup de seguridad, DUO Security, espera poder ofrecer una forma mejor de proteger las transacciones bancarias, mediante la redirección de la información utilizada para confirmar una transacción a un segundo dispositivo: un teléfono inteligente. La empresa ha desarrollado aplicaciones para una variedad de plataformas de teléfonos de este tipo para crear un canal separado entre un banco y su cliente para verificar la transacción. Los clientes reciben la información en su teléfono y aprueban las operaciones con un solo toque.

"Usted pulsa un botón de su ordenador, recibe una notificación, y presiona un botón en su teléfono, y eso es todo", explica el cofundador de la empresa Jon Oberheide. "No queremos abrumar al usuario con varias opciones."

La empresa de Patterson fue víctima del troyano bancario Zeus, un programa para robar dinero utilizado por ciberdelincuentes para secuestrar las sesiones de banca en línea de las víctimas y pagar grandes sumas de dinero a unos intermediarios conocidos como "mulas de dinero", quienes transfieren los fondos al extranjero. "Ha sido un año y medio muy estresante", explicó Patterson a los asistentes al Simposio 2010 de Delitos Cibernéticos que tuvo lugar en Portsmouth, New Hampshire, el mes pasado.

Actualmente, existen pocas opciones de defensa contra el Zeus y otros programas parecidos. Los delincuentes prueban rutinariamente la última versión de su código contra los programas antivirus. La captura de un nombre de usuario y una contraseña durante una sesión de banca en línea es simple, por lo que las regulaciones bancarias ya no permiten el uso de un único factor (una contraseña) para proteger las transacciones en línea.

Puesto que los delincuentes controlan el ordenador del cliente bancario, incluso un segundo factor--como otra clave de acceso temporal--a menudo resulta insuficiente. El Zeus y otros troyanos modifican las transacciones bancarias en tiempo real, enviando fondos a las mulas de dinero, pero mostrando una página que hace que parezca que el dinero está siendo transmitido a un beneficiario legítimo. De hecho, cualquier medida de seguridad que utilice el mismo canal de comunicación entre el ordenador y el banco puede ser corrompida por los atacantes que han conseguido tomar el control del dispositivo. DUO Security utiliza el cifrado para verificar que la comunicación se origina y es devuelta a un dispositivo previamente registrado por el usuario.

Permitir al usuario ver la transacción real antes de confirmarla es la clave, afirma Avivah Litan, analista de fraude para Gartner. "Hemos estado abogando por la verificación de las transacciones desde hace mucho tiempo", señala él. "Nosotros lo llamamos 'firma lo que ves.'"

DUO Security no es la primera empresa en centrarse en el teléfono. Otras empresas como RSA, Entrust y PhoneFactor utilizan técnicas similares para la verificación de las transacciones mediante un teléfono móvil. Sin embargo, muchos productos sólo envían un código de acceso, un enfoque que sigue siendo vulnerable a los troyanos. Se sabe que los desarrolladores de Zeus han conseguido evitar la emisión de un mensaje de texto con un código de acceso en los dispositivos Symbian y BlackBerry utilizando el troyano para solicitar a las víctimas la instalación de una aplicación en sus dispositivos; esta aplicación malintencionada reenvía el código del mensaje a los atacantes, quienes entonces pueden completar la transacción.

DUO Security se ha centrado en hacer que la tecnología se integre fácilmente en los portales web de los bancos, consiguiendo que requieran la adición de sólo unas pocas líneas de código. Los clientes no tienen que introducir ningún código, y los bancos no tienen que disponer del hardware especializado en su red ni se requiere que realicen modificaciones importantes de su portal. La esperanza de la empresa es que al hacerlo bastante simple, la tecnología será adoptada por un público más amplio.

"Creemos que realmente podemos expandir los sitios donde se ofrece la [autenticación] multifactorial, pudiendo ofrecerla para [asegurar] su cuenta de Facebook, su cuenta de Twitter," afirma Oberheide. "Estas cosas pueden parecerle triviales, pero podría disponer de esa protección adicional, sin los dolores de cabeza que tradicionalmente vienen de la mano con la autenticación multifactorial."