Seguridad informáticaTutoriales

Conoce el screen scraping para mantener tu PC alejado de los espías

Los tiempos cambian y surgen nuevas técnicas para espiar nuestro PC, y entre ellas está el screen scraping. Esta técnica se ha vuelto famosa entre cibercriminales que buscan husmear en las cuentas bancarias de usuarios despreocupados. Veamos qué es y cómo podemos protegernos de estos piratas.

La seguridad informática avanza al mismo tiempo que lo hace la tecnología porque siempre surgen nuevos métodos de realizar ciberataques. Una de las víctimas más desprotegidas son los usuarios normales que usan el ordenador para lo justo, así como el smartphone. Su poco conocimiento es carne fresca para estos cibercriminales.

Qué es el screen scraping

screen scraping

El screen scraping es una técnica por la que se copia información que se muestra en una pantalla digital para usar dicha información con otros fines. No solo se usa para fines ilícitos, sino que algún que otro servicio técnico (pidiendo permiso y consentimientos previos) hace uso del screen scraping para conseguir solucionar un problema informático.

Los datos que se pueden recopilar son todos aquellos que se muestren en la pantalla: textos, imágenes, aplicaciones o páginas web, entre otros. Hay 2 maneras comunes de extraer esta información:

  • A través de un programa de screen scraping, el cual recopila todo.
  • Manualmente con extracción de datos individual.

Curiosamente, se utiliza mucho en el mundo bancario para recopilar datos, y esto al final acaba mal: la tentación de coger esos datos para fines propios e ilícitos ha desencadenado que el screen scraping sea una técnica usada por cibercriminales para hacerse con el control de tus cuentas bancarias.

screen scraping

Por este motivo, en muchas webs, cuando ingresamos los caracteres de nuestra contraseña de usuario, salen asteriscos: para evitar que quede registrada visualmente la contraseña. Otro caso distinto sería el del keylogger, que sin ver nada, registra lo que has tecleado, ¡eso sí qué es fatal!

Aplicaciones como Fintonic o Mint, ambas relacionadas con los bancos, deben ser evitadas porque les damos permiso para que se metan en nuestras cuentas a través del screen scraping, ¿cómo si no te iban a decir el dinero qué has gastado este mes y cómo debes ahorrar?

Hay una lucha en contra del screen scraping enorme, y es que muchos profesionales en seguridad informática han intentado que la Comisión Europea prohíba esta práctica a través de una Directiva. Las Directivas son normas europeas que son de aplicación directa en los Estados Miembros, entre los que se encuentra España, por supuesto.

De hecho, es la propia Federación de bancos europeos (EBF) la que explica qué es el screen scraping a través de este vídeo.

https://vimeo.com/216983011

La Comisión Europea quiso mantener el screen scraping como opción, que se usaría de forma subsidiaria cuando las APIs no funcionasen. La EBA (European Banking Authority) rechazó este método porque mantener el screen scraping no justifica los riesgos que comporta para los clientes, ¿quién tiene la última palabra? La Comisión Europea.

Cómo funciona el screen scraping

hackers

Se puede llevar a cabo de varias maneras, y todo depende de para qué se esté usando el proceso. Usando Java, una persona puede coger el código fuente de una aplicación y pegarlo en la suya propia si tiene acceso. Los screen scrapers los encontramos en aplicaciones como Selenium o PhantomJS, las cuales permiten la obtención de información de HTML en un navegador.

Dentro del mundo bancario, el tercero (empresa de ciberseguridad o software) solicitará al usuario para que éste preste su consentimiento para el inicio de sesión remoto y, así, acceder a los datos (transacciones financieras, datos bancarios, etc.).

Cómo prevenir o evitar el screen scraping

evitar screen scraping

Ya sabéis que «si un ladrón quiere entrar a robar, entrará», pero si le ponemos muchos obstáculos para conseguirlo, puede rendirse e irse a por otra presa. Existen varias formas para evitar sufrir esta técnica con fines fraudulentos.

Primero, hay que detectar el screen scraping, que no es nada sencillo, pero todo ladrón deja huellas. En nuestro ámbito, las huellas sería algún comportamiento inusual, firmas que no recordamos haber firmado, solicitudes de página, etc.

¿Cómo evitarlo? Seguid estos consejos:

  • Los screen scrapers no pueden ver una contraseña hasta que se usa, por lo que es conveniente ir cambiando de contraseña. Lo más tryhard sería usar una contraseña distinta por cada inicio de sesión, pero entendemos que para un usuario medio es un incordio.
  • Firewall en navegadores web para detectar firmas o comportamientos inusuales.
  • Usar software antivirus o anti spyware para detectar posibles intromisiones.

¿Qué relación hay con las APIs?

api bancos

En primer lugar, una API (Application Programming Interface) se define como una interfaz capaz de sincronizar, enlazar y conectar una base de datos con una aplicación. Vienen a ser el puente de una montaña (base de datos) y otra (aplicación), pero de manera segura y sin que haya intermediarios o terceros.

Las APIs de los bancos enlazan una base de datos (las cuentas de un cliente) con distintos programas para promocionar productos o servicios, como gestionar los pagos. A su vez, las APIs están relacionadas con el Open Banking, pero ¿qué es esto del Open Banking?

El Open Banking es una práctica por la que se comparte con terceros información financiera, pero de forma segura y digital: a través de una API. Antes, hablábamos de la controversia legal y la persecución que sufre el screen scraping en Europa porque hay un gran movimiento para promover las APIs para conseguir el mismo fin.

Pues bien, las APIs están reguladas en la Directiva PSD2, en vigor desde 2018 (en España desde 2019), y en este texto legal se obliga a las entidades financieras a abrir sus sistemas a terceras partes para que accedan a la cuenta del cliente y realizar pagos en nombre del mismo.

Eso sí, aquí no se da acceso a terceros «por amor al arte»: se requiere el consentimiento del cliente.

No confundir con el web scraping o data scraping

El web scraping solo está dirigido a extraer datos de los navegadores web, compartiendo los datos contenidos en éstos. De hecho, se suele decir que se trata de un tipo de screen scraping, pero lo cierto es que lo único que se comparte con el concepto original es la técnica, no la forma.

Y es que no es lo mismo compartir toda la pantalla, que compartir solo la ventana de una aplicación: la información es menor y, aunque estamos vulnerables, la repercusión no es la misma. Por otro lado, el data scraping es otra variante que se usa para extraer datos estructurados y legibles por humanos. Es mucho menos usado.

Te recomendamos los mejores antivirus del mercado

Esperamos que os haya sido de ayuda esta información. Si tenéis alguna duda, comentad abajo para que podamos ayudaros. ¿Conocíais ya esta técnica?

Ángel Aller

Graduado en Derecho y exabogado con Máster de Comercio internacional. Amante de la tecnología y geek inconformista. Leal a Alt+F4 como estilo de vida.
Los datos de carácter personal que nos facilite mediante este formulario quedarán registrados en un fichero de Miguel Ángel Navas Carrera, con la finalidad de gestionar los comentarios que realizas en este blog. La legitimación se realiza a través del consentimiento del interesado. Si no se acepta no podrás comentar en este blog. Puedes consultar Política de privacidad. Puede ejercitar los derechos de acceso, rectificación, cancelación y oposición en info@profesionalreview.com
Botón volver arriba