Los tiempos cambian y surgen nuevas técnicas para espiar nuestro PC, y entre ellas está el screen scraping. Esta técnica se ha vuelto famosa entre cibercriminales que buscan husmear en las cuentas bancarias de usuarios despreocupados. Veamos qué es y cómo podemos protegernos de estos piratas.
La seguridad informática avanza al mismo tiempo que lo hace la tecnología porque siempre surgen nuevos métodos de realizar ciberataques. Una de las víctimas más desprotegidas son los usuarios normales que usan el ordenador para lo justo, así como el smartphone. Su poco conocimiento es carne fresca para estos cibercriminales.
Índice de contenidos
El screen scraping es una técnica por la que se copia información que se muestra en una pantalla digital para usar dicha información con otros fines. No solo se usa para fines ilícitos, sino que algún que otro servicio técnico (pidiendo permiso y consentimientos previos) hace uso del screen scraping para conseguir solucionar un problema informático.
Los datos que se pueden recopilar son todos aquellos que se muestren en la pantalla: textos, imágenes, aplicaciones o páginas web, entre otros. Hay 2 maneras comunes de extraer esta información:
Curiosamente, se utiliza mucho en el mundo bancario para recopilar datos, y esto al final acaba mal: la tentación de coger esos datos para fines propios e ilícitos ha desencadenado que el screen scraping sea una técnica usada por cibercriminales para hacerse con el control de tus cuentas bancarias.
Por este motivo, en muchas webs, cuando ingresamos los caracteres de nuestra contraseña de usuario, salen asteriscos: para evitar que quede registrada visualmente la contraseña. Otro caso distinto sería el del keylogger, que sin ver nada, registra lo que has tecleado, ¡eso sí qué es fatal!
Aplicaciones como Fintonic o Mint, ambas relacionadas con los bancos, deben ser evitadas porque les damos permiso para que se metan en nuestras cuentas a través del screen scraping, ¿cómo si no te iban a decir el dinero qué has gastado este mes y cómo debes ahorrar?
Hay una lucha en contra del screen scraping enorme, y es que muchos profesionales en seguridad informática han intentado que la Comisión Europea prohíba esta práctica a través de una Directiva. Las Directivas son normas europeas que son de aplicación directa en los Estados Miembros, entre los que se encuentra España, por supuesto.
De hecho, es la propia Federación de bancos europeos (EBF) la que explica qué es el screen scraping a través de este vídeo.
La Comisión Europea quiso mantener el screen scraping como opción, que se usaría de forma subsidiaria cuando las APIs no funcionasen. La EBA (European Banking Authority) rechazó este método porque mantener el screen scraping no justifica los riesgos que comporta para los clientes, ¿quién tiene la última palabra? La Comisión Europea.
Se puede llevar a cabo de varias maneras, y todo depende de para qué se esté usando el proceso. Usando Java, una persona puede coger el código fuente de una aplicación y pegarlo en la suya propia si tiene acceso. Los screen scrapers los encontramos en aplicaciones como Selenium o PhantomJS, las cuales permiten la obtención de información de HTML en un navegador.
Dentro del mundo bancario, el tercero (empresa de ciberseguridad o software) solicitará al usuario para que éste preste su consentimiento para el inicio de sesión remoto y, así, acceder a los datos (transacciones financieras, datos bancarios, etc.).
Ya sabéis que «si un ladrón quiere entrar a robar, entrará», pero si le ponemos muchos obstáculos para conseguirlo, puede rendirse e irse a por otra presa. Existen varias formas para evitar sufrir esta técnica con fines fraudulentos.
Primero, hay que detectar el screen scraping, que no es nada sencillo, pero todo ladrón deja huellas. En nuestro ámbito, las huellas sería algún comportamiento inusual, firmas que no recordamos haber firmado, solicitudes de página, etc.
¿Cómo evitarlo? Seguid estos consejos:
En primer lugar, una API (Application Programming Interface) se define como una interfaz capaz de sincronizar, enlazar y conectar una base de datos con una aplicación. Vienen a ser el puente de una montaña (base de datos) y otra (aplicación), pero de manera segura y sin que haya intermediarios o terceros.
Las APIs de los bancos enlazan una base de datos (las cuentas de un cliente) con distintos programas para promocionar productos o servicios, como gestionar los pagos. A su vez, las APIs están relacionadas con el Open Banking, pero ¿qué es esto del Open Banking?
El Open Banking es una práctica por la que se comparte con terceros información financiera, pero de forma segura y digital: a través de una API. Antes, hablábamos de la controversia legal y la persecución que sufre el screen scraping en Europa porque hay un gran movimiento para promover las APIs para conseguir el mismo fin.
Pues bien, las APIs están reguladas en la Directiva PSD2, en vigor desde 2018 (en España desde 2019), y en este texto legal se obliga a las entidades financieras a abrir sus sistemas a terceras partes para que accedan a la cuenta del cliente y realizar pagos en nombre del mismo.
Eso sí, aquí no se da acceso a terceros «por amor al arte»: se requiere el consentimiento del cliente.
El web scraping solo está dirigido a extraer datos de los navegadores web, compartiendo los datos contenidos en éstos. De hecho, se suele decir que se trata de un tipo de screen scraping, pero lo cierto es que lo único que se comparte con el concepto original es la técnica, no la forma.
Y es que no es lo mismo compartir toda la pantalla, que compartir solo la ventana de una aplicación: la información es menor y, aunque estamos vulnerables, la repercusión no es la misma. Por otro lado, el data scraping es otra variante que se usa para extraer datos estructurados y legibles por humanos. Es mucho menos usado.
Te recomendamos los mejores antivirus del mercado
Esperamos que os haya sido de ayuda esta información. Si tenéis alguna duda, comentad abajo para que podamos ayudaros. ¿Conocíais ya esta técnica?
CHIEFTEC acaba de presentar dos nuevas cajas para PC, Visio y Visio Air con un…
Asus ZenWiFi BT8 es un sistema Mesh Wi-Fi 7 el cual se sitúa por debajo…
Qualcomm anuncia nuevos SoC Snapdragon X, pero no se trata de una nueva generación, sino…
