Los bancos constantemente nos alientan a llevar nuestro dinero a sus aplicaciones de banca móvil, así como alientan el uso de formatos de pago que no requieren efectivo para mayor comodidad y rapidez; sin embargo, al tiempo que crece el uso de aplicaciones de banca móvil los cibercriminales siguen creciendo y mejorando sus métodos. De cualquier manera, las dudas sobre la seguridad móvil han impedido que un porcentaje considerable de consumidores adopte la banca móvil en su vida diaria. Las preocupaciones de seguridad también han hecho que los propios bancos duden al ofrecer todo tipo de servicios financieros a través de este canal.
Recientemente, el FBI advirtió sobre el aumento del riesgo de hacking al usar aplicaciones de banca móvil, incluso los reguladores financieros como la Reserva Federal de E.U. y la Directiva de Servicios de Pago de la Unión Europea han advertido que la banca móvil, si bien puede ayudar a abordar algunos desafíos que enfrentan los consumidores, definitivamente necesita convertirse en un recurso más confiable.
La pregunta que todos deberíamos hacernos es: ¿mi banco está haciendo lo suficiente para proteger mi dinero? Como consumidores realmente no sabemos si la aplicación de banca móvil que estamos utilizando cumple con algún estándar de seguridad de aplicaciones móviles, como el OWASP o PSD2, por lo que es complicado emitir un juicio.
Hace poco, varias empresas de ciberseguridad se dieron a la tarea de analizar y evaluar la seguridad en la mayoría de las aplicaciones de banca móvil, tanto para usuarios de Android como de iOS. No fue una sorpresa que se determinara que corremos el riesgo de perder fácilmente nuestro dinero si usamos una de estas aplicaciones tal como funcionan actualmente.
Durante una de estas evaluaciones, se consideraron los 62 principales bancos del mundo. Cada banco tenía una aplicación de banca móvil, tanto para Android como para iOS. También tengamos en cuenta que cada uno de los bancos en esta evaluación tenía activos superiores a $50 mil millones de dólares.
Aunque se encontró que las aplicaciones bancarias de iOS funcionan mejor que sus contrapartes de Android, ninguna resultó tener un nivel aceptable de seguridad. Algunos de los riesgos encontrados en estas aplicaciones de banca móvil se enumeran aquí.
Codificación deficiente de la aplicación
Los desarrolladores de aplicaciones móviles no siempre están al tanto de todas las amenazas y la mayoría no está a la altura de la tarea de proteger los datos móviles, las conexiones y transacciones. Esto se puede notar en uno de los resultados de la evaluación, donde se encontró que todas las aplicaciones de banca móvil estudiadas tenían algún tipo de falla en su código.
En algunos casos, el código de la aplicación no se encontraba ofuscado, lo que significa que era claramente visible. Esto permite que cualquiera pueda realizar ingeniería inversa en la aplicación para identificar debilidades y encontrar un punto de ataque. Gracias a esto, los ciberdelincuentes analizan fácilmente el código completo de la aplicación con sólo descargar la aplicación de Play Store o App Store.
Estas deficiencias también permiten a los atacantes encontrar claves de cifrado que pueden usarse para encontrar tu contraseña fácilmente y robar tu dinero. De hecho, esto ya ha sucedido antes: En 2016, un grupo de cibercriminales aplicó ingeniería inversa en una aplicación móvil de Tesco Bank para identificar vulnerabilidades y robar millones de dólares a miles de usuarios en el transcurso de una sola noche y sin ser detectados.
Aplicaciones bancarias falsas
Estudios recientes han demostrado que hay muchas aplicaciones bancarias falsas que se ofrecen a los usuarios, algunas de las cuales se han descargado más de 500 mil veces (puedes confirmar esto fácilmente buscando tu aplicación bancaria en tu tienda de aplicaciones y descubriendo que hay muchas versiones diferentes). Los ciberdelincuentes han creado aplicaciones bancarias idénticas a las que ofrecen las instituciones financieras. Los estudios ya han dado a conocer que existen alrededor de 65 mil aplicaciones falsas en las diversas tiendas de aplicaciones.
Aplicaciones móviles maliciosas
Los hackers tienden a comprometer la seguridad de aplicaciones bancarias utilizando troyanos, que son programas maliciosos que imitan el comportamiento de otras aplicaciones, como juegos o herramientas para móvil. A grandes rasgos, un troyano funciona así: cuando un usuario abre su aplicación bancaria legítima, el troyano se activa, pues ha estado presente en el dispositivo de forma previa. El troyano crea una versión falsa de la página de inicio de sesión del banco y la superpone sobre la aplicación legítima.
De esta manera, una vez que el usuario ingresa sus credenciales en la página de inicio de sesión falsa creada por el troyano, esta información es enviada al hacker. Finalmente, el troyano pasará al usuario a la página de inicio de sesión de la aplicación bancaria real para que no se dé cuenta de que la seguridad de su aplicación se ha visto comprometida.
Deep linking
La práctica conocida como “deep linking” nos permite navegar entre o dentro de aplicaciones, de forma similar a los hipervínculos dentro de las páginas web. No obstante, los ciberdelincuentes pueden aprovechar fácilmente este tipo de falla para robar tus datos bancarios. Un estafador puede convencer a la víctima de que instale una aplicación maliciosa mediante ingeniería social o phishing; con esta aplicación maliciosa, los ciberdelincuentes incluso pueden usar tecnología NFC para escanear tu tarjeta o manipularte para que escanees tus tarjetas bancarias con la cámara incorporada.
Para el usuario esto puede parecer una transacción bancaria normal, pero en realidad es el hacker quien está recibiendo los datos. En algunos casos, los ciberdelincuentes incluso han robado huellas digitales o registros biométricos explotando esta clase de fallas.
Estándares de codificación segura
La evaluación también demostró que los bancos no cumplen con las mejores prácticas de codificación. Esto no solo da como resultado la exposición de los datos bancarios, sino también la exposición de los datos de los clientes, favoreciendo el despliegue de otros tipos de ataque. Durante la evaluación se descubrió que el 90% de las aplicaciones bancarias no utilizan codificación segura y que su código puede ser secuestrado fácilmente por ciberdelincuentes o aplicaciones maliciosas.
Una posibilidad derivada de esta falla es un ataque llamado Cross-Site Scripting (XSS), que puede obligar a un sitio web a ejecutar código en el navegador del usuario. Con este código, el hacker tiene la capacidad de leer, modificar y transmitir datos confidenciales accesibles por el navegador. Esta vulnerabilidad permitirá a cualquier hacker robar cookies, secuestrar sesiones, abrir sitios de phishing y descargar malware.
Además se descubrió que el 30% de las aplicaciones almacenan claves de cifrado de usuario en un código que cualquier persona con conocimientos básicos de informática puede ver, peor aún, se descubrió que el 60% de las aplicaciones no tienen la función de cierre de sesión codificada de la forma correcta, lo que permitía ataques de secuestro de sesiones.
En un ataque de secuestro de sesión, el atacante puede usar el botón “Atrás” del navegador o de la aplicación para acceder a las páginas a las que la víctima accedió previamente. Las aplicaciones sin medidas de seguridad de aplicaciones son susceptibles a este tipo de ataque. Esta vulnerabilidad proviene de un cierre o una expiración de sesión incompleta y ocurre cuando una aplicación bancaria permite que se reutilicen credenciales de sesiones anteriores.
También existe el riesgo de fijación de la sesión, que ocurre cuando la identificación de la sesión de un usuario se ve forzada a un valor explícito y un hacker explota esto para secuestrar la sesión. Este tipo de ataques definitivamente puede causar mucho daño a la reputación de un banco, además de que los hackers pueden robar datos confidenciales y robar millones de dólares.
Otro riesgo encontrado en esta investigación de seguridad de aplicaciones fue que el 80% de las aplicaciones de banca móvil analizadas permiten capturas de pantalla automáticas, esta puede ser la causa de que se filtren los saldos de una cuenta y la información de las tarjetas bancarias.
Los investigadores también descubrieron que el 90% de las aplicaciones analizadas permitían ataques Man-in-The-Middle (MiTM) debido a fallas en la validación de certificados SSL. Este tipo de ataque permite a los actores de amenazas acceder a los datos confidenciales del usuario, así como leer y manipular los datos transferidos entre el servidor y la aplicación.
Almacenamiento de datos de aplicaciones
Algunas aplicaciones bancarias, además de no tener algún tipo de seguridad de aplicaciones, mostraron almacenar datos en el dispositivo del usuario. No borrar ni encriptar los datos del usuario después de cerrar sesión también puede conducir a la filtración de información confidencial. En algunas de las aplicaciones de banca móvil evaluadas, los expertos encontraron estados de cuenta e incluso el código PIN del usuario almacenado en su dispositivo.
Para ser exactos, en el 43% de las aplicaciones probadas para detectar fallas en la seguridad de aplicaciones, se encontraron datos importantes almacenados en el teléfono sin ningún tipo de cifrado. Sin duda, esto crea serias fallas que los ciberdelincuentes pueden aprovechar más adelante, obteniendo acceso a las cuentas afectadas.
Defectos del lado del servidor
Los investigadores descubrieron que el 60% de las aplicaciones de banca móvil contenían fallas del lado del servidor que cualquier hacker podría explotar fácilmente. Un ejemplo de esto es cuando una verificación de extensión insuficiente de los archivos cargados en las aplicaciones móviles permite a los atacantes cargar archivos con virus en el servidor; si un empleado del banco interactúa con estos archivos, un virus podría ejecutarse y robar los datos directamente del servidor.
Además, también puede ocurrir un ataque conocido como desbordamiento de búfer, que sucede cuando los datos escritos en la memoria exceden el tamaño del búfer reservado. Durante estos ataques, un actor de amenazas puede aprovechar esta vulnerabilidad para alterar el flujo de una aplicación y redirigir el programa para que ejecute algún código malicioso.
En conclusión, la población de consumidores definitivamente debe exigir un mejor trabajo a los bancos de todo el mundo en cuanto al diseño y desarrollo de la seguridad de aplicaciones de banca móvil y en el cumplimiento de los mínimos estándares de seguridad. Las fallas encontradas en estas aplicaciones de banca móvil pueden resultar en la filtración de información financiera y personal altamente sensible. En la mayoría de los casos, estas fallas conducen a actividades de fraude y, lo que es peor, a la pérdida del dinero ganado con el esfuerzo de los titulares de cuentas.
Tal fue el caso de Tesco Bank, uno de los bancos británicos más grandes. Es necesario que los bancos reconozcan estas fallas y respondan a las preocupaciones de sus clientes, proporcionando experiencias positivas de banca móvil que puedan lograr un equilibrio entre la comodidad en el uso de estas herramientas y la seguridad de aplicaciones.
Sin embargo el escenario actual es desalentador, pues la mayoría de los bancos suelen culpar a sus consumidores en los casos de fraude, o bien optan por tratar de vender soluciones anti fraude a las víctimas potenciales.
Los expertos del Instituto Internacional de Seguridad Cibernética (IICS) recomiendan a los usuarios de aplicaciones de banca móvil asegurarse de haber descargado una aplicación confiable, especialmente porque alrededor del 87% de los casos de fraude reportados requiere una buena medida de interacción de la víctima para resultar en un ataque exitoso. Los usuarios también deben asegurarse de mantener sus dispositivos y aplicaciones al día con las últimas actualizaciones. Finalmente, los expertos recomiendan no usar estas aplicaciones desde dispositivos rooteados o con jailbreak ni interactuar con enlaces de apariencia sospechosa o enviados por usuarios no identificados.
Lo más importante para mantener nuestros datos personales y financieros seguros no es no depender solo de la seguridad de aplicaciones, sino tratar de ser conscientes en temas de seguridad informática y siempre recurriendo a nuestro sentido común.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
