La mitad de la banca m贸vil es vulnerable al robo de fondos por fallas en las aplicaciones m贸viles

Expertos han analizado las aplicaciones bancarias m贸viles constatando que la mitad de los bancos m贸viles son vulnerables al fraude y al robo de fondos, y que el lado del servidor representa m谩s de la mitad de todas las vulnerabilidades detectadas. Android es considerablemente m谩s vulnerable que iOS.

Positive Technologies ha publicado su 煤ltimo informe, titulado Vulnerabilidades y Amenazas en la Banca M贸vil, seg煤n el cual ninguna de las aplicaciones de banca m贸vil estudiadas ten铆a un nivel de seguridad aceptable, evidenciando as铆 riesgos en los lados del cliente y del servidor. El lado del cliente es especialmente vulnerable al acceso no autorizado a los datos del usuario, ya que el 43 por ciento de las aplicaciones almacenan datos importantes en el tel茅fono en texto simple. La gran mayor铆a (76%) de las vulnerabilidades de la banca m贸vil pueden explotarse sin acceso f铆sico al dispositivo. Y m谩s de un tercio de las vulnerabilidades pueden explotarse sin derechos de administrador.

Ning煤n fallo detectado en las aplicaciones bancarias de iOS fue de una gravedad peor que la “media”. En comparaci贸n, el 29 por ciento de las aplicaciones para Android contienen vulnerabilidades de alto riesgo. Las vulnerabilidades m谩s peligrosas se hallaron en las aplicaciones para Android e implican un manejo inseguro de los enlaces profundos. Los desarrolladores de Android tienen m谩s libertad de implementaci贸n, lo que explica el mayor n煤mero de vulnerabilidades en las aplicaciones Android en comparaci贸n con iOS.

El lado del servidor de las aplicaciones bancarias m贸viles contiene el 54 por ciento de todas las vulnerabilidades encontradas y, en promedio, cada banco m贸vil tiene 23 vulnerabilidades del lado del servidor. Casi la mitad (43%) de las aplicaciones bancarias contienen vulnerabilidades del lado del servidor en la l贸gica empresarial, que los atacantes pueden explotar para obtener informaci贸n sensible del usuario y perpetrar fraudes. Los errores de l贸gica empresarial pueden causar p茅rdidas significativas a los bancos e incluso generar complicaciones legales.

Las credenciales de los usuarios han demostrado ser los datos m谩s vulnerables

La analista de Positive Technologies Olga Zinenko coment贸: “Los bancos no est谩n protegidos de la ingenier铆a inversa de sus aplicaciones m贸viles. Adem谩s, dan poca importancia a la protecci贸n del c贸digo fuente, almacenan datos sensibles en los dispositivos m贸viles en texto simple y cometen errores que permiten a los hackers eludir los mecanismos de autenticaci贸n y autorizaci贸n y forzar las credenciales de los usuarios. A trav茅s de estas vulnerabilidades, los hackers pueden obtener nombres de usuario, saldos de cuentas, confirmaciones de transferencias, l铆mites de tarjetas y el n煤mero de tel茅fono asociado a la tarjeta de la v铆ctima”.

Zinenko agreg贸 “Instamos a los bancos a que hagan un mejor trabajo enfatizando la seguridad de las aplicaciones tanto en el dise帽o como en el desarrollo. El c贸digo fuente est谩 plagado de problemas, por lo que es vital revisar los enfoques de desarrollo mediante la aplicaci贸n de pr谩cticas SSDL y garantizar la seguridad en todas las etapas del ciclo de vida de la aplicaci贸n”.

En el 87% de los casos se requiere la interacci贸n de los usuarios para que una vulnerabilidad sea explotada. Los expertos de Positive Technologies recomiendan a los usuarios evitar el jailbreaking o el enraizamiento de sus dispositivos, descargar aplicaciones s贸lo de las tiendas oficiales, evitar visitar sitios web sospechosos o seguir enlaces dudosos de mensajes SMS y de chat, y finalmente instalar siempre las 煤ltimas actualizaciones para el sistema operativo y las aplicaciones m贸viles.

— Los expertos analizaron 14 aplicaciones de banca m贸vil con todas las caracter铆sticas para Android e iOS. Las aplicaciones hab铆an sido descargadas de las tiendas oficiales de aplicaciones (Google Play y App Store de Apple) m谩s de 500.000 veces. Los propietarios de los sistemas acordaron usar los resultados de la evaluaci贸n de seguridad para fines de investigaci贸n.

— El lado del servidor es una aplicaci贸n web que interact煤a con el cliente m贸vil a trav茅s de Internet mediante una interfaz de programaci贸n de aplicaciones (API) especial. El lado del cliente se refiere a una aplicaci贸n de banca m贸vil instalada en el dispositivo del usuario.

— Los enlaces profundos son una tecnolog铆a que permite a los usuarios navegar entre las aplicaciones (o secciones dentro de una aplicaci贸n) a una ubicaci贸n espec铆fica utilizando enlaces especiales, similares a los hiperv铆nculos de las aplicaciones web.

El informe completo est谩 disponible en el sitio de Positive Technologies. No requiere registro.


Evento 15/12 驴C贸mo prepararse para un futuro que abre tantas posibilidades? Un selecto panel de visionarios del sector explorar谩 el potencial que ofrece 5G.
Evento 1/12 驴Cu谩nto costar铆a en el mercado negro un sistema de autoconducci贸n completamente desarrollado? Panel de expertos liderado por Mauricio S谩nchez de Dell'Oro Group aborda el imperativo de proteger los activos de TI e IA.

驴Desea suscribirse a nuestro newsletter?

Contacto | Diario TI es una publicaci贸n de MPA Publishing International Ltd.