Positive Technologies ha publicado su último informe, titulado Vulnerabilidades y Amenazas en la Banca Móvil, según el cual ninguna de las aplicaciones de banca móvil estudiadas tenía un nivel de seguridad aceptable, evidenciando así riesgos en los lados del cliente y del servidor. El lado del cliente es especialmente vulnerable al acceso no autorizado a los datos del usuario, ya que el 43 por ciento de las aplicaciones almacenan datos importantes en el teléfono en texto simple. La gran mayoría (76%) de las vulnerabilidades de la banca móvil pueden explotarse sin acceso físico al dispositivo. Y más de un tercio de las vulnerabilidades pueden explotarse sin derechos de administrador.
Ningún fallo detectado en las aplicaciones bancarias de iOS fue de una gravedad peor que la “media”. En comparación, el 29 por ciento de las aplicaciones para Android contienen vulnerabilidades de alto riesgo. Las vulnerabilidades más peligrosas se hallaron en las aplicaciones para Android e implican un manejo inseguro de los enlaces profundos. Los desarrolladores de Android tienen más libertad de implementación, lo que explica el mayor número de vulnerabilidades en las aplicaciones Android en comparación con iOS.
El lado del servidor de las aplicaciones bancarias móviles contiene el 54 por ciento de todas las vulnerabilidades encontradas y, en promedio, cada banco móvil tiene 23 vulnerabilidades del lado del servidor. Casi la mitad (43%) de las aplicaciones bancarias contienen vulnerabilidades del lado del servidor en la lógica empresarial, que los atacantes pueden explotar para obtener información sensible del usuario y perpetrar fraudes. Los errores de lógica empresarial pueden causar pérdidas significativas a los bancos e incluso generar complicaciones legales.
Las credenciales de los usuarios han demostrado ser los datos más vulnerables
La analista de Positive Technologies Olga Zinenko comentó: “Los bancos no están protegidos de la ingeniería inversa de sus aplicaciones móviles. Además, dan poca importancia a la protección del código fuente, almacenan datos sensibles en los dispositivos móviles en texto simple y cometen errores que permiten a los hackers eludir los mecanismos de autenticación y autorización y forzar las credenciales de los usuarios. A través de estas vulnerabilidades, los hackers pueden obtener nombres de usuario, saldos de cuentas, confirmaciones de transferencias, límites de tarjetas y el número de teléfono asociado a la tarjeta de la víctima”.
Zinenko agregó “Instamos a los bancos a que hagan un mejor trabajo enfatizando la seguridad de las aplicaciones tanto en el diseño como en el desarrollo. El código fuente está plagado de problemas, por lo que es vital revisar los enfoques de desarrollo mediante la aplicación de prácticas SSDL y garantizar la seguridad en todas las etapas del ciclo de vida de la aplicación”.
En el 87% de los casos se requiere la interacción de los usuarios para que una vulnerabilidad sea explotada. Los expertos de Positive Technologies recomiendan a los usuarios evitar el jailbreaking o el enraizamiento de sus dispositivos, descargar aplicaciones sólo de las tiendas oficiales, evitar visitar sitios web sospechosos o seguir enlaces dudosos de mensajes SMS y de chat, y finalmente instalar siempre las últimas actualizaciones para el sistema operativo y las aplicaciones móviles.
— Los expertos analizaron 14 aplicaciones de banca móvil con todas las características para Android e iOS. Las aplicaciones habían sido descargadas de las tiendas oficiales de aplicaciones (Google Play y App Store de Apple) más de 500.000 veces. Los propietarios de los sistemas acordaron usar los resultados de la evaluación de seguridad para fines de investigación.
— El lado del servidor es una aplicación web que interactúa con el cliente móvil a través de Internet mediante una interfaz de programación de aplicaciones (API) especial. El lado del cliente se refiere a una aplicación de banca móvil instalada en el dispositivo del usuario.
— Los enlaces profundos son una tecnología que permite a los usuarios navegar entre las aplicaciones (o secciones dentro de una aplicación) a una ubicación específica utilizando enlaces especiales, similares a los hipervínculos de las aplicaciones web.
El informe completo está disponible en el sitio de Positive Technologies. No requiere registro.
