Tendencias y retos en ciberseguridad para aplicaciones bancarias móviles
Debido al aumento de nuevas instituciones financieras en línea, las cuales registraron un alza del 61% en los últimos dos años, los ciberdelincuentes encontraron varias opciones disponibles para cometer delitos en este sector. El fraude bancario móvil se volvió más frecuente a medida que más personas utilizan las aplicaciones. Según el informe de Appdome, el 39.4% de los mexicanos utilizan aplicaciones bancarias móviles.
Para Appdome, uno de los ataques más comunes contra las aplicaciones móviles se da a través del Jailbreaking (iOS) y el Rooting (Android), métodos de ataque utilizados para obtener acceso no autorizado al sistema operativo, al sistema de archivos y a cualquier aplicación que se ejecute en el dispositivo.
Este hackeo consiste en otorgar al ciberdelincuente o a un malware controlado por el atacante privilegios de administrador «superusuario» en el dispositivo. De esta forma, se saltan las protecciones establecidas, manipulando el dispositivo y las aplicaciones, como también instalando diferentes sistemas operativos que facilitan los ataques.
Según Chris Roeckl, Chief Product Officer de Appdome, «cuando los sistemas operativos iOS y Android han sufrido de Jailbreak o están Rooteados, la seguridad de las aplicaciones ya no genera confianza, pues este ataque modifica el acceso a nivel de sistema operativo a servicios que pueden poner en peligro la aplicación. En el caso de las aplicaciones bancarias, esto podría significar el acceso a información personal identificable (PII), credenciales de usuario y datos, como información de tarjetas de crédito y extractos financieros».
«El Jailbreak y el Root abren la puerta al malware, el spyware y otras formas de robo de identidad y fraude. Pero los bancos de telefonía móvil también deben tener en cuenta la experiencia del usuario a la hora de aplicar la detección de Jailbreak y Root. La clave es disponer de un marco que permita a la aplicación móvil obtener, consumir y utilizar los metadatos de ataque en la aplicación. Con esa información, los bancos móviles pueden ofrecer al usuario la experiencia que mejor se adapte a la amenaza planteada», explica Roeckl para NotiPress.
Como consecuencia, «es esencial que las instituciones financieras adopten medidas de ciberseguridad proactivas y más robustas, para garantizar la protección de los datos y la confianza de los clientes en sus aplicaciones de banca móvil, así como en su marca e institución», añade el ejecutivo.
Los bancos móviles deben implementar la seguridad necesaria en sus aplicaciones contra el fraude. Esto aumentará la confianza de los clientes en la protección que garantiza su marca de banco móvil. Al mismo tiempo, protegerá al banco del fraude, incluidas pérdidas financieras, problemas legales, incumplimientos y daños.
De esta forma, Appdome sugiere pensar en el Jailbreak y la defensa contra Root como parte de una defensa que funcione dentro de la aplicación móvil. Así, los bancos móviles pueden construir defensas automatizadas con protecciones complementarias que trabajen dentro de la aplicación de manera «consciente de las amenazas».
«Es imperativo que las marcas de móviles vayan más allá del Jailbreak o el Root básico e incorporen múltiples defensas, como cifrado de datos, ofuscación de código, antimanipulación, antibot, así como prevención de fraude y malware, (…). De este modo, los bancos pueden supervisar la aplicación móvil en producción para detectar todos los ataques y amenazas a los que se enfrenta la app en tiempo real y ajustar aún más el modelo de seguridad en función de la demanda, para obtener la máxima protección contra el fraude. Las herramientas DevOps están disponibles hoy en día para resolver todas estas preocupaciones, lo que permite a las marcas móviles adoptar, liberar y actualizar fácilmente las defensas a medida que surgen nuevos requisitos», añade Roeckl.