Banca móvil requiere protección contra fraude
Debido al gran número de nuevas instituciones financieras en línea, las cuales registraron un aumento significativo del 61% en los últimos dos años (de acuerdo con una investigación de Akamai), los ciberdelincuentes han encontrado una amplia variedad de opciones disponibles para cometer delitos en este sector. El fraude bancario móvil se ha vuelto aún más frecuente a medida que más personas empiezan a utilizar aplicaciones bancarias móviles, como muestra el informe sobre las expectativas de los consumidores de México respecto a la seguridad de las aplicaciones móviles, que revela que el 39.4% de los mexicanos utilizan aplicaciones bancarias móviles.
Para Appdome, la ventanilla única para la defensa de aplicaciones móviles, uno de los ataques más comunes contra las aplicaciones móviles se produce a través del Jailbreaking (iOS) y el Rooting (Android), que son métodos de ataque utilizados para obtener acceso no autorizado al sistema operativo móvil, al sistema de archivos y a cualquier aplicación que se ejecute en el dispositivo. Este hackeo consiste esencialmente en otorgarse a sí mismo o a un malware controlado por el atacante, privilegios de administrador “superusuario” en el dispositivo, saltándose las protecciones establecidas por los fabricantes, manipulando el dispositivo y las aplicaciones, e incluso instalando diferentes sistemas operativos móviles diseñados para simplificar y escalar los ataques, y hacer fraudes al explotar vulnerabilidades.
“Cuando los sistemas operativos iOS y Android han sufrido de Jailbreak o están Rooteados, la seguridad de las aplicaciones ya no genera confianza, porque este ataque modifica el acceso a nivel de sistema operativo a servicios que pueden poner en peligro la aplicación. En el caso de las aplicaciones bancarias, esto podría significar el acceso a información personal identificable (PII), credenciales de usuario y datos, como información de tarjetas de crédito y extractos financieros”, explica Chris Roeckl, Chief Product Officer de Appdome.
“El Jailbreak y el Root abren la puerta al malware, el spyware y otras formas de robo de identidad y fraude. Pero los bancos de telefonía móvil también deben tener en cuenta la experiencia del usuario a la hora de aplicar la detección de Jailbreak y Root. La clave es disponer de un marco que permita a la aplicación móvil obtener, consumir y utilizar los metadatos de ataque en la aplicación. Con esa información, los bancos móviles pueden ofrecer al usuario la experiencia que mejor se adapte a la amenaza planteada”, explica Roeckl.
El Jailbreak y la protección Root se han vuelto vitales en la seguridad de las aplicaciones de banca móvil, con el objetivo de preservar la integridad de los datos y garantizar la seguridad de los usuarios. “Es esencial que las instituciones financieras adopten medidas de ciberseguridad proactivas y más robustas, para garantizar la protección de los datos y la confianza de los clientes en sus aplicaciones de banca móvil, así como en su marca e institución”, añade el ejecutivo.
La carrera armamentística del Jailbreak y el Rooting
La comunidad de piratas informáticos desarrolla constantemente nuevas herramientas de Jailbreak y Rooting, aprovechando las vulnerabilidades de los nuevos dispositivos y sistemas operativos. “El creciente panorama de amenazas va mucho más allá de que el Jailbreak y el Root representen graves amenazas. Esto requiere que las instituciones bancarias adopten socios que proporcionen una protección a prueba de futuro, es decir, que puedan adaptar su defensa de seguridad en tiempo real”, afirma Roeckl. “La idea es poder combatir cualquier nuevo método que los hackers puedan desarrollar en el futuro en el que intenten nuevas formas de eludir la defensa existente de la aplicación móvil”.
Equilibrar la seguridad con la experiencia del usuario es crucial para las aplicaciones bancarias. Según el informe Global Consumer Expectations on Mobile App Security de Appdome, el 56 % de los usuarios de aplicaciones cree que los desarrolladores de aplicaciones deberían ser responsables de protegerlos a ellos y a sus datos cuando utilizan aplicaciones móviles. Por lo tanto, los bancos móviles deben implementar un conjunto completo de protecciones en sus aplicaciones móviles contra el fraude y otros ataques durante todo el ciclo de vida de desarrollo. Esto aumentará la confianza de los clientes en la seguridad que garantiza su marca de banca móvil, al mismo tiempo que protegerá al banco del fraude, incluidas pérdidas financieras, problemas legales, incumplimientos y daños a la marca.
Appdome sugiere un enfoque más global, pensar en cuestiones como el Jailbreak y la defensa contra Root como parte de un conjunto de defensas que funcionan juntas dentro de la aplicación móvil, lo que permite a los bancos móviles construir defensas automatizadas que tienen protecciones complementarias y que trabajan entre sí dentro de la aplicación de una manera “consciente de las amenazas”.
“Es imperativo que las marcas de móviles vayan más allá del Jailbreak o el Root básico e incorporen múltiples defensas, como cifrado de datos, ofuscación de código, antimanipulación, antibot, así como prevención de fraude y malware, cada una de las cuales bloquea al atacante en cada paso sin dejar de garantizar una gran experiencia de usuario. De este modo, los bancos pueden supervisar la aplicación móvil en producción para detectar todos los ataques y amenazas a los que se enfrenta la app en tiempo real y ajustar aún más el modelo de seguridad en función de la demanda, para obtener la máxima protección contra el fraude”, explica Roeckl. “Las herramientas DevOps están disponibles hoy en día para resolver todas estas preocupaciones, lo que permite a las marcas móviles adoptar, liberar y actualizar fácilmente las defensas a medida que surgen nuevos requisitos”.