ChannelBiz

El año 2014 no empieza bien para la banca móvil, no porque no se utilice cada vez más, sino porque la seguridad que ofrece no es tanta como debería ser. A un experto se le ha ocurrido analizar 40 aplicaciones de los 60 bancos más importantes del mundo y los resultados han sido catastróficos.

Se llama Ariel Sánchez, trabaja para IOActive y, sin ofrecer los nombres de los bancos involucrados en su estudio, durante 40 horas ha estado probando aplicaciones de banca online para iPhone y iPad. Tampoco ha ofrecido información pública de las vulnerabilidades que ha detectado, detalles que ha dejado para los bancos, pero es lógico pensar que si él ha sido capaz de encontrar fallos, los ciberdelincuentes también pueden hacerlo. Los detalles de sus descubrimientos están disponibles para todo aquel que quiera visitar su blog.

La investigación de Sánchez se centró en seis áreas separadas: seguridad de transporte, protección del compilador, UIWebViews, almacenamiento de los datos, análisis del registro y análisis binario. En todas las áreas detectó debilidades. Entre los datos:

. El 40% de las aplicaciones no validan la autenticidad de los certificados SSL, lo que hace que pueden verse afectados por ataques Man in the Middle.

. Un 90% de aplicaciones contienen enlaces que no son SSL, lo que permitiría que un atacante intercepte el tráfico e inyecte código arbitrario.

. Un 50% son vulnerables a inyecciones JavaScript a través de implementaciones UIWebView inseguras, que permitiría enviar SMS o correos electrónicos desde el dispositivo de la víctima.

. Un 70% no facilitan soluciones de autenticación alternativas, como autenticación multifactor, que ayudarían a reducir el riesgo de ataques por suplantación.

Además, la investigación de Ariel Sánchez detectó que la mayoría de los archivos de registro generados por las aplicaciones, como informes de fallos, exponen información sensible. El investigador dice que algunas de las aplicaciones analizadas se basan en la propia seguridad del dispositivo para proteger los datos de los usuarios.

Para Aries Sánchez, los bancos está promocionando el uso de la banca móvil como una diferencia competitiva, pero deben hacer más para proteger a sus clientes. “Las aplicaciones de banca que han sido adaptadas para dispositivos móviles como smartphones y tabletas han creado un importante reto de seguridad para las empresas financieras de todo el mundo. Esta investigación muestra que la industria financiera debería incrementar los estándares de seguridad que utilizan para sus soluciones de banca”, dice Sánchez.

Además, el investigador ofrece algunas recomendaciones a los desarrolladores de aplicaciones de banca móvil, como asegurarse de que las conexiones se realizan utilizando protocolos de transferencia seguros; asegurar la validación de los certificados SSL; cifrar los datos sensibles almacenados por las aplicaciones; mejorar la detección de jailbreaks; utilizar técnicas de antidebugging, o eliminar toda la información de desarrollo de los productos finales.