Son vulnerables ‘apps’ bancarias
Julio 29, 2019 -
Auditan aplicaciones móviles. Manipulación de cliente, recopilación de información y autenticación
Ciudad de México.
Las aplicaciones para celular que ofrecen los bancos presentan vulnerabilidades según un estudio de Everis sobre ciberseguridad.
Más de la sección
Everis es una consultoría especializada en el sector financiero que analizó el funcionamiento de aplicaciones para celular de cuatro bancos, cuyos nombres mantiene en el anonimato.
En el estudio mencionó que todas las aplicaciones móviles auditadas contienen un SDK de protección, el cual proporciona ciertos controles que permiten la suplantación.
"No obstante, en algunas aplicaciones fue posible evadir el SDK", indicó.
Señaló que una de las aplicaciones, que fue catalogada como la más insegura, presenta debilidades a nivel de manipulación de cliente, recopilación de información y autenticación.
"La manipulación del cliente es teóricamente más sencilla en aplicaciones híbridas, debido a que utilizan un lenguaje interpretado como JavaScript", destacó Everis.
"Todas las aplicaciones ofrecen controles mínimos de resistencia ante la ingeniería inversa, dos de ellas están desarrolladas nativamente, y dos son híbridas las cuales no implementan ningún control de verificación de integridad del cliente móvil, por lo que (en el ejercicio de análisis) fue posible modificar parte de su lógica, agregar fragmentos de código JavaScript malicioso y manipular sus archivos estáticos como imágenes, logos e íconos", mencionó Everis.
El servicio de Cobro Digital (CoDi) que ofrecerán los bancos a partir del 30 de septiembre funcionará a través de las aplicaciones bancarias, ya que el comprador tendrá que capturar con su celular el código QR que le proporcione el comercio.
El documento de Everis menciona que el precio de la tecnología es que el aumento de los canales virtuales para todo trámite financiero da espacio al fraude hacia la banca y sus clientes.
"Muchos proveedores de antivirus móviles recalcan el aumento de malware desarrollado para estos dispositivos, el 18 por ciento de los móviles Android con aplicaciones bancarias instaladas tienen algún tipo de malware", mencionó.
Por esta razón, es necesario que los desarrolladores de aplicaciones móviles financieras incluyan seguridad dentro de todo el ciclo de desarrollo y que los bancos lideren campañas de concientización con sus clientes sobre este tipo de fraude.
