Los ataques a la banca móvil son cada vez más sofisticados

Por: Camilo Méndez, Digital Transformation Enabler de OneSpan

Recientemente, hemos visto cómo las noticias de ciberseguridad han sido dominadas por una amenaza detectada a principios de 2021, denominada Teabot, que afecta principalmente dispositivos móviles Android con la intención de robarse contraseñas bancarias. Lo preocupante es que el método que se usa para atacar los dispositivos de los usuarios no es complejo, ni requiere un comportamiento anómalo del usuario, simplemente usa una herramienta que los usuarios utilizan diariamente: los mensajes de texto o SMS.

A pesar de que esta amenaza aún no parece haber llegado a América Latina, su desarrollo es especialmente grave para la región, puesto que las instituciones financieras y otros proveedores de servicios con aplicaciones móviles, continúan usando los SMS como principal método de autenticación y seguridad, una práctica que les ahorra costos y les permite acortar tiempos de desarrollo e implementación de sus aplicaciones, pero que deja a sus usuarios vulnerables ante este tipo de ataques, puesto que se ha demostrado que esta herramienta tiene la capacidad de interceptar incluso los mensajes de autenticación enviados para confirmar la identidad del usuario.

Ver más: Banca tradicional versus fintechs: la importancia de “la nube” para no quedar fuera del mercado

Aprovecharse de los servicios de accesibilidad de Android con fines de lucro no es una táctica nueva, pero vemos con preocupación que la cantidad de ataques por esta vía está aumentando por distintos motivos, por un lado está el hecho de que cada vez más personas se adentran a los servicios financieros móviles, lo que tiene como consecuencia que sea más y más lucrativo atacar las aplicaciones de banca móvil, hay que recordar que los criminales operan con la intención de maximizar el retorno de sus actividades. 

Hay que destacar que la fuente de estos ataques es difícil de rastrear, puesto que, en muchos casos, estos esquemas de superposición móvil se venden como un servicio para que incluso delincuentes menos capacitados puedan aprovechar la tecnología ya desarrollada. Esto es solo el comienzo de la ola, y los ataques de superposición en dispositivos Android continuarán siempre que tengan éxito.

¿Qué hacer para blindar las aplicaciones móviles y proteger a los usuarios?

Existen diversos pasos que las instituciones financieras pueden tomar para asegurar que sus usuarios están protegidos ante ataques, una primera acción es dejar el uso de credenciales estáticas para procesos que requieren autenticación. Modernizando su arquitectura de autenticación, las instituciones financieras pueden mantenerse un paso adelante de los ataques.

También es posible implementar el blindaje de aplicaciones móviles, una manera de proteger la seguridad del propio código fuente de la aplicación móvil. Los criminales suelen buscar oportunidades de ataque por dos vías, del lado del cliente y en el back-end del banco (también conocido como el lado del servidor). Los bancos tienen mucho más control sobre el back-end y pueden garantizar de manera más efectiva que su infraestructura cumpla con los estándares de seguridad. Sin embargo, las aplicaciones de banca móvil están instaladas en los dispositivos de los clientes, que es un entorno fuera del control del banco. 

Ver más: El Big Data está cambiando la perspectiva de la industria bancaria

El blindaje de aplicaciones móviles ofrece seguridad que viaja junto con la aplicación para protegerla incluso en dispositivos comprometidos que han otorgado acceso a los servicios de accesibilidad a una aplicación maliciosa. Con este blindaje es posible detectar la manipulación o el abuso de los servicios de accesibilidad de Android y cerrar la interferencia antes de que los atacantes puedan robar credenciales y vaciar una cuenta.

Una tercera acción que se puede comenzar a implementar de manera inmediata es la protección multi capa, que implica asegurar distintas partes del proceso de comunicación que las aplicaciones tienen que realizar para completar sus tareas, por ejemplo, asegurando el canal de comunicación, haciendo análisis de riesgos en tiempo real, del lado del cliente y del servidor, así como el monitoreo continuo de las sesiones mediante aprendizaje autónomo. 

Alternativas para las contraseñas de un solo uso

Las OTP (One time passwords) o contraseñas de un solo uso son ampliamente utilizadas en la región de América Latina, su facilidad de implementación y bajo costo son atractivos para empresas que quieren acelerar la salida de sus aplicaciones móviles al mercado, sin embargo, hay cada vez más voces que se suman al discurso de que estas soluciones no garantizan la seguridad del usuario, por ejemplo, la Autoridad Bancaria Europea, que confirmó que los OTP no cumplen con los estándares de la directiva de pagos autorizada.

De la misma manera, se sabe que los códigos SMS son vulnerables al phishing e incluso a la intercepción, un ataque típico a los OTP por SMS puede comenzar dirigiendo a la víctima a una página web de phishing que se parece a la del banco, ahí el usuario ingresará sus datos y activará el envío de un OTP por SMS. El malware presente en el dispositivo de la víctima obtendrá dichos códigos SMS y los reenviará al atacante, lo que significa que la víctima nunca se conecta con el banco mientras interactúa con una página de phishing.

En ocasiones puede resultar complicado cambiar los hábitos y prácticas adquiridas por los equipos de desarrollo de software, ahora bien, es importante hablar de qué alternativas ofrecen mayor seguridad a los usuarios, para reemplazar por ejemplo a las OTP. En este caso se recomienda usar una autenticación multi factorial, que va más allá de un nombre de usuario y contraseña, para incorporar elementos como notificaciones push directamente enviadas desde la app bancaria, contraseñas de un uso generadas por una aplicación separada, el uso de biométricos o el uso de soluciones que permitan autorizar las transacciones mediante una firma externa. Cada una de estas alternativas descritas anteriormente, ofrecería al usuario una capa adicional de protección que puede cortar la comunicación y evitar que los atacantes recaben la información necesaria para conseguir su cometido.

Ver más: El futuro de la banca: tecnología sin olvidar a las personas

Implementar estas medidas usualmente implica tomar un paso atrás y realizar una evaluación completa de la arquitectura de autenticación del banco o institución financiera, el solo hecho de comenzar este proceso puede resultar intimidante para los equipos de desarrollo, sin embargo, hay que tomar en cuenta que estas arquitecturas pueden haber sido desarrolladas hace algunos años, lo que implica que los avances tecnológicos recientes bien podrían haber dejado obsoletas las soluciones previas.

Asegura la autenticación y mucho más

Es importante tener en mente que la autenticación es un factor, claramente relevante, dentro de los múltiples pasos que hacen a una aplicación segura y efectiva para los usuarios de un banco o institución financiera, también será necesario poner atención al análisis de interacciones, el monitoreo continuo de las sesiones, el blindaje total de las aplicaciones y toda una serie de soluciones de seguridad que resultarán en una mejor experiencia de uso, al garantizar la confiabilidad.

En conclusión, consideramos que una experiencia móvil segura y eficiente, incorpora soluciones de autenticación que van más allá de las contraseñas de un solo uso, enviadas por SMS, además de capas de seguridad adicional que brindan al usuario una mayor tranquilidad de que sus datos se encuentran protegidos. La decisión de brindar esta robusta protección reside en las instituciones financieras y no debería ser complicada de tomar, especialmente si se toman en cuenta los grandes beneficios que brinda a los usuarios.