De acuerdo con un análisis de aplicaciones de banca móvil realizado por la empresa Positive Technologies, las fallas en este tipo de aplicaciones hacen que la mitad de todos los bancos móviles sean vulnerables al robo de fondos y representan más de la mitad de todas las vulnerabilidades detectadas.
La gran mayoría (76%) de las vulnerabilidades de la banca móvil pueden explotarse sin acceso físico al dispositivo. Además, más de un tercio de las vulnerabilidades pueden explotarse sin derechos de administrador.
No hubo fallas en las aplicaciones bancarias de iOS con severidad mayor a nivel “medio” pero, el 29% de las aplicaciones de Android contienen vulnerabilidades de alto riesgo.
Las vulnerabilidades más peligrosas se encontraron en las aplicaciones de Android e implican un manejo inseguro de enlaces. Los desarrolladores de Android tienen más libertad en la implementación, lo que explica una mayor cantidad de vulnerabilidades en este tipo de tecnología.
Del lado del servidor, las aplicaciones tienen 54% de todas las vulnerabilidades encontradas y, en promedio, cada banco tiene 23 vulnerabilidades. El 43% de las aplicaciones bancarias contienen vulnerabilidades del lado del servidor en la lógica empresarial, que los atacantes pueden explotar para obtener información confidencial del usuario y cometer fraude. Los errores de lógica de negocios pueden causar pérdidas significativas a los bancos e incluso dar lugar a complicaciones legales.
Las credenciales de usuario demostraron ser los datos más vulnerables. Por ejemplo, en el 87% de los casos, se requiere la interacción del usuario para aprovechar una vulnerabilidad.
Los expertos de Positive Technologies recomiendan que los usuarios eviten hacer jailbreaking o rootear sus dispositivos, descargar aplicaciones solo de tiendas oficiales, evitar visitar sitios web sospechosos o seguir enlaces desconocidos de SMS y mensajes de chat, y siempre instalar las últimas actualizaciones para el sistema operativo y las aplicaciones móviles.
Los bancos no están protegidos para evitar la ingeniería inversa de sus aplicaciones móviles. Además, dan poca importancia a la protección del código fuente, almacenan datos confidenciales en dispositivos móviles en texto sin cifrar y cometen errores que permiten a los delincuentes informáticos eludir los mecanismos de autenticación y autorización y las credenciales de los usuarios de fuerza bruta.
“A través de estas vulnerabilidades, los delincuentes informáticos pueden obtener nombres de usuario, saldos de cuenta, confirmaciones de transferencia, límites de tarjeta y el número de teléfono asociado con la tarjeta de la víctima”.