Internet ofrece un gran abanico de posibilidades para nuestro día a día. Son muchas las herramientas, los servicios y plataformas que podemos utilizar. La manera en la que interactuamos con nuestro banco, realizamos pagos y transacciones, ha cambiado mucho en los últimos años. Contar con aplicaciones bancarias se ha convertido en algo habitual en prácticamente todas las entidades. Sin embargo esto también trae algunos problemas. En este artículo nos hacemos eco de un informe que alerta de que muchas aplicaciones bancarias cuentan con importantes fallos de seguridad.
Fallos de seguridad en aplicaciones bancarias
Es muy común que en nuestro móvil tengamos instalada la aplicación de nuestro banco. De esta forma podemos consultar el saldo, realizar transferencias, hacer pagos y otras gestiones sin necesidad de acudir a la entidad de forma física o tampoco tener que entrar en su versión web. Pero esto puede tener serios problemas para nuestra seguridad y privacidad si este tipo de software tiene vulnerabilidades.
Eso es lo que parece que ocurre con muchas aplicaciones bancarias. Este estudio ha sido realizado sobre programas tanto de Android como de iOS. Ya sabemos que son los dos sistemas operativos más populares en dispositivos móviles, por lo que abarcan prácticamente la totalidad de los usuarios en España.
Este estudio ha encontrado importantes fallos de seguridad en estas aplicaciones. Han detectado deficiencias en el código fuente, almacenamiento de texto confidencial y otros problemas que podrían permitir la entrada de posibles atacantes. Esto dejaría nuestras cuentas expuestas y, en definitiva, nuestra privacidad se vería afectada.
Es cierto que la muestra no es demasiado grande, pero de las 14 aplicaciones bancarias que han analizado con más de 500.000 descargas cada una, en todas ellas encontraron al menos un problema de seguridad.
El informe ha sido realizado por TI Positive Technologies. Vieron que cada una de estas aplicaciones analizadas tenía vulnerabilidades. Tres fallos de seguridad eran comunes a todas ellas: no contaban con protección contra la inyección de código, falta de ofuscación y el código tenía deficiencias.
Vulnerabilidades que ponen a los usuarios en peligro
Aseguran que muchas de estas vulnerabilidades ponen en riesgo a los usuarios. Indican que en iOS todos los fallos descubiertos fueron calificados de nivel medio, sin embargo un 29% de esos fallos en Android fueron de alto riesgo.
En algunos casos un atacante ni siquiera necesitaría obtener acceso del servidor de una aplicación bancaria para llevar a cabo sus ataques. Además, aseguran que el 76% de todos estos fallos podrían explotarse sin la necesidad de que el atacante tuviera acceso físico al dispositivo. Simplemente bastaría con suplantar la identidad, que la víctima haga clic en un enlace malicioso o ejecute un script determinado.
En cuanto a las vulnerabilidades en el lado del cliente, tres se destacan por estar particularmente extendidas: 13 de 14 aplicaciones permiten el acceso no autorizado a los datos del usuario, 13 de 14 son vulnerables a los ataques de intermediarios y 11 de 14 aplicaciones permiten el acceso no autorizado a la aplicación en sí.
Los principales problemas en el lado del servidor de la banca móvil vienen en forma de autenticación insuficiente, vulnerabilidad de fuerza bruta y fallos en la identificación de la aplicación. Todo esto puede usarse para hacerse pasar por un usuario para robar datos y transferir fondos ilegalmente.
Es muy importante que siempre tengamos las aplicaciones actualizadas correctamente, que las descarguemos desde sitios oficiales y por supuesto que tengamos presente el sentido común. En la mayoría de casos los piratas informáticos van a necesitar la interacción de la víctima, ya sea descargando algún software o haciendo clic en algún enlace fraudulento.
