Cuándo usar la protección en la aplicación

Hay más de 5 millones de aplicaciones en las tiendas de aplicaciones. La mayoría de estas aplicaciones encajan en las categorías de aplicaciones de juegos, negocios, educación, estilo de vida, entretenimiento y utilidad. Algunas de estas aplicaciones tienen acceso y contienen datos altamente confidenciales y requieren protección y seguridad en la aplicación para defenderse de los ataques cibernéticos en tiempo real. Esta seguridad se suma a la seguridad que detecta la ingeniería inversa y la manipulación. Ninguna cantidad de endurecimiento de aplicaciones detectará un ataque en un dispositivo de terceros.

Tenga en cuenta que su aplicación se ejecuta en el dispositivo no administrado de un consumidor. Su dispositivo podría tener malware. Podría tener jailbreak. Podría estar comprometido. Podría estar operando en una red maliciosa o en cualquier cantidad de situaciones peligrosas cuando los usuarios se apresuran a buscar conectividad y energía. No puede administrar el estado de estos dispositivos, pero puede crear políticas sobre cómo un punto final de terceros interactúa con sus sistemas back-end.

Las empresas que promocionan servicios móviles y envían clientes al canal móvil entienden dos cosas. Uno, el móvil es una experiencia superior para el cliente. En segundo lugar, introduce un riesgo significativo. Muchas empresas públicas reconocen los riesgos que los dispositivos móviles y los servicios en la nube presentan en el negocio en las presentaciones de la SEC y los informes anuales. Entienden que los ciberataques evolucionan a un ritmo superior al de sus defensas y están obligados a divulgar este riesgo a los accionistas.

Por ejemplo:

“Estos riesgos pueden aumentar en el futuro a medida que la Compañía continúa aumentando sus ofertas de productos móviles y basados ​​en Internet y expande su uso interno de productos y aplicaciones basados ​​en la web. Además, los clientes de la Compañía a menudo usan sus propios dispositivos, como computadoras, teléfonos inteligentes y tabletas, para realizar pagos y administrar sus cuentas. La Compañía tiene una capacidad limitada para garantizar la seguridad de las transacciones de sus clientes con la Compañía en la medida en que utilicen sus propios dispositivos, que podrían estar sujetos a amenazas similares”. – Informe anual de US Bancorp 2018

Si las empresas quieren expandir los programas móviles y reducir los riesgos de que los dispositivos de terceros interactúen con los sistemas back-end, deben tener visibilidad del riesgo real. El riesgo se puede medir con la defensa contra amenazas en la aplicación instalada en su aplicación móvil, y aquí explico varios de los casos de uso más comunes.

Aplicaciones de banca móvil

Las aplicaciones de banca móvil son algunas de las aplicaciones más útiles en su teléfono inteligente. Realizar pagos en terminales a través de monederos móviles, transferir dinero a beneficiarios o consultar saldos son algunas de las funcionalidades más utilizadas.

Las funciones bancarias que utilizan funciones nativas de teléfonos inteligentes también son convenientes. El uso de la cámara de un teléfono inteligente para depositar cheques y la geolocalización para ubicar cajeros automáticos para realizar retiros de efectivo permite a los usuarios realizar tareas que no hace mucho tiempo estaban reservadas para el cajero de su banco. Sin embargo, para habilitar estas funciones en los dispositivos de sus consumidores, debe abrir conexiones a sus sistemas de back-end.

Habilitar dispositivos de terceros para ejecutar su aplicación presenta vulnerabilidades. Estas vulnerabilidades se pueden explotar si no tiene visibilidad de estas amenazas. Las aplicaciones bancarias y de criptomonedas son objetivos frecuentes de robo, ya que contienen información sobre sus sistemas bancarios.

La aplicación móvil de Tesco Bank entregó 2,5 millones de libras esterlinas de 9000 cuentas durante la noche después de que los delincuentes aplicaran ingeniería inversa a la aplicación móvil. El banco sufrió graves daños a la marca y más tarde fue multado con 16,4 millones de libras esterlinas por la Autoridad de Conducta Financiera (FCA) por «no ejercer la debida habilidad, cuidado y diligencia en la protección de sus titulares de cuentas corrientes personales contra un ataque cibernético». A medida que el dinero se traslada a las monedas virtuales, también lo hacen los ataques a las aplicaciones de criptomonedas. Corea del Norte es conocida por apuntar a aplicaciones de criptomonedas para financiar programas. Además, las billeteras criptográficas «inhackeables» se ven comprometidas con éxito. Bitfi afirmó ser inhackeable aplicación de billetera bitcoin, pero era hackeado dos veces!

Aplicaciones de servicio cívico

Otro sector que reemplaza los artículos físicos en su billetera o cartera son los servicios cívicos y gubernamentales. Muchos servicios públicos han tenido sitios web durante años para renovar su licencia, registrarse en agencias estatales o locales o pagar sus impuestos. Ahora, estos servicios se están trasladando a los dispositivos móviles, haciéndolos más convenientes para los electores. Sin embargo, estas comodidades introducen riesgos ya que los constituyentes son individualmente responsables de la salud de su dispositivo móvil. Las aplicaciones de servicio público contienen información personal y datos de pago y deben tener en cuenta la ingeniería inversa y los ataques móviles en tiempo real. Estos son algunos ejemplos de aplicaciones gubernamentales que deberían implementar defensa contra amenazas en la aplicación.

En los Estados Unidos, Kansas en los Estados Unidos lanzó una aplicación móvil, iKan, para renovar las matriculaciones de vehículos. Los cazadores de Texas pueden usar Anual al aire libre adquirir y poseer licencias de caza y pesca. La ciudad de Nueva York ofrece una aplicación de seguridad móvil, Nueva York seguroasegurando que sus residentes y viajeros estén seguros mientras usan los servicios WiFi gratuitos de LinkNYC.

Pero, la aplicación de servicio cívico más interesante que supera los límites es la votación móvil.

Votar con un teléfono móvil puede dar miedo, pero puede ser más seguro con las protecciones adecuadas y la detección de manipulaciones. Durante siglos, los votos se han emitido mediante boletas de papel. Estas boletas se sintieron seguras, protegidas y a prueba de manipulaciones. Sin embargo, a medida que las plataformas digitales y los algoritmos reemplazan los sistemas heredados, los funcionarios cuestionan la seguridad de nuestras elecciones.

A continuación se muestra una breve cronología de los últimos 20 años de elecciones en EE. UU., que se centra en cómo llegamos a la votación móvil:

  • 2000 – El Chad colgante: Las elecciones presidenciales de EE. UU. de 2000 son las más cercanas desde 1876. El recuento manual de boletas de Florida se considera inconstitucional.
  • 2002 – HAVA 2002: La ley Help America Vote se convirtió en ley en 2002 para actualizar los sistemas electorales y el hardware a tiempo para las elecciones presidenciales de 2004.
  • 2004 – Software de máquina de votación: Al candidato demócrata, John Kerry, se le niega el acceso al software de las máquinas de votación después de las solicitudes a los algoritmos de las máquinas de votación.
  • 2016 – Gucífer 2.0: Los piratas informáticos de la agencia de inteligencia rusa irrumpen en los servidores del Comité Nacional Demócrata y Cambridge Analytica alimenta los datos para las campañas publicitarias electorales.
  • 2018 – 10 Minutos: Niña de once años en BlackHat irrumpe en una máquina de votación electrónica en menos de 10 minutos. Virginia Occidental, Utah y Votación móvil piloto de Denver.
  • 2020 – Elecciones presidenciales de EE. UU.: …

Los desarrolladores móviles de servicio público deben implementar tecnología antimanipulación en sus aplicaciones para reducir las posibilidades de ingeniería inversa y exposición de datos. Sin embargo, ninguna cantidad de antimanipulación detectará un ataque en tiempo real. Si no puede identificar un ataque a sus sistemas desde un punto final de terceros no administrado que ejecuta su aplicación, entonces no tiene forma de remediar ese ataque.

Aplicaciones de productividad de los empleados

Muchas veces las empresas han desarrollado internamente aplicaciones empresariales para habilitar a sus fuerzas de trabajo móviles. Estas aplicaciones son para firmas de abogados o de contabilidad para leer y editar documentos o para registrar horas facturables. Las aplicaciones de servicio de campo permiten a los técnicos generar mapas confidenciales utilizando ubicaciones geográficas para infraestructura crítica o para monitorear y controlar esos sistemas. Los hospitales y los profesionales de la salud que realizan visitas a domicilio necesitan acceso a información privada de atención médica protegida por HIPAA para administrar servicios de salud y registrar reclamos de seguros. Todas estas funciones podrían aprovechar los ahorros de costos al ejecutarse en un dispositivo BYO, pero el desarrollador móvil necesitaría instalar la detección de amenazas para detectar manipulaciones y ataques cibernéticos.

Los riesgos que implica enviar datos privados a un dispositivo BYO exponen datos y credenciales en el dispositivo del trabajador. Si no hay suficientes protecciones implementadas, los datos podrían filtrarse desde el dispositivo o las API y, por lo tanto, no cumplir con los requisitos de cumplimiento. Hay varios ejemplos de aplicaciones que exponen datos privados de usuarios o dispositivos. La aplicación de fitness Strava reveló mapas de calor globales de bases militares secretas en todo el mundo. La exposición hizo que el Departamento de Defensa de EE.UU. prohibir los rastreadores de actividad física en dispositivos gubernamentales y no gubernamentales. Una investigación del New York Times sobre las capacidades de seguimiento de aplicaciones móviles identificó individuos específicos a partir de datos de ubicación aparentemente anónimos. El estudio encontró el código de seguimiento de un proveedor en más de 500 aplicaciones diferentes.

  • ¿Qué tan riesgoso es el entorno operativo del dispositivo?
  • ¿Hay malware en el dispositivo u otras aplicaciones con privilegios abusivos o riesgos de fuga de datos?
  • ¿Es segura la red en la que se ejecuta su aplicación?
  • ¿Hay algún proceso con privilegios de root que pueda potencialmente robar datos confidenciales almacenados localmente?
  • ¿Hay un proceso de monitoreo y robo de pulsaciones de teclas o datos de la mesa de trabajo?
  • ¿Hay procesos que leen y exportan datos de la memoria?
  • ¿El dispositivo tiene jailbreak o está comprometido?

Zimperium en la protección de la aplicación, zIAP, proporciona a sus equipos de seguridad y fraude datos móviles sobre riesgos y amenazas de sus usuarios a través de un SDK ligero. Contáctenos para un evaluación gratuita para proteger su aplicación de ataques en tiempo real.

Deja un comentario