Las aplicaciones financieras no son tan seguras como crees

El auge de las aplicaciones móviles financieras

Las aplicaciones móviles financieras ayudan a las empresas de todos los sectores a aprovechar los mercados en crecimiento. Crean valor adicional a través de una mejor experiencia del cliente y reducen los costos a través de la automatización de procesos. Ya sea que se utilicen para la banca tradicional o el procesamiento de pagos, las aplicaciones están cambiando la forma en que operan las empresas. Esta tendencia pronunciada pero constante en la adopción de fintech móvil se disparó con la pandemia de COVID-19.

Tiempo dedicado a aplicaciones financieras aumentó un 45% en 2020 y algunas verticales, como las aplicaciones de inversión, incluso superaron el aumento de las descargas en el juego durante la pandemia.

Esta popularidad condujo a una 77% de reducción en los costos de adquisición de clientes y contribuyó significativamente al auge de la inversión minorista de finales de 2020.

El valor de las aplicaciones financieras para las empresas y sus clientes es claro. Desafortunadamente, el valor de estas aplicaciones las convirtió en el objetivo favorito de los ciberdelincuentes hasta el punto de que El FBI emitió una advertencia de PSA sobre ciberataques a aplicaciones bancarias.

Violaciones recientes notables de la aplicación móvil financiera

Los piratas informáticos utilizaron varios métodos diferentes para atacar aplicaciones financieras en 2020. Estas son solo algunas de las infracciones de seguridad más notables:

• Troyano bancario Ghimob. Este troyano identifica y monitorea las aplicaciones financieras instaladas en un dispositivo y realiza transacciones fraudulentas en segundo plano mientras el usuario mira una pantalla superpuesta.
• Programa malicioso EventBot. Este malware abusaba de las funciones de accesibilidad de Android para robar datos, leer mensajes de texto y eludir la autenticación de dos factores (2FA). Apuntó a más de 200 aplicaciones financieras populares, incluidas las de EE. UU., Alemania y el Reino Unido.
• Programa malicioso Cerberus. Este malware se hizo pasar por una aplicación de conversión de criptomonedas para engañar a los usuarios y alcanzó miles de descargas antes de ser detectado.
• La brecha de seguridad de Dave.com. Los detalles de 7,5 millones de usuarios de la aplicación financiera «Dave» se vieron comprometidos después de que la aplicación fuera pirateada a través de un proveedor de análisis externo.

Un análisis de seguridad de aplicaciones financieras para 2021

Teniendo en cuenta la prevalencia de las aplicaciones financieras en nuestra vida diaria, elegimos 160 aplicaciones que representan negocios en cuatro sectores financieros principales: banca, pagos móviles, inversiones/comercio y préstamos. Estas aplicaciones sirven a los mercados globales en los EE. UU., la UE, el Reino Unido, el Sudeste Asiático (SEA) y la India.

Todas las aplicaciones se descargaron de la PlayStore de Google o de la App Store de iOS. Enviamos las aplicaciones seleccionadas para análisis estático y dinámico con el fin de evaluar las vulnerabilidades en términos de la Sistema de puntuación de vulnerabilidad común (CVSS).

Los resultados generales de nuestra investigación revelaron que la gran mayoría de las aplicaciones están en riesgo. Estos son algunos aspectos destacados clave:

• Casi el 85 % de las aplicaciones de Android y el 70 % de las de iOS contenían al menos una vulnerabilidad crítica o de gravedad alta.
• Las fallas de seguridad de aplicaciones financieras significativas más extendidas que se encontraron en las aplicaciones de Android fueron claves criptográficas derivadas débiles (61 %) y el almacenamiento de información sin cifrar en Preferencias compartidas (73 %).
• Para las aplicaciones de iOS, las fallas de seguridad más frecuentes y graves fueron la seguridad de transporte de aplicaciones mal configurada (65 %) y el almacenamiento de información confidencial en NSUserDefaults (61 %).
• En términos de sector, los peores infractores fueron las aplicaciones bancarias, de las cuales el 81% contenía al menos una vulnerabilidad de alta gravedad o crítica y el 35% contenía más de diez vulnerabilidades.
• A otros sectores no les fue mucho mejor, con al menos el 75% de las aplicaciones en otros campos con vulnerabilidades críticas o de alta gravedad.
• Las aplicaciones de SEA, India y la UE presentaron la mayoría de las vulnerabilidades, con un 38 %, 38 % y 29 %, respectivamente, que contenían más de diez fallas de seguridad de aplicaciones financieras.

HAGA CLIC PARA DESCARGAR EL INFORME DETALLADO: El estado de la seguridad de las aplicaciones financieras en 2021

Los riesgos de una seguridad fintech inadecuada

Los riesgos para los proveedores de aplicaciones financieras son múltiples y continúan afectando negativamente a una empresa mucho después del ataque inicial. Estos son algunos de los resultados más dañinos de una violación de seguridad fintech exitosa.

• Robo de datos – Se puede acceder fácilmente a la información confidencial de identificación personal (PII) y otros datos valiosos, incluidos nombres, contraseñas y detalles de tarjetas de pago, a través de aplicaciones financieras comprometidas. Los troyanos bancarios móviles como Anubis y Ghimoby otro malware móvil, utilizan varias técnicas para filtrar datos, incluidos registradores de teclas, pantallas superpuestas y explotación de servicios de accesibilidad.
• Robo de propiedad intelectual –Las aplicaciones a menudo incluyen algoritmos propietarios y tecnología patentada, que se pueden descubrir mediante ingeniería inversa del código. Una filtración que revele IP podría colocar valiosos activos de conocimiento en manos de competidores o usarse para crear aplicaciones financieras falsificadas que contengan troyanos bancarios u otro malware.
• Multas reglamentarias y pago de daños – Una gran cantidad de legislación mundial sobre seguridad de datos describe las sanciones por violaciones de la seguridad de las aplicaciones financieras. Por ejemplo, según el RGPD de la UE, una empresa puede ser multada hasta el 4% de sus ingresos globales. Además de las multas, se puede exigir a las empresas infractoras que paguen una compensación significativa a los usuarios afectados. Un ejemplo notable es el fondo de compensación de $300 millones (potencialmente aumentando a $425 millones) que Se ordenó a Equifax que estableciera después de que fueron encontrados negligentes en la protección de los datos de sus clientes.
• Pérdida de confianza del cliente – Los clientes pierden la confianza en las empresas que sufren brechas de ciberseguridad. La investigación muestra que 83% de los consumidores estadounidenses dejaría de hacer negocios con una empresa afectada durante al menos unos meses, mientras que más del 40% de los clientes del Reino Unido dijeron que nunca volverían a hacer negocios con ellos. Además, cuesta más ganar nuevos clientes. Estos costos surgen del gasto de marketing adicional necesario para reparar la reputación de la marca y los cambios en el modelo comercial, como mayores descuentos en productos o cobrar tarifas de servicio más bajas.
• Mayor gasto en seguridad de TI: No incorporar la seguridad de las aplicaciones móviles financieras en los procesos de desarrollo crea una deuda de seguridad eso habrá que abordarlo más adelante. En el caso de un ataque, se deberán implementar recursos de seguridad adicionales para asegurar retroactivamente o desmantelar las aplicaciones existentes a un costo significativamente mayor que el DevSecOps proactivo.

¿Qué pueden hacer las empresas fintech para protegerse?

Un descubrimiento significativo en nuestro informe es que casi el 75 % de las amenazas de alta gravedad encontradas podrían haberse mitigado con tecnologías de protección en la aplicación. Para garantizar que sus aplicaciones sean lo más seguras posible, las organizaciones financieras deben implementar una serie de mejores prácticas y estrategias de protección de aplicaciones, que incluyen:

• Protección de clave criptográfica
• Ofuscación de código
• Protección anti-depuración
• Detección de jailbreak/rooting
• Autoprotección de aplicaciones en tiempo de ejecución (RASP)
• Construir diversificación

Con la amplia gama de vectores de ataque y las protecciones integradas limitadas, las aplicaciones financieras seguirán siendo un objetivo principal para los piratas informáticos. Las consecuencias comerciales de los ataques exitosos superan con creces el costo de la prevención a través de la protección de aplicaciones y una estrategia sólida de DevSecOps.

de Zimperium Paquete de protección de aplicaciones móviles (MAPS) ayuda a las empresas a crear aplicaciones móviles seguras y protegidas resistentes a los ataques. Es la única solución unificada que combina la protección integral de aplicaciones con visibilidad centralizada de amenazas.

MAPS se compone de cuatro capacidades, cada una de las cuales aborda una necesidad empresarial específica:

• zescudo | Protección de aplicaciones – Protege el código fuente, la propiedad intelectual (IP) y los datos de posibles ataques como la ingeniería inversa y la manipulación del código.
• zKeyBox | Protección criptográfica de caja blanca – Protege sus secretos y claves para que no puedan ser descubiertos, extraídos o manipulados.
• zescanear | Pruebas de seguridad de aplicaciones (AST) – Ayuda a su organización de desarrollo de aplicaciones móviles a descubrir y solucionar problemas de cumplimiento, privacidad y seguridad dentro del proceso de desarrollo antes de lanzar públicamente sus aplicaciones;
• zDefender | Autoprotección de aplicaciones en tiempo de ejecución (RASP) – Ayudar a detectar y defenderse contra la explotación y el abuso en tiempo de ejecución del dispositivo, la red, el phishing y el malware.

Obtenga más información sobre nuestra suite de protección de aplicaciones móviles aquí.

Acerca de Zimperium

Zimperium, el líder mundial en seguridad móvil, ofrece la única protección basada en aprendizaje automático, en el dispositivo y en tiempo real contra las amenazas de Android, iOS y Chromebook. Con la tecnología de z9, Zimperium brinda protección contra ataques de dispositivos, redes, phishing y aplicaciones maliciosas. Para obtener más información o para programar una demostración, contáctenos hoy