Preste atención: las últimas investigaciones muestran que las aplicaciones de banca móvil no son iguales

A medida que los bancos nos alientan a mover nuestro dinero a aplicaciones de banca móvil y formatos sin efectivo por conveniencia y velocidad, también lo hace la amenaza del ciberdelito. En la actualidad, los ciberdelincuentes apuntan al 63 % de los bancos de nuestro estudio mediante campañas específicas de malware para engañar a los usuarios de dispositivos móviles para que entreguen su dinero y sus credenciales bancarias.

Los reguladores financieros como la Reserva Federal de EE. UU. también reconocen los riesgos de los dispositivos móviles. A medida que nuestras prácticas bancarias migran a dispositivos móviles y a la nube, también lo hacen las preocupaciones sobre la seguridad y el acceso que tienen nuestros dispositivos. Los reguladores advierten que la banca móvil puede ayudar a abordar algunos desafíos que enfrentan los consumidores, pero el canal de banca móvil debe volverse más confiable.

«Es probable que se necesite una plataforma móvil segura y bien diseñada, así como acceso e instalaciones para el consumidor con tecnología móvil e Internet, para que la banca móvil sea un canal bancario confiable». Reserva Federal de EE. UU.

¿Los bancos están haciendo lo suficiente?

Las aplicaciones de banca móvil no son iguales revela la exposición a los riesgos de seguridad y privacidad y si cada uno aprueba o no el Open Web Application Security Project (OWASP) Mobile Top 10. Esta investigación detalla cómo les fue a las aplicaciones bancarias de iOS y Android de los 45 principales bancos y proveedores de pagos móviles de EE. UU. riesgo de seguridad y privacidad. Esta investigación escaneó y calificó 90 aplicaciones de banca móvil disponibles en Apple App Store y Google Play en abril de 2019 por riesgos de seguridad, privacidad y fuga de datos. Los resultados y las puntuaciones se calculan con el método de Zimperium. Análisis avanzado de aplicaciones z3A motor. Zimperium z3A es un servicio de análisis de reputación de aplicaciones que evalúa continuamente los riesgos que plantean las aplicaciones móviles. z3A proporciona inteligencia profunda sobre el comportamiento de la aplicación, incluido el contenido (el código de la aplicación en sí), la intención (el comportamiento de la aplicación) y el contexto (los dominios, certificados, código compartido, comunicaciones de red y otros datos). z3A también proporciona clasificaciones de privacidad y seguridad, lo que permite a las empresas crear políticas de seguridad para limitar o eliminar aplicaciones de riesgo de los dispositivos administrados.

El resumen de seguridad se centra en los riesgos de las aplicaciones. Estos riesgos incluyen la funcionalidad y el uso del código, las capacidades de la aplicación y las vulnerabilidades críticas.

La información de privacidad se centra en el acceso de la aplicación a los datos privados del usuario, identificadores únicos de dispositivos, SMS, comunicaciones y almacenamiento de datos no seguro.

Algunos de los hechos rápidos a seguir en esta investigación incluyen:

• A pesar de que los bancos alientan cada vez más a los clientes a usar aplicaciones de banca móvil y reconocen que la ciberseguridad es la mayor amenaza para el sistema financiero, los bancos no se adhieren a las mejores prácticas de codificación. No adherirse a las mejores prácticas de desarrollo de aplicaciones expone los datos del cliente y del banco y aumenta las posibilidades de fraude a medida que los bancos implementan más servicios móviles y en la nube de terceros.
• Los bancos continúan usando código compartido en aplicaciones de producción que se actualiza o retira con poca frecuencia. Si el código compartido ya no es compatible o es vulnerable, todas las aplicaciones que contengan este código se verán afectadas después de que ocurra un incidente. Además, el código compartido significa que cualquier persona (especialmente el código fuente abierto) tiene la oportunidad de revisar y probar el código en busca de vulnerabilidades y debilidades para identificar la superficie de ataque y explotarla.
• Los bancos continúan compartiendo datos confidenciales de los clientes con los anunciantes. Esta práctica aumenta las posibilidades de fuga de datos si se aplica ingeniería inversa a una aplicación de banca móvil o si se explota la vulnerabilidad de una biblioteca o servicio de terceros. Si hay una filtración de datos y se expone información de identificación personal, los bancos sufren graves daños a la marca y multas reglamentarias.
• La mayoría de los bancos no ofuscan el código, protegen los datos de los dispositivos móviles ni implementan la autoprotección de las aplicaciones en tiempo de ejecución para las aplicaciones móviles. Si no se ofusca el código, cualquiera puede aplicar ingeniería inversa a una aplicación para identificar debilidades e identificar una superficie de ataque. Un ejemplo de ello es cómo los ciberdelincuentes aplicaron ingeniería inversa a una aplicación móvil para identificar vulnerabilidades y robaron millones de dólares de la noche a la mañana a miles de usuarios sin ser detectados.

Para descargar una copia completa del informe, por favor haga clic aquí.