¿Es segura tu ‘app’ de banca móvil?
La ciberdelincuencia ha afectado a importantes entidades financieras y las consecuencias pueden ser muy negativas
2 marzo, 2019 10:54Google Play no está exento de peligros. Algo tan sencillo como descargar una app puede poner en riesgo nuestro smartphone y nuestros datos. Solo en 2017 la compañía tuvo que retirar de su plataforma 700.000 aplicaciones que violaban las políticas de Google Play, de acuerdo con Android Developers Blog.
Aunque el recorrido de estas apps suele ser breve (en 2017 el 99% de dichas aplicaciones fueron retiradas antes de que alguien pudiese instalarlas), pueden llegar a infectar millones de terminales. Y las consecuencias de instalar una app ilegítima en nuestro móvil pueden ser bastante negativas. Pueden incluir malwares, suscribirnos a servicios premium de SMS, etc.
Alerta de la OSI
En abril del pasado año, la Oficina de Seguridad del Internauta (OSI) alertó sobre una aplicación falsa disponible en Google Play que suplantaba a la de Bankia, cuyo objetivo era “capturar el usuario y contraseña de la víctima”. El cibercrimen también ha afectado a entidades como BBVA o EVO Banco, tal y como publicó Trend Micro en noviembre del pasado año. Ninguna de esas apps está ya disponible en Google Play.
Aunque la mayoría no sufrimos ningún ataque al operar a través de la banca móvil, debemos estar alertas. Antes de instalar una aplicación, hay que comprobar que sea la oficial. La OSI aconseja instalar aplicaciones que provengan únicamente de canales oficiales, como Google Play o la App Store, y comprobar las valoraciones y los comentarios de otros usuarios.
La mayoría de los bancos tienen enlazada su aplicación oficial en su página web, por lo que una forma de asegurarnos de que estamos ante la app legítima de nuestro banco es instalarla desde el enlace que facilitan los bancos en sus portales de Internet. Precisamente, la OSI señala que una de las claves para detectar una aplicación bancaria falsa es comprobar si desde la web de la entidad se enlaza con ella. También podemos comprobar quién es su desarrollador y si coincide con el del resto de las aplicaciones del banco.
La banca se protege ante posibles ataques
El número de clientes que usan la banca móvil se ha disparado durante los últimos años. Banco Santander tenía al cierre de 2018 32 millones de clientes digitales y BBVA, 27,2 millones (23 millones de clientes móviles), según sus informes de resultados. Este incremento de usuarios se ha visto reflejado también en el aumento de las descargas de las apps de los bancos dirigidas al público español: la aplicación del Santander supera el millón de instalaciones y las de BBVA y CaixaBank, los cinco millones. Y hablamos solo de las descargas realizadas en dispositivos Android.
Para garantizar la seguridad de sus usuarios, la banca ha protegido sus aplicaciones. “Cada función está analizada, diseñada y revisada con los controles de seguridad necesarios” explican desde BBVA y añaden que “las comunicaciones son siempre bajo los estándares más seguros de la industria como TLS”. Estas siglas, que hacen referencia a transport layer security (seguridad de la capa de transporte), se repiten en la industria y hacen referencia a los protocolos de encriptado que hacen seguras las comunicaciones por la Red.
Fuentes de CaixaBank consultadas por el comparador de productos financieros HelpMyCash.com señalan que “toda la información que se envía desde nuestros servidores está cifrada con el protocolo TLS”. Además, la entidad aplica medidas de seguridad extra en sus aplicaciones de Android e iOS como “controles de modificación de la aplicación para evitar la intrusión de código malicioso, controles antitapjacking o herramientas de ofuscación de código, entre otras”.
El banco móvil N26, que está alojado en su totalidad en la nube, usa Amazon Web Services, lo que le “permite una mayor capacidad de reacción ante los cambios y realizar nuevas funciones con más rapidez”, explica el challenger bank a HelpMyCash. No obstante, “este servicio de alojamiento en la nube no quiere decir que Amazon tenga acceso a los datos de los clientes”. Entre las técnicas que usa la entidad para garantizar la privacidad se encuentran “la comunicación encriptada, el uso de datos cifrados, escáneres de vulnerabilidad y estándares globales y locales”.
“Este alojamiento en la nube define nuestra identidad y nos permite ofrecer los servicios al coste que lo hacemos actualmente. Si tuviéramos que ejecutar nuestro propio centro de datos, los costes serían mayores y también sería más lento el desarrollo de productos”, afirma Francisco Sierra, director general de N26 en España.
Además, la banca usa medidas adicionales para garantizar la seguridad de sus aplicaciones, como notificaciones push cuando se detecta un movimiento en la cuenta o varios factores de autentificación. N26, por ejemplo, solo permite acceder a una cuenta por la app en un dispositivo móvil a la vez. Por su parte, Openbank permite añadir un sistema de doble autenticación consistente en combinar un código recibido por SMS con la clave de firma para validar una operación. BBVA, por su parte, permite desde 2018 limitar la visibilidad de los productos en la app, así como restringir la operativa con las cuentas, las tarjetas y los productos de ahorro, de manera que solo se pueda consultar su posición, pero no operar con ellos.
Nuestro uso del móvil afecta a la seguridad
Para corregir vulnerabilidades y crear entornos lo más seguros posibles, la banca ha invertido millones en su proceso de digitalización. Pero está en nuestras manos convertir el móvil en una herramienta realmente segura. “Consideramos muy importante apoyar y difundir las buenas prácticas de seguridad”, afirman fuentes de Caixabank.
HelpMyCash ofrece algunos consejos para un uso seguro del teléfono móvil: verificar que se descarga la aplicación legítima del banco, escoger claves seguras y difíciles de adivinar y no usar aplicaciones bancarias con wifis públicos.
También es importante tener tanto el software del teléfono como la app del banco actualizados e instalar un antivirus. Además, podemos añadir un extra de seguridad incluyendo un sistema de bloqueo de la pantalla de inicio y un código pin para poder ejecutar la app del banco. Esta funcionalidad la ofrecen algunas compañías de antivirus y hace que cada vez que se intente acceder a una aplicación, se exija un paso previo de autentificación.
La tecnología perfecta no existe
En 2016 un estudio de la consultora Accenture en el que se analizaron 30 aplicaciones para iOS y Android de 15 bancos norteamericanos sacó los colores a la industria: todas las apps habían revelado al menos un problema de seguridad, como, por ejemplo, no tener el código ofuscado. Aunque lo cierto es que no todas las vulnerabilidades se clasificaban de alto riesgo.
Para adelantarse a los malhechores, N26 tiene en marcha el programa de recompensas por errores (bug bounty program) que premia con dinero a los especialistas en ciberseguridad que encuentren “errores o vulnerabilidades” e informen al banco para “poder repararlos mucho antes de que causen cualquier daño”.