Un informe de la organización británica para la defensa del consumidor Which? señala que diversas organizaciones bancarias podrían estar cometiendo múltiples errores de seguridad básicos en sus aplicaciones móviles, lo que podría exponer a millones de usuarios. Si bien los bancos aseguran mantener una limpieza y depuración, el fraude bancario ha incrementado casi un 97% durante el último año en Reino Unido, generando pérdidas millonarias.
Si bien en términos de diseño las aplicaciones y sitios web de banca en línea analizados en esta investigación son seguros, algunas de estas plataformas emplean mecanismos de seguridad que se consideran obsoletos o bien permiten el uso de contraseñas muy poco seguras, creando innecesariamente algunas potenciales debilidades de seguridad.
No es posible analizar toda la infraestructura de una app móvil por motivos de seguridad, aunque Which? pudo analizar algunas de las más populares plataformas de banca en línea, apegándose a criterios determinados, incluyendo cifrado, inicio de sesión, administración de cuentas y navegación, lo que permitió llegar a algunos hallazgos interesantes.
Según el informe, las aplicaciones de HSBC destacaron en las pruebas de seguridad, destacando en los campos de cifrado y gestión de cuentas. Como sabemos, entre mejor sea el cifrado en una plataforma, más problemas tendrá un actor de amenazas para descifrar el código. Al respecto, un portavoz de HSBC UK mencionó: “Desplegamos controles avanzados de ciberseguridad e identificamos y respondemos a las amenazas de manera oportuna para garantizar una experiencia perfecta para el cliente. Tomamos en cuenta todos los comentarios para mejorar nuestras medidas de seguridad”.
First Direct, subsidiaria de HSBC, cuenta con estándares de seguridad similares, aunque los investigadores encontraron un subdominio asociado al banco expuesto a ataques de fuerza bruta, lo que redujo su puntaje de seguridad.
La firma subsidiaria también fue alertada sobre diversos problemas de administración de cuentas, ya que sus sistemas permiten iniciar sesión en diferentes plataformas, manteniendo ambas sesiones activas. Las fallas fueron abordadas por First Direct después de recibir el reporte.
Sobre la seguridad de las apps de banca móvil en términos generales, los expertos mencionan que la exposición de subdominios es una condición que afecta a diversos bancos, incluyendo instituciones financieras como Metro Bank y Lloyds. Si bien los equipos de seguridad de estos bancos mencionaron que los subdominios identificados están inactivos, la recomendación es que deberían ser desactivados definitivamente para descartar cualquier riesgo.
Como puede ver, los principales problemas tienen que ver con la administración de plataformas en línea heredadas, que si bien no almacenan información financiera confidencial, son altamente vulnerables a la actividad maliciosa. El informe completo está disponible en las plataformas oficiales de Which?
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.