Las nuevas formas de autenticación marcarán el futuro de la identidad digital, con la privacidad como piedra angular.
Lidiar con los Ataques de Superposición: Adopción de seguridad integrada para proteger la experiencia móvil
El desarrollo de la tecnología móvil y la creciente importancia de la ciberseguridad han sido noticia durante el último año. Al mismo tiempo, una de las mayores amenazas actuales contra los móviles son los ataques de superposición, que combinan la ingeniería social con las deficiencias de seguridad de las aplicaciones móviles, consiguiendo engañar a los usuarios y hacer que compartan datos confidenciales.
En el pasado, estos ataques sólo se producían en Rusia, pero ya están ocurriendo los primeros casos en Europa, como el programa malicioso MazarBot para Android en los Estados Unidos, y es probable que ocurran muchos más.
Entonces, ¿cómo funciona? ¿Qué se puede hacer al respecto? ¿Qué pueden hacer las organizaciones e instituciones financieras para evitar ser víctimas de estos ataques maliciosos?
Comprender la amenaza y lo que significa para las aplicaciones de banca móvil
En la mayoría de los casos, el programa malicioso superpuesto toma la forma de un troyano y se descarga como una aplicación supuestamente legítima desde un sitio web o tienda de aplicaciones auténtica. También se puede instalar desde un disco duro, es decir que el usuario sólo necesita navegar en una página web determinada para estar en peligro.
Como se explica en la revista Infosecurity, el programa malicioso permanece inactivo en los dispositivos infectados, esperando a que el usuario abra una aplicación bancaria. Una vez que esto sucede, el programa malicioso oculta la aplicación legítima, algo que la mayoría de las aplicaciones no detectan por sí mismas. En otras palabras, la aplicación no sabe que ha sido relegada a un segundo plano y sigue funcionando con normalidad.
Simultáneamente, el programa malicioso crea una ventana que imita el aspecto de la aplicación afectada. Por lo tanto, a todos los efectos, el usuario cree que sigue interactuando con su aplicación de banca móvil.
Dado que el usuario desconoce que el programa malicioso se está ejecutando, procede a introducir sus datos confidenciales en la aplicación bancaria (desde contraseñas, códigos o datos financieros). Esta información es robada por el programa malicioso, y los datos son alterados para que el usuario, sin saberlo, envíe transacciones a los delincuentes que están detrás del programa malicioso.
Cruce de Fronteras Geográficas: BankBot
Un ejemplo reciente de este programa malicioso troyano es BankBot. Mientras que los ejemplos más antiguos de BankBot ocurrían principalmente en las instituciones financieras rusas, en abril de 2017 la empresa holandesa Securify encontró un nuevo ejemplo del programa malicioso, lo que demuestra que BankBot también se daba en bancos europeos y estadounidenses.
Las repeticiones más recientes de BankBot han ocurrido en al menos 420 bancos de países como Alemania, Francia, Austria, los Países Bajos, Turquía y los Estados Unidos. BankBot, primero disfrazado de una aplicación de predicción meteorológica y luego de diferentes aplicaciones de vídeo, se puede descargar desde Google Play y engaña a los usuarios para que proporcionen nombres de usuario, contraseñas, códigos PIN y detalles de tarjetas, así como para que intercepten mensajes de texto SMS.
Esto significa que BankBot puede detener el mensaje de texto enviado por las aplicaciones bancarias para autorizar los pagos. Desafortunadamente el usuario solo se da cuenta de ello cuando sus balances comienzan a disminuir, o cuando las transacciones son redirigidas a otras cuentas.
Tomar la responsabilidad: ¿Desarrolladores o proveedores?
Entonces, ¿quién es el responsable de proteger contra los ataques de superposición móvil? ¿Es el desarrollador o el proveedor de la aplicación? Sería conveniente que ambos trabajasen juntos, lo que aseguraría que los cibercriminales no pudiesen comprometer la seguridad de los usuarios solo con encontrar un punto débil en alguna aplicación.
La aplicación bancaria en sí misma debe tener una seguridad integrada que detecte cuando la aplicación ha sido atacada por un programa malicioso e impida que el usuario ingrese cualquier dato confidencial. Sin embargo, los programas maliciosos siguen evolucionando, por lo que siempre existe la posibilidad de que se exploren nuevos puntos débiles de una aplicación, momento en el que el esfuerzo conjunto de desarrolladores y proveedores es más importante.
La Solución: RASP Y 2FA
El mejor método es la sofisticada Autoprotección de Aplicaciones en Tiempo de Ejecución (del inglés, “Runtime Application Self-Protection”, RASP) que integra la seguridad de varias capas directamente en las aplicaciones móviles. Así que, en lugar de tener sólo una capa de seguridad que atravesar, los hackers tendrían que comprometer numerosas y complicadas capas de seguridad para empezar.
RASP también tiene en cuenta el comportamiento del usuario, así como códigos específicos, lo que significa que tiene una mayor capacidad para prevenir ataques de superposición. Sin embargo, para ser realmente eficaz, la solución RASP no debe proporcionar protección contra programas maliciosos específicas (por ejemplo, la última versión del programa malicioso de BankBot), sino contra múltiples familias de programas maliciosos, como BankBot, svpeng y Marcher. Muchos programas maliciosos utilizan técnicas similares para crear superposiciones, por lo que las soluciones RASP genéricas proporcionarán una protección más adecuada.
Si esto se combina con la autenticación de dos-factores (en inglés, “Two Factor Authentication”, 2FA), incluso aunque un hacker obtenga las credenciales de un usuario, no le servirán, ya que necesita una segunda parte de información, como un código de un solo uso, posesión de un dispositivo físico, autenticación biométrica, y así sucesivamente.
Evidentemente, la tecnología para prevenir los ataques de superposición ya existe, pero la duda existente es quién asumirá la responsabilidad de que todo funcione conjuntamente. Hay mucho que ganar integrando la seguridad de las aplicaciones, la autenticación de dos-factores y cualquier otra solución que garantice la confianza y la tranquilidad de los usuarios, especialmente para las instituciones financieras que tienen el deber de proteger los datos y activos de los clientes. Teniendo en cuenta el gran esfuerzo que estas organizaciones hacen por asegurar que sus aplicaciones sean realmente seguras, ¿no deberían ser tan seguras como dicen que lo son?
Fuente: Blog Vasco
Contacta con nosotros
Entradas relacionadas
