El mercado cripto debe poner atención a los procesos de verificación de la identidad, como primer paso en una relación de confianza con los clientes.
Fortnite para Android es un riesgo pionero para la banca móvil
El siguiente artículo, escrito por Sam Bakken, Senior Product Marketing Manager de OneSpan, apareció por primera vez el 14/8/18 en App Developer Magazine con el título original «Fortnite for Android Is a Trailblazing Risk for Mobile Banking-Fortnite para Android es un riesgo pionero para la banca móvil«.
El CEO-director ejecutivo Tim Sweeny de Epic Games, editor del popular juego Fortnite, tiene la misión de «avanzar en la apertura de todas las plataformas» – sin mencionar el 30% de las ganancias de los desarrolladores de Google al distribuir Fortnite para la plataforma Android a través de su sitio web en lugar de la tienda Google Play. Es aplaudido que un inconformista desafíe el statu quo, pero esta medida podría acabar con lo que se considera una buena seguridad móvil y dificultar que los bancos se protejan a sí mismos y a sus usuarios contra los ataques dirigidos a los servicios financieros móviles.
¿Vale la pena jugar a Fortnite para Android y arriesgar la seguridad móvil?
Hace apenas unos meses, las falsas aplicaciones Android que se hacían pasar por el juego Fortnite circulaban desenfrenadamente fuera de la Google Play Store. En algunos casos, los videos de YouTube dirigieron a la gente a un sitio web para descargar Fortnite para Android, pero lo que obtuvieron en su lugar fue una aplicación que continuamente presentaba pantallas que les exigían descargar otras aplicaciones antes de que pudieran descargar la aplicación real. Pero, la descarga real nunca llegó, y mientras tanto los desarrolladores de esas aplicaciones falsas acumularon ingresos de afiliados por cada descarga. En el lado más serio del asunto, cabe destacar que una aplicación falsa de Fortnite para Android disponible en tiendas de terceros, comenzó a registrar llamadas en el momento de la instalación, así como a solicitar al usuario que le concediera privilegios adicionales.
Como se menciona en la App Developer Magazine, Android intenta combatir los peligros de los usuarios que instalan aplicaciones de fuentes distintas a la tienda oficial con un ajuste llamado «Permitir fuentes desconocidas». Para descargar aplicaciones de una fuente distinta a Google Play Store, los usuarios deben habilitar la configuración en su dispositivo. Con el plan de distribución de Epic Games, se pedirá a los usuarios de Android que hagan lo mismo, lo que exige que pongan en peligro la seguridad de su dispositivo Android.
Android 8.0 y versiones posteriores permiten una activación más detallada de la configuración, aplicación por aplicación (es decir, sólo para ciertas fuentes de confianza como Epic Games, por ejemplo) en lugar de un permiso general para todas las fuentes desconocidas. Desafortunadamente, a partir del 23 de julio de 2018, sólo el 12 % de los usuarios de Android tienen la versión 8.0 o superior. Es posible que la mayoría de los usuarios de Android (88%) que deseen descargar Fortnite en su dispositivo, se vuelvan más vulnerables a la suplantación de identidad (phishing), SMShing (nuevo tipo de delito o actividad criminal a base de técnicas de ingeniería social con mensajes de texto dirigidos a los usuarios de telefonía móvil) y otros programas que dependen de engañar a los usuarios para que descarguen aplicaciones Android maliciosas desde fuentes distintas a la tienda Google Play.
Sweeney dijo que los usuarios de versiones de Android anteriores a la 8.0 pueden deshabilitar «Permitir fuentes desconocidas» después de haber descargado Fortnite. Como se explica en App Developer Magazine, no se considera práctico que los usuarios lo hagan. Necesitan hacer clic y desplazarse por varias pantallas, y es posible que algunos usuarios no vuelvan a encontrar la configuración si así lo desean. Puede que Epic Games añada una notificación in-app que recuerde a los usuarios cómo hacerlo en la versión de Android. E incluso entonces, ¿qué pasa con las actualizaciones de la aplicación Fortnite y en qué punto el activar y desactivar la configuración se convierte en una molestia con el resultado de que los usuarios simplemente la dejen encendida?
El impacto en los bancos y servicios financieros móviles
Por un lado, es posible que una cantidad significativa de usuarios de banca móvil reduzcan el nivel de seguridad de su dispositivo Android para descargar y reproducir la aplicación Fortnite. Esto aumenta el riesgo en esos dispositivos, exponiendo potencialmente las aplicaciones de banca móvil al malware (tipo de amenaza informática). Esta misma semana, el proveedor de antivirus Kasperskyinformó que había identificado un máximo histórico de más de 61.000 paquetes de instalación de Troyanos para banca móvil en el segundo trimestre de 2018 (un aumento del 209% con respecto al primer trimestre de 2018). Es cierto que los troyanos de banca móvil también pueden pasar por alto la seguridad de Google Play, pero las amenazas de la banca móvil van en aumento y Epic Games no está haciendo ningún favor a las instituciones financieras.
En segundo lugar, los bancos necesitan toda la ayuda que puedan obtener para informar a sus clientes sobre la descarga de aplicaciones oficiales de servicios financieros para móviles desde la Apple App Store o la Google Play Store. En lo que se conoce como ataques de reempaquetado de aplicaciones, los maliciosos desarrolladores tomarán una aplicación de un canal oficial, insertarán un código falso, lo redistribuirán a través de canales oficiales o no oficiales y convencerán a los usuarios para que descarguen y usen lo que consideran una aplicación legítima. Sin embargo, el verdadero propósito de las nuevas aplicaciones no es otro que robar las credenciales bancarias del usuario. Cuantos más usuarios se sientan cómodos con la descarga de aplicaciones móviles de canales no oficiales, es posible que más usuarios sean víctimas de estos sofisticados ataques.
¿Qué pueden hacer las aplicaciones de Banca Móvil ante el aumento de las amenazas móviles y los riesgos de la descarga de aplicaciones?
La aplicación móvil de un banco se implementa en entornos no confiables sobre los que no tienen control. Por lo tanto, necesitan proteger las cuentas de sus usuarios con una autenticación sólida y proteger la propia aplicación y su tiempo de ejecución en estos entornos potencialmente peligrosos.
La tecnología de protección de aplicaciones facilita la incorporación de seguridad avanzada de aplicaciones móviles en un programa sin mucho esfuerzo de desarrollo. Una aplicación móvil protegida detectará automáticamente y responderá a condiciones peligrosas (por ejemplo, las que resultan de las descargas de aplicaciones), incluyendo:
- Dispositivos afectados
- Ingeniería inversa
- Reempaquetado de aplicaciones
- Inyección de código
- Keyloggers – registradores de teclados (se encargan de registrar las pulsaciones que se realizan en el teclado, para posteriormente memorizarlas en un fichero o enviarlas a través de internet) y lectores de pantalla
- Ataques de superposición y más
Es posible que dentro de 5 o 10 años, Epic Games sea considerado un precursor. Y tal vez Android responda a este desarrollo con mejoras que hagan que la plataforma Android sea más segura de lo que es hoy en día. Sin embargo, con el lanzamiento de Fortnite para Android, no se espera que Google tenga tiempo suficiente para hacer ajustes que protejan a los usuarios contra una falta de seguridad móvil tan potencialmente peligrosa.
Contacta con nosotros
Entradas relacionadas
