5 formas en que los bancos pueden proteger las aplicaciones y transacciones para seguridad de la banca móvil

Sarah Dixon, 4 de Febrero de 2022

Los ataques a la banca móvil siguen yendo en aumento, y la sofisticación y el volumen de los ataques de fraude también aumentan año tras año. Un informe de Threat Intelligence de 2021 que estudió más de 200 millones de dispositivos en todo el mundo vio un aumento del 80% en el primer semestre de 2021 en el número de ataques troyanos que atacan dispositivos e intentan robar contraseñas de un solo uso de mensajes SMS. En junio de 2020, el FBI emitió una advertencia de seguridad cibernética anticipando un aumento en la cantidad de ataques de ciberdelincuentes a clientes de banca móvil debido al aumento en el uso de aplicaciones bancarias y la disminución de las operaciones en las sucursales y en los cajeros automáticos, en parte debido a la pandemia de COVID-19. Con más clientes realizando operaciones bancarias y transacciones financieras en línea en sus dispositivos móviles y menos barreras para los atacantes, las instituciones financieras necesitan implementar medidas de seguridad avanzadas para proteger tanto a sus clientes como a su marca, y hacerlo urgentemente.

Driving Up Digital Account Opening Completion Rates with Hybrid Banking
Escuche la versión en audio (solo en inglés) de este artículo:

5 Ways Banks Can Protect Mobile Banking Apps and Transactions

Audio file

En una entrevista en video reciente, Greg Hancell, director de estrategia de datos en la gestión de productos en OneSpan, analizó los métodos y tecnologías que las instituciones financieras pueden usar para proteger los dispositivos y las transacciones de sus clientes. En este artículo, lo guiamos a través de sus cinco recomendaciones principales, proporcionándole también más información de expertos en seguridad.

  • Elimine las contraseñas estáticas y cambie a una autenticación de cliente sólida
  • Utilice la autenticación contextual con análisis de comportamiento
  • Aplique un canal seguro con cifrado de principio a fin
  • Aplique seguridad avanzada de aplicaciones y detección de malware
  • Aumente la confianza protegiendo la banca móvil

¿Cuáles son los diferentes tipos de ataques a la banca móvil?

Los ataques a la banca móvil podrían incluir, entre otros:

  • Ataques de emulador – En estos ataques, los estafadores aprovechan los dispositivos de los usuarios que contienen malware para robar información confidencial como datos y contraseñas. Los delincuentes transmiten esos datos a los emuladores, que simulan ser un usuario legítimo y así automatizan el flujo de interacciones típicas de la aplicación, lo que permite a los atacantes interceptar códigos de mensajes de texto SMS para obtener autorizaciones y aprobar transacciones bancarias fraudulentas.
  • Intercambio de SIM – Esta estafa es un tipo de toma de control de cuentas en el que los estafadores utilizan técnicas de ingeniería social para transferir el número de teléfono móvil de la víctima a una nueva tarjeta SIM, lo que permite al atacante realizar transacciones fraudulentas mediante autenticación de dos factores (2FA) con verificación por SMS. Las instituciones financieras pueden ayudar a mitigar el riesgo de fraude de intercambio de SIM integrando la autenticación de software en la aplicación de banca móvil.
  • Phishing móvil: los atacantes envían un mensaje de texto o correo electrónico con un enlace que contiene un enlace malicioso. La víctima hace clic en el enlace y se le puede pedir que ingrese datos personales en una página web que parece genuina o  que, sin que la persona se dé cuenta, descargue software espía en su dispositivo.
  • Ataques troyanos de banca móvil: descarga de un archivo o aplicación de terceros que parece ser legítimo, ya sea de las tiendas de aplicaciones de Android (Google Play) o Apple (App Store) o a través de descargas directas del sitio, pero que en realidad oculta malware que tiene como objetivo las aplicaciones de banca móvil en el teléfono móvil en el que se descarga. El malware puede capturar información bancaria y otros datos confidenciales de un usuario para robar su número de cuenta, identidad, obtener credenciales de inicio de sesión, infiltrarse en su cuenta bancaria o interceptar transferencias de fondos.

Cómo proteger los dispositivos y las transacciones contra ataques de banca móvil y actividades sospechosas con capas de seguridad

1. Elimine las contraseñas estáticas y cambie a una autenticación de cliente sólida

El primer consejo de Greg para solucionar las vulnerabilidades está relacionado con autenticación del usuario: los pasos que sigue un cliente para autenticarse al iniciar sesión o al realizar una transacción.

“Si está utilizando contraseñas estáticas, pase a la autenticación de segundo factor. Si está utilizando SMS para la autenticación de segundo factor, cambie a una autenticación de cliente sólida. Si está utilizando una autenticación sólida de clientes, pase a la vinculación dinámica y la autenticación contextual”.

El estándar de oro de la seguridad bancaria que Greg aconseja para las instituciones financieras es una sólida autenticación del cliente con enlace dinámico y autenticación contextual.

La autenticación sólida de clientes utiliza la autenticación multifactor (MFA) para autenticar la identidad de un cliente durante el inicio de sesión y la autorización de transacciones. En lugar de una contraseña segura, la autenticación multifactor usa tres factores comunes: algo que alguien 'sabe', como un PIN, algo que 'tiene', como un dispositivo móvil o token de hardware, y algo que 'es', como como una huella dactilar biométrica o un escaneo facial.

2. Utilice la autenticación contextual con análisis de comportamiento

La autenticación contextual, también conocida como autenticación adaptativa tiene en cuenta el contexto o el comportamiento que rodea a un evento, como el inicio de sesión, la creación de beneficiarios y la transacción. La autenticación adaptativa y el análisis de los hábitos de navegación revisan grandes cantidades de datos relacionados con el comportamiento del usuario, el dispositivo del teléfono celular y la transacción en tiempo real, lo que genera una puntuación de riesgo. Esta puntuación desencadena flujos de trabajo de seguridad automatizados que aplican la seguridad requerida. Greg aconseja que:

“Los bancos también quieren aplicar análisis de comportamiento. Es necesario poder comprender qué hace normalmente el usuario, cuándo se conecta normalmente y qué tipos de dispositivos tiene. También debe asegurarse de que realmente puede comprender sus interacciones en ese dispositivo desde una perspectiva financiera”.

Al comprender el comportamiento típico de un usuario, los bancos, las instituciones financieras y las organizaciones de servicios financieros pueden aplicar desafíos de autenticación adicionales cuando el comportamiento del usuario se desvía de su actividad normal. En su artículo de 2021 Autenticación avanzada: Un plan de ataque para su pila de autenticación. El experto en seguridad Sam Bakken explica con más detalle cómo funciona:

Un «orchestration hub» que tiene un sistema avanzado de prevención de fraude como punto básico, puede usar inteligencia artificial y aprendizaje automático para evaluar si el comportamiento de un usuario coincide con lo que se espera de una persona real al realizar una transacción legítima. Si la transacción parece sospechosa, la identidad digital del cliente se puede confirmar con un nuevo desafío de autenticación y un segundo factor, lo que asegura un acceso seguro a la aplicación.»

3. Aplique un canal seguro con cifrado de principio a fin

Para aplicar la más alta seguridad de aplicaciones móviles para la comunicación entre un servidor y el iPhone, teléfono inteligente o dispositivo móvil de un cliente, Greg recomienda que las instituciones financieras implementen el cifrado de principio a fin con un canal seguro.

"Un canal seguro significa que solo el dispositivo del usuario puede descifrar y ver la contraseña de un solo uso y los detalles relacionados, más el contexto".

Esta capa adicional de protección funciona mediante el cifrado independiente de datos en el lado del servidor para su descifrado en el dispositivo móvil. Garantiza el transporte seguro hacia y desde el dispositivo, lo que permite una comunicación confiable entre el usuario y el servidor. Cuando se usa con protección de aplicaciones, esta capa impide que el malware intercepte las contraseñas de un solo uso enviadas en textos claros, como los SMS, y proporciona un contexto enriquecido al servidor, el cual toma una decisión basada en el riesgo sobre el usuario y su dispositivo.

4. Aplique seguridad avanzada de aplicaciones y detección de malware

Además de mejorar la seguridad de la autenticación de transacciones, Greg también aconseja que los bancos apliquen seguridad de aplicación avanzada:

“Desde un espacio de banca móvil, haga uso de la seguridad de aplicaciones avanzadas como endurecimiento de aplicaciones, anti-manipulación y detección de malware”.

El blindaje y el endurecimiento de aplicaciones son tipos de protección en la aplicación con ofuscación de código, detección de «debuggers», detección de superposición y otras técnicas para proteger las aplicaciones contra ataques como la ingeniería inversa y la manipulación. Incluyen medidas para aumentar el nivel de esfuerzo requerido para que un actor malintencionado ataque una aplicación.

Sony Bank, un banco directo japonés, implementó el blindaje de aplicaciones para proteger su aplicación de banca móvil. El blindaje de aplicaciones protege la aplicación móvil de Sony Bank al evitar las técnicas de ingeniería inversa. Consigue esto a través de ofuscación de código y tecnología anti-reempaquetado. También detecta amenazas como el registro de teclas malicioso, lectores de pantalla, depuradores, emuladores y ataques superpuestos.

5. Aumente la confianza protegiendo la banca móvil

En un artículo de 2021 Desarrollo seguro de aplicaciones móviles: El argumento comercial para el blindaje de aplicaciones, argumentamos que el valor de la protección de aplicaciones va más allá de mitigar las amenazas móviles y el código malicioso en el lado del cliente.

“La protección de aplicaciones también puede aumentar la confianza, mejorar la experiencia del cliente e impactar en el crecimiento de los ingresos positivamente, así como la retención de ingresos, la reducción de costos y el ahorro de costes... Las investigaciones sugieren que los usuarios móviles que confían en su institución financiera para proteger su información personal, de cuenta y de pagos están más involucrados y realizan más transacciones en el canal móvil. La protección de aplicaciones, junto con un programa integral de seguridad de aplicaciones móviles, reduce en gran medida los riesgos de seguridad de las aplicaciones móviles, lo que a su vez aumenta la confianza en un banco”.

Greg Hancell confirma esta afirmación y está de acuerdo en que aplicar el tipo de seguridad adecuado y proteger los datos personales de los clientes es fundamental para aumentar la confianza de los clientes en el canal móvil.

“Si aplica el tipo de seguridad adecuado, puede aumentar la confianza en su canal digital a través del móvil”.

Cómo comenzar con el blindaje de aplicaciones móviles para proteger las aplicaciones móviles y los servicios bancarios

Desarrollar una aplicación de banca móvil exitosa no es una tarea fácil y los equipos de desarrollo se enfrentan a muchas presiones distintas. Si bien es importante crear, probar y publicar una aplicación lo más rápido posible, también es esencial proteger las aplicaciones de banca móvil.

Comenzar con Mobile App Shielding es fácil y se puede aplicar en minutos. Algunos de los bancos e instituciones financieras más grandes del mundo usan OneSpan App Shielding para cumplir con sus rigurosos requisitos de seguridad de aplicaciones móviles sin ralentizar sus lanzamientos de aplicaciones. NewB, un banco exclusivamente digital, utiliza el blindaje de aplicaciones y autenticación basada en la nube para proteger a los usuarios, sus aplicaciones móviles y sus transacciones. En cuanto a la velocidad de la integración, dijeron que «solo necesitamos unos días para configurar la capacidad de protección de la aplicación móvil de OneSpan para proteger la aplicación de banca móvil NewB que acabábamos de crear».

Raiffeisen Italia también utiliza el blindaje de aplicaciones móviles para proteger su aplicación y fue el primero en comercializar con la tecnología en Italia. Ahora, el banco puede detectar y bloquear ataques en su aplicación de autenticación en tiempo real, sin interrumpir la experiencia del cliente. App Shielding fue fácil de integrar y no supuso una carga para sus desarrolladores. El Oficial de Información Jefe del banco, Alexander Kiesswetter, aconsejó a las instituciones financieras que quieran hacer lo mismo que "elijan un socio sólido con una visión estratégica de hacia dónde puede dirigirse su transformación digital en el futuro".

Blindaje de Aplicaciones Móviles
White Paper

Protección de aplicaciones móviles: cómo reducir el fraude, ahorrar dinero y proteger los ingresos

Descubra cómo el blindaje de aplicaciones con protección en tiempo de ejecución es clave para desarrollar una aplicación de banca móvil segura y resistente.

Descargar ahora

Sarah es una experta en marketing tecnológico con más de 9 años de experiencia en marketing en empresas B2B SaaS de rápido crecimiento y en empresas de servicios profesionales dentro de los servicios financieros y jurídicos