Cómo ser pioneros en la mitigación del fraude por banca móvil

Ralitsa Miteva, 10 de Febrero de 2022

En este nuevo mundo digital, usamos nuestros dispositivos móviles más que nunca, especialmente a la hora de comunicarnos con servicios financieros y manejar nuestras cuentas bancarias de forma remota. En el Reino Unido, los clientes de los bancos dependen cada vez más de los canales móviles para sus necesidades financieras, por ejemplo, los datos de Statista muestran que en 2008 solo el 38% de los británicos usaba la banca móvil y en línea, mientras que, en 2021, tras la pandemia, esta cifra se disparó al 80%. El año pasado, UK Finance reportó tque el aumento del fraude bancario está directamente relacionado con el cambio hacia la banca digital. Es una mina de oro para los ciberdelincuentes, y el panorama no cambiará en 2022.

Recientemente, han salido a la luz investigaciones que proporcionan evidencia adicional de que las aplicaciones de banca móvil son un objetivo muy atractivo para algunos defraudadores. Estas investigaciones señalan que los criminales cibernéticos han adaptado sus técnicas a fin de encontrar nuevas formas de evitar las restricciones de la tienda virtual de Google Play Las llamadas aplicaciones "dropper", por ejemplo, pueden ser inofensivas durante meses, pero más tarde pueden actualizarse gradualmente e incorporar código malicioso. Debido a la naturaleza lenta de estos ataques, los análisis antivirus simples no siempre identifican la amenaza. Una vez que la aplicación está lista, los estafadores pueden usar el código para descargar aplicaciones sin el permiso del usuario y, en última instancia, descargar código troyano a través de Android.

Google continúa actualizando la forma en que controla las aplicaciones en su Play Store, sin embargo, las instituciones financieras (IF) deben saber que las campañas de fraude móvil también seguirán evolucionando y tratando de burlar la seguridad de Google. Es muy importante entender que la seguridad siempre es provisional y la carrera continúa. Por eso, las buenas prácticas en cuanto a la seguridad de un dispositivo pueden y deben cambiar con el tiempo. En el caso del ejemplo anterior, antes de que la aplicación «dropper» descargar el código malicioso, es posible suponer que el dispositivo era seguro. Veamos exactamente cómo ocurren estos ataques, qué se ha hecho para contrarrestarlos, y cómo los bancos pueden mitigar ataques similares en el futuro y proteger a sus clientes.

Defending Against Large-Scale Mobile Banking Malware Webinar
Live Webinar - March 22nd

Defending Against Large-Scale Mobile Banking Malware

In this webinar on March 22nd, OneSpan security experts will discuss mobile malware types and which processes, technologies and strategies can be used to protect your customers.

Register Now

Lecciones que aprender: desde el canal móvil hasta las cuentas bancarias

Las aplicaciones móviles se crean a través de cientos, si no miles, de líneas de código, por lo que Google Play no tiene más remedio que automatizar muchos de los chequeos que existen para detectar código malicioso. Esto sucede con miles de aplicaciones cada día. Ahora estamos viendo que estas aplicaciones que se utilizan para infiltrarse en las tiendas de aplicaciones tienen alguna funcionalidad y parecen seguras cuando pasan por escaneos de detección, hasta el momento en que los ciberdelincuentes deciden implementar cualquier tipo de fraude.

Una vez que se ha cargado el código malicioso, los atacantes pueden engañar a los usuarios fácilmente, pidiéndoles que descarguen una actualización de la aplicación desde una fuente desconocida o de terceros.
La actualización permite abusar de la configuración de accesibilidad, que en realidad está diseñada para simplificar el uso del teléfono para personas con discapacidades, y utilizarla para automatizar las funciones de los dispositivos móviles y realizar operaciones fraudulentas. Algunas de estas aplicaciones maliciosas han permitido abusar de la configuración para montar ataques de capas e insertar registradores de pulsaciones de teclas para robar datos confidenciales como nombres de usuario, dirección de correo y contraseñas. Otra modalidad de fraude consiste en ejecutar líneas de código con el fin de robar datos personales como número de tarjeta, nip u otra información. Para adelantarse a estas amenazas, los diferentes sectores deben ser proactivos con respecto a la ciberseguridad de las aplicaciones móviles.

La seguridad como alianza

Google y los demás proveedores de tiendas de aplicaciones seguirán revisando sus procedimientos de seguridad para que sus plataformas y dispositivos sean más seguros. Pero las grandes empresas de tecnología como Google tienen que lidiar con tantas nuevas aplicaciones y actualizaciones que es inevitable que muchas aplicaciones maliciosas terminen en la tienda.
Durante mucho tiempo, también ha sido importante educar a los clientes sobre las amenazas que enfrentan. Los bancos hacen esfuerzos claros para advertir a los clientes sobre posibles amenazas, pidiéndoles, por ejemplo, que no hagan clic en enlaces sospechosos de mensajes de texto o correos electrónicos ni descarguen nada que provenga de número de teléfono de remitentes desconocidos o fuentes no confiables.

Pero la verdad es que es inevitable que alguien cometa un error, y comparta información confidencial, ya que los estafadores utilizan diferentes técnicas para ganarse la confianza de los usuarios. Con aplicaciones que parecen completamente inofensivas, es muy fácil que suceda. Para cuando un banco advierte a sus clientes sobre un posible fraude y amenazas específicas, lo más probable es que los estafadores ya estén evolucionando más allá de esas técnicas, encontrando nuevas formas de engañar a sus desprevenidas víctimas.

Incluso cuando las grandes empresas de tecnología actualizan los requisitos de seguridad para sus tiendas de aplicaciones de forma proactiva y se esfuerzan por educar colectivamente a sus clientes, las tecnologías de seguridad avanzadas son esenciales para llenar los vacíos y mitigar la actividad fraudulenta, ya sea de amenazas conocidas o desconocidas.

Garantía de seguridad incluso en entornos inseguros

Los bancos y las IF no tienen control sobre lo que sus usuarios hacen en sus dispositivos móviles fuera de sus aplicaciones. Por lo tanto, el primer paso para proteger las aplicaciones de banca móvil es asumir que las aplicaciones funcionan regularmente en entornos inseguros. Sin este enfoque, la responsabilidad por la seguridad se transfiere implícitamente a las grandes empresas tecnológicas. Sin embargo, los clientes seguirán esperando que su banco proteja su información personal y el dinero en sus cuentas.

Para mitigar este tipo de ataques, las aplicaciones bancarias deben implementar tecnologías que puedan identificar cualquier actividad maliciosa o interferir con una aplicación móvil, y hacerlo antes de que se puedan robar los fondos, incluso cuando se trate de amenazas nunca antes vistas. App shielding (la función de blindaje de aplicaciones) combinada con una sólida autenticación del cliente, puede mitigar el potencial de robo de contraseñas y garantizar la integridad del entorno de tiempo de ejecución de una aplicación y así detectar interferencias maliciosas con la aplicación y cerrarla, incluso en dispositivos infectados.

App Shielding garantiza una seguridad sólida contra amenazas desconocidas en dispositivos inseguros, pero los mecanismos de seguridad que utiliza tienen poco o ningún impacto en la experiencia del usuario.

Para cuando se habla de las últimas técnicas que los estafadores están empleando para cometer fraude, ellos ya están planificando e innovando para implementar nuevos tipos de ataques. Durante el próximo año, los investigadores en México y el mundo,continuarán documentando nuevas amenazas y técnicas de fraude, pero mitigar el daño de estas futuras amenazas requerirá la implementación de tecnologías avanzadas que sean capaces de identificar y prevenir nuevas amenazas a medida que surjan.

Mobile App Shielding
White Paper

Protección de aplicaciones móviles: cómo reducir el fraude, ahorrar dinero y proteger los ingresos

Descubra cómo el blindaje de aplicaciones con protección en tiempo de ejecución es clave para desarrollar una aplicación de banca móvil segura y resistente.

Descargar ahora

Este blog, escrito por Ralitsa Miteva, Gerente de Identidad Digital y Seguridad Móvil en OneSpan, se publicó por primera vez el Information-Age.com.

Ralitsa Miteva es gerente de soluciones de prevención y detección de fraude en OneSpan, donde asesora a instituciones financieras y otras organizaciones sobre el panorama del fraude en evolución y las ayuda a superar los nuevos desafíos de prevención durante su transformación digital.