El FBI advierte del aumento de las amenazas a la banca móvil: ¿quién es el responsable, los bancos o los usuarios?

Samuel Bakken, 12 de Junio de 2020

Parecía obvio que la COVID-19 y las órdenes de permanencia asociadas conducirían a un aumento de la banca digital a distancia. Y ahora, vemos datos concretos que demuestran que esa suposición es cierta. Al mismo tiempo, los organismos encargados de la aplicación de la ley, como el FBI, advierten a los consumidores de que los atacantes están respondiendo al aumento de la actividad bancaria digital incrementando sus inversiones de tiempo y esfuerzo para estafar a la gente explotando las plataformas bancarias móviles.

Sí, tenemos que educar a los consumidores para que estén atentos y aprovechen los elementos de seguridad que les ofrece su banco. Sin embargo, dependen casi por completo de su banco, del fabricante del dispositivo y/o del operador de telefonía móvil para mantenerse a salvo. Yo sostengo que las instituciones financieras deben asumir la responsabilidad de asegurarse de que también están aumentando sus inversiones en la última y mejor tecnología de seguridad de aplicaciones móviles para proteger a sus usuarios.

El aumento de las amenazas no puede estar muy lejos del aumento de la actividad bancaria móvil

Según datos citados por la Oficina Federal de Investigación (FBI) de Estados Unidos en un anuncio de servicio público publicado hace días, "los estudios de datos financieros de Estados Unidos indican un aumento del 50% en la banca móvil desde principios de 2020" Una encuesta reciente de Aite realizada a 2.413 consumidores estadounidenses en el primer trimestre de 2020 reveló que el 86% de los millennials mayores, el 83% de los millennials jóvenes, el 72% de los Gen Xers, el 38% de los baby boomers y el 17% de los mayores inician sesión en cuentas bancarias utilizando su teléfono móvil al menos una vez a la semana.

Incluso el volumen de las transacciones bancarias móviles de las empresas está aumentando. Citi informa de que los usuarios de su app de banca móvil para empresas, CitiDirect BE, se han multiplicado por diez en marzo de 2020 con respecto a marzo de 2019.

Tanto los empresarios como los ciberdelincuentes siguen las tendencias del mercado en busca de pistas sobre dónde pueden encontrar su próxima oportunidad. El aumento del volumen de transacciones bancarias por móvil hace que el canal móvil sea un objetivo más jugoso para los atacantes.

¿Cuáles son los riesgos de los móviles sobre los que advierte el FBI?

En el anuncio, el FBI advierte a los consumidores sobre las amenazas móviles, como los troyanos bancarios para móviles y las aplicaciones bancarias falsas

Los troyanos bancarios móviles parecen ser aplicaciones legítimas, pero en realidad incluyen código malicioso en su interior. Cuando un usuario abre una aplicación bancaria legítima, el troyano de banca móvil que había estado al acecho entra en acción y coloca una pantalla de inicio de sesión falsa sobre la aplicación legítima con el objetivo de engañar al usuario para que divulgue sus credenciales bancarias. Las vulnerabilidades de Android, como la vulnerabilidad StrandHogg, StrandHogg 2.0 y otras, hacen posible este tipo de ataques.

En segundo lugar, los atacantes crearán aplicaciones bancarias móviles falsas que parezcan aplicaciones bancarias legítimas y que en realidad tengan objetivos maliciosos. El FBI cita datos de que en 2018 se encontraron casi 65.000 aplicaciones falsas en las "principales tiendas de aplicaciones" Si un usuario es engañado para descargar una de estas aplicaciones falsas, puede exponer sus credenciales cuando intente iniciar sesión. En esquemas más sofisticados, estas aplicaciones también pedirán permisos para acceder a los mensajes SMS con el fin de evitar la autenticación de dos factores.

¿Son los usuarios capaces de protegerse a sí mismos?

El FBI ofrece una serie de sugerencias para que los consumidores se protejan contra este previsible aumento de los ataques a la banca móvil:

  • Utilizar una autenticación fuerte de dos factores: me alegra ver que el FBI recomienda la biometría, las aplicaciones de autenticación o los tokens de hardware, pero no recomienda los mensajes SMS para este fin. Los mensajes SMS son mejores que nada, pero se sabe que son vulnerables.
     
  • Evite hacer clic en los enlaces de los correos electrónicos o los mensajes de texto: los phishers también se dirigen a los usuarios de móviles, por lo que los consumidores deben tener cuidado. Las aplicaciones bancarias falsas suelen estar alojadas en sitios maliciosos. Los usuarios son engañados para que los visiten a través de esquemas de phishing.
     
  • Practique una buena higiene de contraseñas: no reutilice las contraseñas. No des tu contraseña por teléfono, y asegúrate de que la contraseña es lo más complicada posible en cuanto a número y tipos de caracteres.

Todo esto es un buen consejo, pero no sirve de nada si el banco de un consumidor no le permite aprovechar esas capacidades y políticas de seguridad. Por ejemplo, todavía hay bancos que no ofrecen la autenticación de dos factores a sus clientes. Algunos bancos siguen incluyendo enlaces en los correos electrónicos que envían a los clientes. En los tiempos que corren, yo diría que eso debería evitarse. Además, ¿cuántas contraseñas podemos esperar que los consumidores recuerden? Y no todos los bancos permiten el uso de gestores de contraseñas. Existe una autenticación más fuerte y segura a través de la biometría o de las notificaciones push, y estos bancos deberían utilizarla para ayudar a prevenir el fraude.

¿Qué pueden hacer los bancos?

Muchos bancos ya han tomado el relevo para garantizar la seguridad de sus aplicaciones de banca móvil y de sus clientes. Aun así, algunos deben prestar atención a esta llamada de atención para asegurarse de que pueden prestar servicios a distancia a través de dispositivos móviles, que se está convirtiendo rápidamente en la forma preferida de los consumidores para interactuar con su banco. Además, las instituciones financieras también deben asegurarse de hacer su debida diligencia para proporcionar experiencias bancarias móviles seguras a sus usuarios.

Lo que los bancos pueden hacer para ofrecer experiencias bancarias móviles seguras y convenientes incluye:

  1. Actualizar su enfoque de la autenticación para ofrecer métodos de autenticación más seguros y cómodos, como la biometría, las notificaciones móviles push, etc.
     
  2. Dar a sus desarrolladores las herramientas que necesitan, como los SDKs probados, para asegurar los datos manejados por sus aplicaciones de banca móvil. Esto garantizará que los datos de la aplicación en reposo y en tránsito estén protegidos con una fuerte encriptación.
     
  3. Integrar una sofisticada tecnología de seguridad de aplicaciones móviles, como el blindaje de aplicaciones y la protección en tiempo de ejecución, que se desplaza junto con la aplicación bancaria móvil para proteger a los usuarios contra el malware móvil y las amenazas enumeradas por el FBI.

OneSpan ayuda a más de la mitad de los 100 principales bancos del mundo a ofrecer experiencias digitales seguras a sus usuarios, y a través de nuestra Mobile Security Suite, App Shielding y otros productos y servicios, ayudamos a algunos de los mayores bancos del mundo a garantizar la seguridad de sus experiencias bancarias móviles

Blindaje de Aplicaciones Móviles
Whitepaper

Protección de aplicaciones móviles: cómo reducir el fraude, ahorrar dinero y proteger los ingresos

Descubra cómo el blindaje de aplicaciones con protección en tiempo de ejecución es clave para desarrollar una aplicación de banca móvil segura y resistente.

Descargar ahora

Sam es Director de Marketing de Producto responsable de la cartera de seguridad de aplicaciones móviles de OneSpan y tiene casi 10 años de experiencia en seguridad de la información.