La seguridad de los pagos digitales: Cuando la seguridad móvil importa

La implementación de medidas de seguridad sólidas en el canal móvil es esencial, ya que, en la actualidad, los clientes digitales son el objetivo número uno de los ataques, y los dispositivos móviles son el método de pago digital más popular para las transacciones en línea. El número de consumidores que realizaban pagos móviles antes de la pandemia era de aproximadamente 900 millones, y, para el año 2020, había aumentado hasta 1,480 millones de usuarios para los pagos en línea. Las aplicaciones móviles están sujetas a un riesgo constante y mantener seguros a los usuarios finales es todo un desafío. Identificar las aplicaciones falsas o infectadas puede ser difícil, incluso para las tiendas de aplicaciones con grandes laboratorios de pruebas, como Apple y Google. Recientemente, la Google Play Store eliminó las aplicaciones infectadas por Joker, un malware especializado en fraudes de SMS que se estaba utilizando para robar mensajes de texto e información de los dispositivos. Pero incluso más tarde, algunas de las aplicaciones afectadas aún estaban disponibles en tiendas menos protegidas. De hecho, hay más de 300 tiendas de aplicaciones en todo el mundo a día de hoy, y esto supone muchas oportunidades para que los estafadores, piratas informáticos y delincuentes cibernéticos engañen a los clientes desprevenidos para que descarguen aplicaciones maliciosas en sus dispositivos móviles. 

Según HelpNet Security, el 77% de las aplicaciones móviles financieras tienen al menos una vulnerabilidad grave que podría provocar una filtración de datos, el 81% de las aplicaciones financieras presentan escapes de datos y el 49% de las aplicaciones de pago son vulnerables a la extracción de claves de cifrado.

Por otra parte, a principios de este año, el Comité Judicial del Senado de los Estados Unidos aprobó el proyecto de ley S.2710, la Ley de Mercados Abiertos de Aplicaciones. La razón para este proyecto de ley son las altas tasas de comisión en las compras en las tiendas de aplicaciones de iOS y Android, que pueden llegar hasta el 30%, así como las restricciones que pueden prevenir o desalentar la instalación de aplicaciones fuera de sus tiendas. El objetivo de la Ley de Mercados Abiertos de Aplicaciones es permitir que los desarrolladores de software lleguen a sus clientes sin el control de las grandes compañías que poseen las tiendas de aplicaciones y los sistemas operativos subyacentes. La legislación permitiría a los usuarios descargar y ejecutar aplicaciones de tiendas de aplicaciones alternativas.

En Europa, las grandes plataformas tecnológicas que actúan como "guardianes" en el sector digital, se verán obligadas a permitir que los usuarios finales utilicen tiendas de aplicaciones y sistemas de pago de terceros en virtud de un documento publicado recientemente por la Comisión Europea y llamado la Ley de Mercados Digitales de la Unión Europea.

Por supuesto, todas estas iniciativas regulatorias conllevan serios problemas de seguridad, ya que harán que sea más fácil que los clientes descarguen aplicaciones falsas o reempaquetadas de tiendas de aplicaciones de terceros que estén menos protegidas. 

¿Qué significan los cambios en las regulaciones y la seguridad de los pagos para los creadores de aplicaciones? 

Si su aplicación utiliza datos confidenciales, como Información de Identificación Personal (IIP), pagos, contratos inteligentes, metadatos, negocios u otra información confidencial, como información de tarjetas de crédito o un número de tarjeta de pago, debe asegurarse de implementar una seguridad cibernética confiable como el blindaje de aplicaciones, especialmente si permite que las aplicaciones se ejecuten en dispositivos liberados o con jailbreak. En ese caso, debe asegurarse de que los datos confidenciales se almacenen de forma segura en el dispositivo.  

Errores importantes a evitar al crear una aplicación de pagos móviles:

Un error común que está presente en muchas aplicaciones en el mercado es que contienen información confidencial, pero usan técnicas de refuerzo de código ineficientes o ni siquiera las usan. 

• Por ejemplo, a menudo se usa una técnica de ofuscación que consiste en un simple cambio de nombre de etiqueta de variable, y no se consideran métodos más efectivos para evitar el análisis estático, como el aplanamiento de espacios de nombres y la combinación aleatoria del código. El uso de técnicas simples de ofuscación crea aplicaciones que son vulnerables a la ingeniería inversa y a los ataques de reempaquetado.
• A veces, los datos confidenciales y las claves API en la aplicación no están encriptados, sino que están almacenados en texto sin formato. Los datos desprotegidos pueden ser robados fácilmente.  
• Otro error es que los datos pueden estar encriptados, pero las claves criptográficas se almacenan en texto sin formato o aparecen en el código fuente o en los activos de la aplicación. Es como si dejara la llave de su casa debajo del felpudo; la puerta ya no brindará protección una vez que la llave haya sido descubierta. 
• El canal de comunicación a la aplicación y desde ella no es seguro. Esto significa que los detalles de la transacción, como el número de cuenta del beneficiario y el monto de la transferencia, pueden ser modificados.

Otro elemento importante es la protección de la aplicación durante el tiempo de ejecución. La protección estática a menudo se entiende incorrectamente y se implementa de manera deficiente, pero en muchos casos, ni siquiera se considera y está completamente ausente. 

• Es común que los desarrolladores de software tengan poca experiencia interna en la detección de ataques en el dispositivo y la aplicación durante el tiempo de ejecución.
• Solo se hace un seguimiento de los ataques conocidos y no se utilizan métodos para detectar amenazas desconocidas. 
• Incluso si se detecta un ataque en la aplicación, es posible que no haya nada que permita reaccionar de manera efectiva o personalizar la reacción.   

Cómo OneSpan puede ayudarlo con la seguridad de las aplicaciones móviles y los pagos digitales

Con OneSpan Mobile Security Suite y App Shielding, puede proteger sus aplicaciones móviles y las transacciones digitales incluso antes de lanzarlas.

• Si su aplicación móvil maneja datos confidenciales (p. ej., procesamiento de acuerdos digitales, pagos de persona a persona o transferencias bancarias), debe implementar una protección efectiva para su lógica comercial, secretos y claves API. Permitimos la protección de secretos e información personal a través del almacenamiento seguro. Si su aplicación almacena datos confidenciales en el dispositivo, el almacenamiento seguro combina elementos de seguridad de software y hardware para asegurar la seguridad de los datos. Para aumentar la protección contra la ingeniería inversa, podemos ofuscar su aplicación con técnicas avanzadas. Además de la ofuscación, podemos proteger su aplicación contra la manipulación y el reempaquetado de manera eficaz.  
• La protección de aplicaciones (App Shielding) es un componente que se integra sin problemas en las aplicaciones existentes para detectar, mitigar y proteger contra ataques durante el tiempo de ejecución. Este tipo de ataques incluyen la introducción de código, la depuración, la emulación, la duplicación de pantalla, el enlace de aplicaciones y otros. La aplicación permanece protegida incluso en dispositivos con problemas de seguridad y contra ataques aún no conocidos. Esta protección también está vinculada a su aplicación, por lo que, si termina en una tienda desconocida, la protección continuará estando activa. También podemos cambiar la pantalla de la aplicación móvil de forma dinámica según el riesgo o incluso detener la ejecución de la aplicación. 
• Nuestro canal seguro garantiza la integridad, creación reciente, autenticidad y confidencialidad de los datos para cada comunicación entre el servidor y el dispositivo. 
• OneSpan proporciona una variedad de sólidos métodos de autenticación con enlaces dinámicos y de “lo que ve es lo que firma” para evitar los ataques de toma de control de cuentas. Incluso las autenticaciones exitosas son analizadas por algoritmos de aprendizaje automático para asegurar aún más la autenticidad de la interacción. 
• Proporcionamos diferentes métodos de autenticación según el nivel de riesgo o los requisitos de los reguladores locales (p. ej., PSD2). Esto tiene el fin de aumentar la seguridad y mejorar la experiencia del usuario con métodos fáciles de usar, como biometría, comportamiento, criptograma gráfico Cronto, FIDO y otros. 

Dé el siguiente paso para la seguridad móvil en los servicios financieros

Ahora que el mundo de los negocios se está sumando cada vez más a la transformación digital y los pagos seguros, cada vez es más importante disponer de una seguridad de aplicaciones móviles robusta y confiable. Los clientes esperan tener acceso a procesos digitales seguros y a acuerdos confiables, y eso se refleja tanto en el comportamiento de los consumidores como en las iniciativas de las instituciones financieras, así como en las regulaciones destinadas a facilitar los pagos digitales y las soluciones de pago.