OneSpan Blog

Las condiciones del mercado y las crecientes amenazas móviles ponen a prueba a los bancos aspirantes basados en aplicaciones móviles

Seguridad de aplicaciones móviles
Samuel Bakken, 6 de Agosto de 2020
Dave Mobile App Security

A finales de julio de 2020, la startup de tecnología financiera Dave, respaldada por Mark Cuban, informó de un incidente de seguridad que resultó en la exposición de información personal identificable de millones de sus usuarios, incluyendo fechas de nacimiento, números de teléfono, direcciones de correo electrónico y direcciones físicas, así como números de seguridad social encriptados y contraseñas de clientes con hash. Dave ofrece préstamos de día de pago y protección contra sobregiros para cuentas bancarias y cuentas corrientes y es miembro de la cohorte de "bancos desafiantes" junto con empresas como Chime, Current, Space, Cleo, N26, Empower Finance, Level, Step, Moven y otras.

La propia aplicación móvil de Dave no fue atacada, y Dave afirmó que no había pruebas de que la información personal se hubiera utilizado para obtener cuentas de usuario de acceso no autorizado. Dave atribuye la culpa de la filtración de datos directamente a un proveedor de servicios de terceros, Waydev, alegando que una de sus bases de datos fue violada. Pero, ¿cómo reaccionarán sus usuarios? ¿Se preocupan los consumidores por los entresijos de quién es el culpable de la violación de datos? ¿Cómo puede afectar este incidente a la percepción del mercado sobre las prácticas de seguridad de Dave?

En algunos casos, una filtración de datos podría ser un golpe mortal, y estos bancos aspirantes deben tomarse en serio la seguridad de sus aplicaciones móviles, de sus instituciones y de sus clientes, si no lo han hecho ya. Sus negocios podrían vivir o morir en función de su capacidad para implantar una seguridad móvil en la que confíen los consumidores. Invertir adecuadamente en seguridad multicapa, con especial énfasis en la protección de los canales móviles, podría marcar la diferencia entre superar la pandemia o darla por terminada.

Las amenazas móviles aumentan para los bancos tradicionales, los bancos "challenger" y las fintechs

Recientemente, el FBI advirtió a los consumidores que se esperaba un aumento de la actividad de los troyanos bancarios basados en aplicaciones móviles como resultado del aumento de la actividad bancaria móvil impulsado por la pandemia. Los datos que muestran que las transacciones móviles fraudulentas originadas en aplicaciones móviles se duplicaron en el primer trimestre de 2020 dan crédito a esta predicción. En la misma línea, el proveedor de ciberseguridad Kaspersky Labs informó de un aumento de casi 3 veces en las detecciones de troyanos bancarios móviles en el primer trimestre de 2020 en comparación con el trimestre anterior.

Uno podría pensar que una parte maliciosa se concentraría en los bancos más grandes y conocidos para maximizar el potencial de ganancias de sus esquemas, pero las campañas de troyanos bancarios móviles recientemente reveladas muestran que las aplicaciones móviles de los bancos fintech y challenger menos conocidos también están bajo fuego. Por ejemplo, el troyano de banca móvil EventBot se dirigió no solo a bancos tradicionales como Barclays, CapitalOne, HSBC y Santander, sino también a aplicaciones como Revolut, Monese, Monzo, N26 y las de otras fintechs y bancos challenger.

Los incidentes de seguridad son un coste que los bancos "Challenger" podrían no ser capaces de absorber

Los canales móviles de los bancos "Challenger" están tan amenazados como los de sus homólogos más consolidados. Desgraciadamente, los bancos de menor tamaño son probablemente menos capaces de absorber los costes de un incidente de seguridad importante. Un estudio reciente publicado por IBM y el Instituto Ponemon cifra en 50 millones de dólares el coste medio de una filtración que exponga entre 1 y 10 millones de registros

No es una suma insignificante. Para los bancos emergentes y las empresas de tecnología financiera, la adquisición de nuevos usuarios es la principal prioridad. Sabiendo que un incidente de seguridad podría aumentar la dificultad de adquirir nuevos usuarios debido a una reputación dañada y una percepción negativa de sus prácticas de seguridad, el banco retador sabio invierte en seguridad proactiva, como pruebas de seguridad automatizadas, pruebas de penetración y protección dentro de la aplicación. Esos costes son una miseria comparados con los 50 millones de dólares que cuesta un incidente de seguridad. Y, con el riesgo de un incidente de seguridad móvil mitigado, se pueden invertir fondos adicionales en la adquisición de clientes.

El daño a la reputación es una consideración crucial cuando se trata de invertir adecuadamente en tecnología de seguridad, sólo hay que preguntarle a Twitter. En su reciente presentación del formulario 10-Q ante la SEC, hicieron los siguientes comentarios relacionados con una reciente violación de las cuentas de varios usuarios de alto perfil:

"Este fallo de seguridad puede haber perjudicado a las personas y cuentas afectadas por él. También puede afectar a la percepción del mercado sobre la eficacia de nuestras medidas de seguridad, y la gente puede perder la confianza en nosotros, disminuir el uso de nuestros productos y servicios o dejar de utilizarlos en su totalidad... Cualquiera de estos efectos podría tener un impacto material y adverso en nuestro negocio, reputación y resultados operativos."

La pandemia es un viento en contra, pero algunos bancos aspirantes acabarán teniendo un gran éxito

A pesar de que algunos bancos de este tipo se encuentran con vientos en contra, las ventajas asociadas a sus ofertas siguen siendo atractivas para los consumidores (por ejemplo, comisiones bajas o nulas, tipos de interés más altos y mejores experiencias de usuario). Así que, aunque las tasas de crecimiento pueden disminuir en general durante algún tiempo, como en cualquier sector, los bancos de retos en general no dejarán de existir, pero probablemente habrá ganadores y perdedores.

El banco challenger basado en una app , Monzo, informa que a pesar de tener 4,4 millones de usuarios, han perdido 113,8 millones de libras en el último año. Moven, uno de los primeros bancos de inversión de Estados Unidos, cerró en abril. Sin embargo, los bancos de nueva creación que puedan seguir innovando y mejorando la experiencia de la banca a distancia mantendrán su ventaja en el mercado. Además, aquellos que realicen las inversiones adecuadas para garantizar la seguridad de las experiencias de los usuarios remotos, y especialmente de los móviles, reforzarán su posición. En otras palabras, en lo que respecta a la cobertura de las apuestas, ahora no es el momento de escatimar en seguridad.

Para terminar: ¿Cuál es una estrategia inteligente en lo que respecta a la seguridad de las aplicaciones móviles?

Para asegurar las aplicaciones de banca móvil, ya sean Android o iOS, los bancos challenger y las fintechs necesitan invertir en lo siguiente:

  • Refuerzo de la aplicación contra las amenazas móviles en entornos no fiables (es decir, en los dispositivos de los usuarios) con protección dentro de la aplicación, incluida la tecnología de blindaje de aplicaciones y autoprotección de aplicaciones en tiempo de ejecución (RASP)
  • Pruebas periódicas de penetración más profundas de la aplicación móvil
  • Pruebas de seguridad periódicas y automatizadas durante el desarrollo
  • La seguridad forma parte de los requisitos de los productos
  • Formación/educación en código seguro para desarrolladores

Con un enfoque singular en la velocidad de comercialización y la adquisición de clientes, la seguridad puede ser un punto débil para algunas startups. En el sector de los servicios financieros, donde los consumidores priorizan la confianza y la seguridad de los datos en sus criterios de compra, no hay lugar para escatimar en seguridad. Tanto los bancos tradicionales como los challenger banks y las fintechs deben prestar especial atención a sus canales móviles para proteger los datos de los clientes. No sólo para crear una buena experiencia de usuario que merezca la pena, sino también para garantizar la seguridad de la aplicación móvil. Porque la mejor experiencia del cliente es una experiencia segura.
 

Mobile App Shielding
White Paper

Protección de aplicaciones móviles: cómo reducir el fraude, ahorrar dinero y proteger los ingresos

Descubra cómo el blindaje de aplicaciones con protección en tiempo de ejecución es clave para desarrollar una aplicación de banca móvil segura y resistente.

Descargar ahora
seguridad de las aplicaciones móviles
Sam Bakken
Samuel Bakken

Sam es director de marketing de productos y es responsable del portfolio de verificación de identidad y seguridad de aplicaciones móviles de OneSpan, con casi 10 años de experiencia en seguridad de la información.

Volver arriba