Seguridad de aplicaciones móviles: Amenazas, tendencias y lo que está por venir

Recientemente, publicamos el muy oportuno OneSpan Global Mobile App Security Vulnerabilities Report - The State of Mobile App Repackaging, en colaboración con Promon Research. El equipo de investigación probó 384 de las aplicaciones financieras más populares del mundo para evaluar la vulnerabilidad a los ataques de reempaquetado, en los sectores de banca, criptomonedas, pagos, servicios financieros, entre otros.

Los ataques de reempaquetado inyectan código en una aplicación o modifican su código existente y, luego, lo vuelven a empaquetar en una aplicación ejecutable. Son un punto de partida fundamental para eliminar la seguridad existente dentro de la aplicación, proporcionando un fácil acceso a la ingeniería inversa de cualquier código de propiedad exclusiva y propiedad intelectual.

Entrevisté a Dan McLoughlin, CTO de campo de OneSpan, para analizar los hallazgos del informe, así como el contexto y las conclusiones importantes. Dicha grabación se muestra más abajo, seguida de una transcripción ligeramente editada.

 

Las empresas se enfrentan a muchas amenazas de seguridad. ¿Por qué priorizar la seguridad de las aplicaciones móviles? ¿Por qué ahora?

“Para la mayoría de los clientes, la aplicación móvil es el primer punto de contacto y escaparate comercial de una organización, por lo que es muy importante encargarse de la seguridad de la aplicación móvil. Mucha gente dedica mucho tiempo y dinero para asegurar una buena experiencia del usuario. Por desgracia, a veces eso significa dejar de lado cuestiones como la seguridad. La confianza es igual de importante”.

“Además, el daño reputacional que puede derivarse de una aplicación que filtra datos o, potencialmente, fondos es enorme. Creo que la razón por la que vemos la necesidad de priorizar la seguridad de las aplicaciones se debe a que hay que mantener tanto la confianza como la reputación”.

La investigación indica que aproximadamente 6 de cada 10 aplicaciones financieras son vulnerables a ataques de reempaquetado. ¿Cómo llegamos a este punto?

“Creo que es un factor de la forma en que se disparó el uso de las aplicaciones móviles. Si nos fijamos en el sector financiero, la banca en línea tardó años en volverse muy popular, pero solo tomó unos pocos meses para que la banca móvil alcanzara esos mismos niveles. Hubo un gran impulso para el desarrollo rápido de aplicaciones en el sector financiero”.

“Algunas de las metodologías tradicionales para la seguridad de las aplicaciones móviles se basaban en los datos en reposo y en su protección, por lo que miramos cuestiones tales como el cifrado y la ofuscación de código, que son realmente importantes. Pero eso deja fuera otro elemento realmente importante: cuando la aplicación se está ejecutando, también es vulnerable”.

“También está el hecho de que la aplicación móvil se convierte en el escaparate comercial, como ya hemos dicho, y es el punto de datos principal que muchas personas tienen con respecto a la forma en que trabajan con una organización. Por lo tanto, es muy importante que la facilidad de uso sea elevada. Y debido a los desarrolladores de aplicaciones móviles no siempre son expertos en seguridad, no siempre añaden todas las características de seguridad necesarias a las aplicaciones móviles”.

“Además, algunas de las técnicas de protección existentes para resguardar a las aplicaciones eran difíciles de implementar, lo que podría haber actuado como un factor disuasor. No quieren obstaculizar la experiencia del usuario, por lo que quizás algunos conceptos erróneos sobre cómo proteger una aplicación correctamente sin alterar la facilidad de uso también constituyen parte del problema”.

Entonces, ¿cuáles su consejo? ¿Qué pueden hacer los desarrolladores de aplicaciones para proteger las aplicaciones móviles?

“En primer lugar, hay que seguir los estándares de las prácticas recomendadas. Se puede acudir a organizaciones como el Instituto Nacional de Estándares y Tecnología (National Institute of Standards and Technology, NIST) para consultar las prácticas recomendadas de seguridad en general, además de utilizar las herramientas de Apple y Google, que también proporcionan herramientas de seguridad”.

“Pero de modo realista: hay que hablar con los profesionales de la seguridad. Porque su trabajo es asegurar las cosas y garantizar la protección de sus aplicaciones. Sé que a veces parece aterrador, porque a la gente le preocupa que la experiencia del usuario disminuya cuando se añaden capas de seguridad. Pero no siempre es así. Podemos añadir seguridad sin afectar la experiencia del usuario; a veces, añadir seguridad también mejora la experiencia del usuario. Por lo tanto, es muy importante hablar con profesionales habituados a realizar este trabajo y comprender su funcionamiento. Lo realmente importante es esa unión entre la experiencia del usuario y la seguridad”.

Más allá de este ajuste táctico, ¿cómo deberían las empresas modificar su estrategia para el canal móvil?

“La aplicación móvil es el escaparate que presenta al mundo, por lo que la estrategia debe girar en torno a esa experiencia móvil y también a su reputación, como mencionamos antes. Debe recordar que sus clientes la utilizan con frecuencia. No es que deseen sentirlas como invasivas, pero sí quieren percibir que hay un nivel de seguridad. Esa es la otra cuestión: los usuarios esperan estar protegidos. No desean perder datos, ni fondos, ni nada a través de sus aplicaciones móviles. Lo ven como un entorno comercial, pero en sus dispositivos móviles”.

“Entonces, si utilizo una aplicación bancaria, espero que esta me proteja a mí y a todos los fondos a los que accedo a través de ella. Lo mismo se aplica a otras aplicaciones en las que almaceno datos, por ejemplo. Contamos ese tipo de confianza inherente en los proveedores para proporcionar ese nivel de seguridad, por lo que las instituciones financieras siempre deben pensar en eso al desarrollar aplicaciones: sus clientes lo esperan de usted y si pierde esa confianza, perderá a sus clientes”.

¿Puede darnos una idea del panorama de amenazas móviles y qué esperar en el próximo año?

“Pronostico más pérdidas de datos. Lo vemos constantemente en las noticias: pérdidas de datos a través de diversos mecanismos. Los dispositivos móviles no serán la excepción. Además de ser la mejor puerta de enlace que podemos utilizar para acceder a nuestros datos, también es una puerta de enlace que los actores maliciosos pueden intentar utilizar para acceder a dichos datos. Por lo tanto, debemos ser muy cuidadosos. Los objetivos no solo estarán en el sector financiero: los datos son igual de importantes. Lo hemos visto una y otra vez… y seguirá siendo un factor a destacar para el próximo año”.

“El acceso a sus datos otorga acceso a una identidad, en cierto modo. Por lo tanto, también debemos ser muy cuidadosos. Si puede obtener acceso a través de una aplicación móvil, puede obtener acceso a los datos y usarlos para acceder a otras cosas. Es así como funciona”.

“También se sufrirán más ataques en tiempo de ejecución en las propias aplicaciones móviles. No va a ser solo la aplicación alojada en un teléfono bajo ataque. Será con la propia aplicación mientras se está ejecutando. Porque cuando está en funcionamiento es vulnerable y debemos protegerla tanto como cuando está en reposo”.

¿Qué tendencias observa que puedan ayudarnos a entender lo que esté por venir dentro de 5 o 10 años?

“Si miramos hacia el futuro, debemos empezar a pensar dónde entra en juego la Web3. Empezamos a ver indicios de esto. Por ejemplo, tenemos la blockchain, el mundo criptográfico en una situación extraña en este momento, caídas de exchanges de alto perfil y más. Pero la tecnología subyacente sigue siendo una pieza fundamental de lo que hará avanzar a Internet y no existen problemas con la tecnología subyacente en sí. Así que veremos más cosas como billeteras e ID soberanas, donde uno se hace cargo de su propia identidad y se utiliza blockchain para su verificación”.

“Lo vemos venir desde hace mucho tiempo, así que es difícil decir que sucederá dentro de 5 o 10 años; la verdadera barrera es la facilidad de uso, otra vez. Ahora mismo se puede usar la Web3, pero se tiene que estar realmente comprometido con dicha tecnología y comprender en profundidad cómo utilizarla. No hay una interfaz de usuario sencilla para las tecnologías de la Web3 en este momento. Nos encontramos en este punto, con una especie de web 2.5, como la llama la gente, donde se tiene una experiencia de usuario maravillosa que envuelve la tecnología que ya tenemos. La gente no está dispuesta a renunciar a esa experiencia. Así que veremos todo esto en el futuro, pero es realmente difícil decir cuándo”.

“Algunas de las otras cosas que vamos a empezar a ver están relacionadas con las identidades de confianza. En el futuro, la cuestión de la identidad será de suma importancia. También la cuestión de la responsabilidad. Y es posible que lo observemos en los espacios sociales tanto como en transacciones financieras importantes. Actualmente, detectamos mucha actividad de fraude a través de suplantación de identidad e ingeniería social. Por lo tanto, será muy importante dificultar al máximo la suplantación de identidad en entornos online, así como facilitar que la gente pueda demostrar su identidad en múltiples situaciones”.

“Cuando se registra en una aplicación financiera, tendrá que pasar por algún tipo de verificación de identidad. Pero en el futuro, para usar aplicaciones sociales y aplicaciones de citas, entre otras, quizás no se pueda hacer mucho a menos que proporcione su identidad completa a dicha aplicación a fin de proteger a las personas, eliminando así algo del anonimato en línea. Ese es un área desafiante, ya que mucha gente quiere mantener ese elemento de privacidad. Y creo que, con los años, eso sucederá y veremos este acto de equilibrio donde es necesario demostrar la identidad. Por ejemplo, quizás pueda explorar de forma anónima ciertas áreas en una experiencia social”.

“Pero si desea interactuar o avanzar a otro nivel, puede que tenga que proporcionar su identidad. Por lo tanto, en los próximos 5 años, veremos diferentes tipos de mecanismos de verificación de identidad y de confianza en la identidad, puede que incluso la agregación de identidad. Ya estamos viendo que, en ciertos países, puede obtener el aprovisionamiento de identidad; por ejemplo, en Bélgica. Es posible que empiece a ver la agregación de identidades, donde las organizaciones pueden ayudarle a utilizar su identidad de confianza en un área para volver a habilitar esa confianza en otra área: una agregación de sus diferentes identidades, así como también su identidad soberana, porque también tiene que haber un elemento de confianza en eso”.

Descargue ahora: OneSpan Global Mobile App Security Vulnerabilities Report - The State of Mobile App Repackaging