Detección del fraude en el móvil

¿Qué es la detección del fraude en el móvil?

Los ataques de fraude a través del móvil siguen aumentando a medida que se popularizan los dispositivos y las aplicaciones móviles. Aunque el reciente aumento de la banca móvil se ha atribuido en gran medida a la COVID-19, el crecimiento del uso de los móviles va a continuar. Los defraudadores también ven la oportunidad en el fraude móvil. Se ha producido un enorme aumento del 173% en los troyanos bancarios móviles para el primer trimestre de 2020 y los expertos del sector informan de un aumento del 37% en los ataques de phishing móvil a nivel mundial en el primer trimestre de 2020 de forma interanual. Para combatirlo, la detección del fraude móvil utiliza diferentes tecnologías, como el blindaje de aplicaciones móviles y el análisis de riesgos, para ayudar a prevenir la toma de cuentas y otros tipos de fraude. Se utilizan diferentes tecnologías entre bastidores para detectar la actividad fraudulenta y proporcionar protección contra el fraude a los consumidores sin que ello afecte a su experiencia de usuario.

Cómo los dispositivos móviles y las aplicaciones están impulsando el fraude móvil

Las métricas indican que los usuarios de móviles dependen cada vez más de sus dispositivos para sus necesidades bancarias. Juniper Research informa de que más de dos mil millones de usuarios de móviles en todo el mundo habrán utilizado sus dispositivos con fines bancarios a finales de 2021, frente a los 1.200 millones de 2020. Aunque el canal online sigue enfrentándose a amenazas, los defraudadores están invirtiendo más tiempo y dinero en atacar el canal móvil, ya que los consumidores de todo el mundo siguen gastando en el comercio electrónico en cosas como aplicaciones para juegos, otras diversiones y más. Según Statistica, "se prevé que en 2024 los consumidores gasten 55.500 millones de dólares estadounidenses en aplicaciones móviles de Google Play Store. El gasto combinado de los usuarios en la App Store y Google Play alcanzará casi 171.000 millones de dólares estadounidenses en 2024."

Mobile device open to a bank account overview
Blog

How Orange Money Romania Added Risk‑based Authentication to the Mobile Experience

Learn how Orange Money deployed risk-based authentication in the cloud for a stronger fraud prevention and security strategy.

Read More

Detección del fraude móvil, comprensión de las técnicas de fraude móvil más comunes

Los atacantes utilizan una variedad de técnicas para llevar a cabo el fraude móvil. He aquí algunos ejemplos:

  • Ingeniería inversa: Un actor malintencionado puede aplicar ingeniería inversa a una aplicación para analizar su código fuente y sus componentes. El objetivo aquí sería recopilar información que pueda ser utilizada para desarrollar malware que explote el funcionamiento de la app, o para manipularla. Por ejemplo, un atacante podría desplegar su propia aplicación maliciosa diseñada para explotar las vulnerabilidades descubiertas mediante ingeniería inversa de la aplicación bancaria.
  • Reempaquetado: Un ataque de reempaquetado comienza con un atacante que realiza ingeniería inversa de una aplicación, inserta código malicioso en la misma y luego vuelve a publicar la aplicación alterada en mercados no oficiales. Para un consumidor, parecerá que ha descargado la aplicación correcta y la aplicación le parecerá la aplicación legítima. Sin embargo, entre bastidores, la aplicación falsificada es un código que roba información personal, redirige fondos o realiza otras actividades maliciosas.
  • Ataques de superposición: Un ataque de superposición consiste en una pantalla generada por el atacante que aparece sobre la interfaz de usuario de la aplicación legítima. Para la víctima desprevenida, parecerá una experiencia normal dentro de la aplicación, pero estará introduciendo su información sensible, como nombres de usuario, contraseñas, números de tarjetas de crédito u otra información personal identificable, en un formulario controlado por el atacante. La información introducida en la ventana maliciosa se envía entonces directamente al atacante. La víctima de este fraude no sabe que acaba de entregar su información. Además de secuestrar datos, los ataques de superposición se utilizan para la ingeniería social. Pueden utilizarse para engañar a las personas para que instalen otros programas maliciosos o realicen tareas inseguras en sus dispositivos móviles, como conceder a una aplicación maliciosa el control total del teléfono del usuario.
  • Teclados falsos: El mercado de aplicaciones cuenta con numerosas aplicaciones legítimas de teclados alternativos para sustituir los teclados nativos instalados en los dispositivos móviles. Algunas de estas aplicaciones de teclado tendrán vulnerabilidades que los atacantes pueden explotar o algunas de las aplicaciones de teclado pueden ser falsas y estar diseñadas específicamente para registrar las pulsaciones de teclas y enviarlas a un atacante.
  • Troyanos bancarios móviles: Un troyano bancario móvil parece ser legítimo, pero esconde un malware que se dirige específicamente a una aplicación bancaria móvil en el dispositivo que ha infectado. Una técnica común utilizada por los troyanos bancarios para móviles es un ataque de superposición en el que se coloca una pantalla falsa encima de una aplicación bancaria legítima (véase "Ataque de superposición" más arriba). El malware captura las credenciales de autentificación de la víctima y puede permanecer activo mientras se realizan otras transacciones bancarias. Por ejemplo, el malware puede modificar los datos de las transacciones interceptando una transferencia de fondos y redirigiendo el dinero a una cuenta fraudulenta. Estos ataques están destinados a crecer a medida que el uso de los teléfonos inteligentes sigue aumentando en todo el mundo. El FBI señala que es mejor ser precavido a la hora de descargar aplicaciones en smartphones y tabletas, ya que algunas podrían ser troyanos bancarios.
  • Ataques de hombre en el medio: En un ataque de hombre en el medio, el defraudador se sitúa entre la institución financiera y el cliente para poder interceptar, editar, enviar y recibir comunicaciones entre las dos partes sin levantar ninguna sospecha. El estafador toma el control del canal de comunicación entre el dispositivo del cliente y el servidor, configurando una red Wi-Fi maliciosa o fraudulenta como punto de acceso público (conocido como punto de acceso fraudulento) para que se produzca el ataque. El cliente puede utilizar el punto de acceso público sin darse cuenta de que puede estar transfiriendo sus datos de pago a través de una red controlada por un estafador. Las comunicaciones de una aplicación móvil deben implementarse de forma segura a través de elementos como la fijación de certificados, en la que la aplicación sólo se comunicará con un servidor específico porque utiliza un certificado específico que la aplicación móvil está buscando. No hacerlo hace que la aplicación sea vulnerable a un ataque Man-in-the-Middle. Los estafadores también utilizan un ataque Man-in-the-Middle para interponerse entre un SDK y el punto final al que pretende llegar. A continuación, golpean continuamente ese punto final con una serie de llamadas de prueba para hacer ingeniería inversa sobre qué llamadas representan una acción exitosa. Con el tiempo, identifican qué parámetros se pasan para indicar una instalación exitosa. Una vez que "instalan" con éxito una aplicación, continúan con la suplantación del SDK.
  • Intercambio de SIM: El intercambio de una tarjeta SIM es un servicio legítimo que ofrecen los operadores de telefonía móvil cuando un cliente compra un nuevo dispositivo y la antigua tarjeta SIM ya no es compatible con él. Un mal actor puede abusar de este servicio. En un intercambio de SIM, un estafador utiliza técnicas de ingeniería social para transferir el número de teléfono móvil de la víctima a una nueva tarjeta SIM. El estafador se pone en contacto con el operador de telefonía móvil del cliente y se hace pasar por él, convenciendo a un agente del centro de llamadas para que transfiera el número de teléfono móvil a la tarjeta SIM bajo el control del estafador. Como resultado, la aplicación bancaria del usuario puede activarse en el teléfono del estafador. Si el mecanismo de autenticación del banco incluye mensajes de texto como medio de entrega de contraseñas de un solo uso, entonces hacerse con el número de la víctima se convierte en una forma atractiva para que un delincuente realice transacciones fraudulentas, añada beneficiarios o realice otras operaciones durante una sesión bancaria.
  • Suplantación de identidad en el móvil: Una forma de suplantación de identidad, el smishing, consiste en que un actor malintencionado le envía un enlace por mensaje de texto para intentar engañarle y que haga clic en él. Al hacer clic en el enlace se puede cargar una página de phishing en la que se engaña al usuario para que introduzca sus credenciales de inicio de sesión, o se inicia, sin saberlo, una descarga silenciosa de software espía de vigilancia en el dispositivo. El objetivo es obtener acceso no autorizado a los datos personales, sensibles y corporativos almacenados y accedidos por el dispositivo. Las Tiny URLs, que son URLs acortadas, también se utilizan en los ataques de phishing por SMS para dirigirle a contenidos maliciosos y se utilizan a menudo en ataques de smishing a gran escala.

Tecnologías que refuerzan la detección del fraude móvil

El fraude móvil afecta a los clientes y a las instituciones financieras. Los clientes actuales que son víctimas del fraude son más propensos a abandonar su institución financiera y los clientes potenciales pueden ser cautelosos a la hora de firmar con un banco que se considera poco riguroso con la prevención del fraude y las soluciones contra el fraude, ya que el ecosistema del fraude sigue evolucionando.

Tecnologías, capacidades y soluciones de detección del fraude móvil

MobileIn-App Protection: La protección móvil dentro de la aplicación es un término general para las tecnologías de seguridad y autenticación de aplicaciones móviles que los desarrolladores pueden integrar en las aplicaciones móviles para hacerlas más resistentes contra amenazas móviles como el reempaquetado, el malware, la inyección de scripts, la ingeniería inversa y el acaparamiento de SMS, entre otras. Gartner afirma que las aplicaciones autodefensivas son "cruciales" porque las aplicaciones móviles se ejecutan en una amplia variedad de dispositivos móviles no fiables con distintos niveles de seguridad. Gartner recomienda que las organizaciones "elijan la protección in-app para las aplicaciones críticas y de alto valor que se ejecutan en entornos no confiables y mueven la lógica del software en el front-end". Gartner también recomienda que las organizaciones eviten utilizar la protección dentro de la aplicación como sustituto de las pruebas de seguridad de las aplicaciones y la aplicación de parches de vulnerabilidad, y que adopten las mejores prácticas de codificación segura antes de buscar soluciones de protección dentro de la aplicación.

Las soluciones de protección de aplicaciones móviles consisten en funciones de seguridad y autenticación como las siguientes:

  • Blindaje deaplicaciones móviles con autoprotección de aplicaciones en tiempo de ejecución (RASP): el blindaje de aplicaciones con protección en tiempo de ejecución puede detectar y prevenir ataques en tiempo real. La combinación del blindaje de aplicaciones móviles con la protección en tiempo de ejecución permite que las aplicaciones financieras móviles se ejecuten de forma segura, que se bloquee el código extraño para que no interfiera con la funcionalidad de la aplicación o que se cierre la aplicación si existe una amenaza para los datos. La integración del blindaje de aplicaciones con la protección en tiempo de ejecución también protege la información sensible de los ciberdelincuentes, incluso en dispositivos móviles que no son de confianza.

    La autoprotección de aplicaciones en tiempo de ejecución (RASP), término acuñado por Gartner, protege las aplicaciones móviles contra las intrusiones de múltiples tipos de malware. RASP está integrado de forma nativa en la aplicación móvil y mitiga los ataques maliciosos que se dirigen a la aplicación detectándolos y cerrando la aplicación antes de que los datos sensibles puedan verse comprometidos y utilizados para el fraude. Refuerza la seguridad de las aplicaciones móviles neutralizando las posibles amenazas y protege los datos sensibles y las transacciones de alto valor de los hackers.

    El blindaje de aplicaciones con protección en tiempo de ejecución es una herramienta de prevención que protege la aplicación móvil impidiendo que ésta funcione en un emulador o cuando es interferida por un depurador. Se trata de herramientas que los ingenieros inversos utilizan para interrogar a una aplicación y encontrar vulnerabilidades. Detecta el keylogging malicioso, las aplicaciones reempaquetadas y los dispositivos con jailbreak o rooteados, entre otros.

    Las instituciones financieras pueden emparejar la tecnología de análisis de riesgos (motor de riesgos) con las tecnologías de blindaje y seguridad de aplicaciones móviles para recopilar información adicional sobre la aplicación en su entorno de ejecución para optimizar la gestión del fraude y permitir que la aplicación bancaria funcione de forma segura en un entorno de riesgo.

    El endurecimiento de las aplicaciones, también conocido como capacidades de prevención, aumenta el nivel de esfuerzo requerido por el atacante para llevar a cabo un ataque.

  • Autenticación basada en elriesgo: La autenticación basada en el riesgo (RBA), que utiliza algoritmos de aprendizaje automático, ayuda a prevenir el fraude móvil determinando el nivel de riesgo de cada transacción financiera y qué nivel de autenticación del cliente se requiere para cada transacción. El RBA ajusta el nivel de autentificación del cliente necesario al nivel de riesgo que conlleva y ayuda a reducir los falsos positivos, lo que significa que menos clientes serán rechazados falsamente por motivos de fraude. En el pasado, muchas organizaciones confiaban en un tipo de autenticación para todos los clientes y transacciones: contraseñas y nombres de usuario estáticos, que es la autenticación binaria. Las contraseñas y los nombres de usuario se consideran una seguridad débil porque son muy fáciles de robar y explotar para los estafadores. Por otro lado, la autenticación basada en el riesgo es una forma de autenticación fuerte porque da contexto al usuario y a su transacción para determinar el nivel de riesgo y la susceptibilidad de fraude. En el caso de una transacción de alto riesgo, se pide al usuario una autentificación adicional para confirmar su identidad. Hay tres factores comunes utilizados para la autenticación: algo que se sabe, algo que se tiene y algo que se es. La autenticación más común es algo que usted conoce y puede ser una contraseña o un simple número de identificación personal (PIN). Sin embargo, también es el más fácil de vencer para los defraudadores. El factor "algo que tienes" se refiere a elementos como un dispositivo móvil o tokens autentificadores de hardware, que generan un código de acceso de un solo uso. Las opciones basadas en el teléfono inteligente, como una notificación push y una contraseña de un solo uso (OTP), también ofrecen una verificación de múltiples factores (MFA). Los datos biométricos son el factor "algo que eres" y pueden ser huellas dactilares, escaneos faciales o análisis de voz, y forman parte de la evolución hacia inicios de sesión sin contraseña. Los tres factores de autenticación se combinan a menudo para proporcionar una mayor seguridad y frustrar a los defraudadores. La combinación de un escáner de huellas dactilares con un código de acceso único refuerza la seguridad y es un ejemplo de autenticación multifactor.

  • Autenticación fuera de banda: La autenticación fuera de banda es un tipo de autenticación de dos factores (2FA) que requiere un método de verificación secundario a través de un canal de comunicación separado junto con el típico ID y contraseña. Por ejemplo, podría implicar el escritorio del cliente como un canal y su teléfono móvil como otro canal. Es más difícil para un atacante comprometer dos canales diferentes, lo que reduce la probabilidad de una toma de posesión de la cuenta con éxito, ya que el atacante tendría que comprometer dos canales separados para obtener acceso. La autenticación fuera de banda (OOB) es utilizada por las instituciones financieras y otras organizaciones con altos requisitos de seguridad. Esto hace que el hackeo de una cuenta sea más difícil porque dos canales de autenticación separados e inconexos tendrían que ser comprometidos simultáneamente para que un atacante obtenga acceso.

  • Autenticación multifactor: La autenticación multifactor (MFA) utiliza múltiples tecnologías para autenticar la identidad del cliente y deben combinar tecnologías de verificación de al menos dos grupos o factores de autenticación diferentes. Los factores de autentificación incluyen:

    Algo que sabes: una contraseña, un PIN, una frase de paso o preguntas y sus correspondientes respuestas.

    Algo que tienes: La mayoría de la gente utiliza su teléfono inteligente con una aplicación de autenticación como el dispositivo que genera estos códigos o les permite responder a un servidor con un código de acceso de un solo uso detrás de las escenas.

    Algo que eres: se trata de cualquier cosa, desde huellas dactilares, escáneres de retina, reconocimiento facial, reconocimiento de voz o el comportamiento de un usuario (como la fuerza o la rapidez con la que teclea o desliza el dedo por una pantalla) que puede utilizarse para identificar a un usuario único.

    Para lograr la autenticación multifactor, se deben utilizar al menos dos tecnologías diferentes de al menos dos grupos tecnológicos diferentes para el proceso de autenticación. En consecuencia, el uso de un PIN junto con una contraseña no se consideraría autenticación multifactor, mientras que el uso de un PIN con reconocimiento facial como segundo factor sí lo sería. También es aceptable utilizar más de dos formas de autenticación. Sin embargo, la mayoría de los usuarios desean cada vez más una autenticación sin fricciones (la posibilidad de ser verificado sin necesidad de realizar una verificación). La AMF puede evitar, por ejemplo, el fraude de toma de posesión de cuentas y el phishing.

  • Cronto®: Un Cronto®, o código similar al QR, puede autenticar o autorizar una transacción financiera y mejora la protección de las transacciones de alto valor. El cliente verá un criptograma gráfico que se asemeja a un código QR, mostrado en el navegador de su ordenador. Sólo el banco puede generar el código para que se pueda confiar en él para establecer un canal seguro entre el cliente y el banco. Cuando quiera realizar una transacción, introduzca los datos del pago en la aplicación de banca online en el navegador. A continuación, verás el código tipo QR y lo escanearás con la cámara de tu dispositivo móvil. Tu dispositivo lo descodificará, descifrará los datos del pago y te los mostrará en tu móvil en texto plano. Este enfoque cumple con los requisitos de vinculación dinámica señalados en la Norma Técnica Reglamentaria de la Directiva de Servicios de Pago Revisada (PSD2) de la Unión Europea.

Digital Payment Security: When Mobile Security Matters
BLOG

Digital Payment Security: When Mobile Security Matters

Ensuring digital payment security and compliance is paramount as regulations change and consumers embrace digital transformation. Learn how to take the next step in mobile security in this blog.

READ MORE

 

Capacidades adicionales de seguridad móvil que ayudan a la detección del fraude móvil:

  • La ofuscación del código desordena el código y dificulta a un atacante la ingeniería inversa del funcionamiento de la aplicación. En consecuencia, una aplicación que es más difícil de leer debería ser más difícil de atacar, y de robar su propiedad intelectual.
  • Criptografía de caja blanca: Lo que se conoce como criptografía de caja blanca se utiliza para evitar que un atacante descubra las claves de cifrado utilizadas por una aplicación, utilizando una combinación de cifrado y ofuscación, o codificando el código para que sea difícil de entender. En otros casos, la razón de ser de la caja blanca es ofrecer un mecanismo de seguridad independiente del sistema operativo que proteja las claves secretas incluso si el atacante compromete de algún modo el sistema operativo móvil o el dispositivo.
  • Fijación de certificados: en lugar de aceptar cualquier certificado de una gama específica de autoridades de certificación, la fijación permite a las partes implicadas en el proceso de autenticación mutua fijar certificados concretos, lo que significa que sólo se aceptarán estos certificados. Si un atacante falsifica un certificado, aunque éste provenga de una autoridad de certificación legítima, la parte que se comunica lo rechazará, evitando un ataque Man-in-the-Middle.

Cómo pueden ser vulnerables las aplicaciones móviles

Los desarrolladores de aplicaciones móviles no saben, en última instancia, cómo se utilizarán sus aplicaciones, si se trata de fraude publicitario en el móvil, o de fraude bancario en el móvil, o en qué entorno. En consecuencia, siempre existe el riesgo de que una aplicación bancaria sea objeto de un programa malicioso en el dispositivo y provoque pérdidas por fraude a la institución financiera. Aunque las tiendas App Store de Apple y Google Play Store filtran un gran porcentaje del malware, el fraude en las aplicaciones es una posibilidad. Existen aplicaciones maliciosas en las tiendas de aplicaciones que esperan ser descargadas para robar información personal o inyectar código malicioso en el dispositivo móvil o en otra aplicación. Incluso si los usuarios sólo descargan aplicaciones de las tiendas oficiales, algo malicioso podría colarse y si una aplicación maliciosa reside en el dispositivo de un usuario, pone en riesgo potencial la aplicación del desarrollador.

Otra idea errónea es que los sistemas operativos iOS y Android proporcionan una seguridad adecuada para el dispositivo móvil y, por extensión, una seguridad adecuada para sus aplicaciones móviles. Esto es cierto hasta cierto punto. Android e iOS dedican bastante tiempo a parchear sus sistemas operativos para eliminar vulnerabilidades, pero ninguno de ellos es 100% seguro y no pueden tener en cuenta la negligencia de los usuarios. Los desarrolladores de aplicaciones móviles no pueden depender simplemente de la seguridad de Android o iOS y deben tomar medidas adicionales para que sus aplicaciones sean seguras. También hay que tener en cuenta que siempre hay un intervalo de tiempo entre la identificación de una vulnerabilidad y el lanzamiento de un parche por parte de los fabricantes y los operadores de telefonía móvil. Si el parche no se descarga, el usuario podría acabar ejecutando versiones del sistema operativo muy anticuadas y llenas de oportunidades para los atacantes y el código malicioso.

Seguridad necesaria para las aplicaciones bancarias

El Proyecto Abierto de Seguridad de las Aplicaciones Web (OWASP), una comunidad internacional de líderes del sector en su campo -tecnólogos, expertos en seguridad de datos y desarrolladores-, ha desarrollado una línea de base independiente para la seguridad de las aplicaciones móviles llamada Mobile App Security Verification Standard (MASVS). El Open Web Security Project ofrece una guía imparcial sobre las capacidades de seguridad recomendadas para las aplicaciones móviles de iOS y Android, dependiendo de su función. Las aplicaciones de servicios bancarios y financieros requieren el estándar de seguridad más estricto según OWASP debido a sus datos sensibles. También deben ser resistentes a la ingeniería inversa. Las aplicaciones bancarias atienden a un público amplio y variado que utiliza diversos dispositivos con diferentes sistemas operativos, por lo que hay que tomar precauciones adicionales. Las aplicaciones bancarias se rigen por el MASVS L2+R del Open Web Application Security Project (OWASP), el estándar de seguridad más estricto.

Póngase en contacto con nosotros

Póngase en contacto con uno de nuestros expertos en seguridad para saber más sobre cómo nuestras soluciones pueden ayudarle con sus necesidades de seguridad digital

Contáctenos