La seguridad de la mayoría de aplicaciones bancarias para iOS no es aceptable

Escrito por Adrián Crespo
Comercio Online
0

Cada vez son más comunes las aplicaciones bancarias en los sistemas operativos móviles. Las entidades quieren que los usuarios accedan a los servicios a través de estas pero desde hace tiempo su seguridad es un problema. Aunque los responsables se esfuerzan, la mayoría eran vulnerables y comprometían los datos de los usuarios, tal y como confirmó un estudio hace dos años.

Los test se han repetido de nuevo, y aunque los resultados de las pruebas han mejorado notablemente, aún persisten algunos problemas catalogados como importantes y que podrían suponer la exposición de los datos de los usuarios. Ariel Sanchez, investigador encargado de llevar a cabo el estudio de más 40 aplicaciones de estas características, ha detallado que la mejora ha sido sustancial, pero la seguridad en el lado del usuario aún sigue siendo muy débil. Y es que no es una novedad que el lado del usuario sea el más atacado, ya que su seguridad no se encuentra a la altura de la de los servidores, sirviendo este punto como entrada para obtener datos de estos de una forma mucho más sencilla.

Fallo en la validación de certificados SSL de las conexiones o inyección de código JavaScript son dos de las vulnerabilidades más encontradas a lo largo del estudio, cuya metodología de análisis se puede encontrar en el siguiente enlace. El primero permite la realización de ataques Man-in-the-Middle que permitirá la interceptación de las comunicaciones entre ambos extremos y su posterior robo. En el caso de la segunda, sin ir más lejos estos días nos hemos hecho eco de una ataque que se está llevando a cabo en dispositivos Android gracias a un troyano bancario, el cual crea formularios que se superponen a los legítimos de las aplicaciones, permitiendo el robo de las credenciales de acceso sin que el usuario sea consciente.

Pero los problemas no terminan aquí, ya que la mayoría de las aplicaciones no validan la información recibida, por lo que los ciberdelincuentes podrían inyectar paquetes maliciosos que serían procesados por la aplicación, cuando en realidad deberían descartarse.

Las aplicaciones bancarias han visto su seguridad mejorada, pero no lo suficiente

Durante el estudio, Sanchez afirma que ha observado una mayor protección durante el transporte de la información, aunque los ataques aún pueden producirse, tal y como hemos podido comprobar. Añade que aunque parezca inverosímil, el índice de adaptación de la autenticación en dos pasos en este tipo de aplicaciones es muy bajo y que en este aspecto las redes sociales y servicios de mensajería están un paso por delante.

Afirma que sí que es cierto que algunas lo incorporan como sistema para paliar los posibles robos de credenciales, evitando que las cuentas sean utilizadas de forma no autorizada.

En resumen, aunque la seguridad ha mejorado desde la última vez que se realizó el estudio, podría decirse que la seguridad de las aplicaciones no es acorde a los datos que manejan y que aún deben mejorar de forma considerable.

Fuente | The Register


Últimos análisis

Valoración RZ
10
Valoración RZ
7
Valoración RZ
9
Valoración RZ
10
Valoración RZ
8
Valoración RZ
10
Valoración RZ
9
Valoración RZ
9
Valoración RZ
10