Recientemente, hemos visto cómo las noticias de ciberseguridad han sido dominadas por una amenaza detectada a principios de 2021, denominada Teabot, que afecta principalmente dispositivos móviles Android con la intención de robarse contraseñas bancarias. Lo preocupante es que el método que se usa para atacar los dispositivos de los usuarios no es complejo, ni requiere un comportamiento anómalo del usuario, simplemente usa una herramienta que los usuarios utilizan diariamente: los mensajes de texto o SMS.
A pesar de que esta amenaza aún no parece haber llegado a América Latina, su desarrollo es especialmente grave para la región, puesto que las instituciones financieras y otros proveedores de servicios con aplicaciones móviles, continúan usando los SMS como principal método de autenticación y seguridad, una práctica que les ahorra costos y les permite acortar tiempos de desarrollo e implementación de sus aplicaciones, pero que deja a sus usuarios vulnerables ante este tipo de ataques, puesto que se ha demostrado que esta herramienta tiene la capacidad de interceptar incluso los mensajes de autenticación enviados para confirmar la identidad del usuario.
Aprovecharse de los servicios de accesibilidad de Android con fines de lucro no es una táctica nueva, pero vemos con preocupación que la cantidad de ataques por esta vía está aumentando por distintos motivos, por un lado está el hecho de que cada vez más personas se adentran a los servicios financieros móviles, lo que tiene como consecuencia que sea más y más lucrativo atacar las aplicaciones de banca móvil, hay que recordar que los criminales operan con la intención de maximizar el retorno de sus actividades.
Hay que destacar que la fuente de estos ataques es difícil de rastrear, puesto que, en muchos casos, estos esquemas de superposición móvil se venden como un servicio para que incluso delincuentes menos capacitados puedan aprovechar la tecnología ya desarrollada. Esto es solo el comienzo de la ola, y los ataques de superposición en dispositivos Android continuarán siempre que tengan éxito.
¿Qué hacer para blindar las aplicaciones móviles y proteger a los usuarios?
Existen diversos pasos que las instituciones financieras pueden tomar para asegurar que sus usuarios están protegidos ante ataques, una primera acción es dejar el uso de credenciales estáticas para procesos que requieren autenticación. Modernizando su arquitectura de autenticación, las instituciones financieras pueden mantenerse un paso adelante de los ataques.
También es posible implementar el blindaje de aplicaciones móviles, una manera de proteger la seguridad del propio código fuente de la aplicación móvil. Los criminales suelen buscar oportunidades de ataque por dos vías, del lado del cliente y en el back-end del banco (también conocido como el lado del servidor).
Los bancos tienen mucho más control sobre el back-end y pueden garantizar de manera más efectiva que su infraestructura cumpla con los estándares de seguridad. Sin embargo, las aplicaciones de banca móvil están instaladas en los dispositivos de los clientes, que es un entorno fuera del control del banco.
El blindaje de aplicaciones móviles ofrece seguridad que viaja junto con la aplicación para protegerla incluso en dispositivos comprometidos que han otorgado acceso a los servicios de accesibilidad a una aplicación maliciosa. Con este blindaje es posible detectar la manipulación o el abuso de los servicios de accesibilidad de Android y cerrar la interferencia antes de que los atacantes puedan robar credenciales y vaciar una cuenta.
Una tercera acción que se puede comenzar a implementar de manera inmediata es la protección multi capa, que implica asegurar distintas partes del proceso de comunicación que las aplicaciones tienen que realizar para completar sus tareas, por ejemplo, asegurando el canal de comunicación, haciendo análisis de riesgos en tiempo real, del lado del cliente y del servidor, así como el monitoreo continuo de las sesiones mediante aprendizaje autónomo.
Asegura la autenticación y mucho más
Es importante tener en mente que la autenticación es un factor, claramente relevante, dentro de los múltiples pasos que hacen a una aplicación segura y efectiva para los usuarios de un banco o institución financiera, también será necesario poner atención al análisis de interacciones, el monitoreo continuo de las sesiones, el blindaje total de las aplicaciones y toda una serie de soluciones de seguridad que resultarán en una mejor experiencia de uso, al garantizar la confiabilidad.
En conclusión, consideramos que una experiencia móvil segura y eficiente, incorpora soluciones de autenticación que van más allá de las contraseñas de un solo uso, enviadas por SMS, además de capas de seguridad adicional que brindan al usuario una mayor tranquilidad de que sus datos se encuentran protegidos. La decisión de brindar esta robusta protección reside en las instituciones financieras y no debería ser complicada de tomar, especialmente si se toman en cuenta los grandes beneficios que brinda a los usuarios. – Camilo Méndez, director de transformación digital para Latinoamérica, en OneSpan.