Un gran número de aplicaciones bancarias para iOS, muy utilizadas por los clientes de las entidades financieras más conocidas de todo el mundo, contienen vulnerabilidades que exponen a los usuarios al robo de datos y a la violación de sus cuentas. De hecho, si los cibercriminales supieran de estas vulnerabilidades, podrían monitorizar el comportamiento de los usuarios a través de ataques Man-in-the-Middle, entrar en sus cuentas mediante hijacking y provocar problemas en la memoria que acarrearían el colapso del sistema y el robo de datos. Gracias a todas estas vulnerabilidades, los delincuentes podrían robar las contraseñas de los usuarios y tener acceso a sus cuentas de banca online.
Ariel Sanchez, investigador argentino que trabaja en la empresa de seguridad IOActive, examinó 40 aplicaciones móviles pertenecientes a los sesenta bancos más importantes del mundo. Entre otros aspectos, Sanchez analizó la seguridad de los mecanismos de transferencia datos, la interfaz de usuario, los proceso de almacenamiento datos y otras cuestiones más técnicas como compiladores y códigos binarios.
Sanchez encontró muchas vulnerabilidades potencialmente explotables.
“Alguien con la habilidad adecuada podría utilizar esta información para encontrar otras vulnerabilidades y luego podría desarrollar un exploit o un malware que comprometiese los datos del usuario de las aplicaciones bancarias afectadas”, ha afirmado Sánchez. “Se trata del primer paso hacia una potencial amenaza de seguridad”.
IOActive ha informado a los bancos involucrados. Además, el experto afirma que, hoy en día, ninguna entidad ha solucionado los problemas de seguridad detectados.
Lo más preocupante, según Sánchez, es que durante el análisis estático de cada aplicación, se encontraron muchas credenciales incrustadas en los códigos binarios. Es decir, muchas aplicaciones bancarias contenían claves maestras fácilmente visibles, que permitirían el acceso a las infraestructuras de las aplicaciones. Desafortunadamente, los cibercriminales también podrían acceder a dicha información.
“Se podría explotar este tipo de vulnerabilidad para acceder a la infraestructura de las aplicaciones bancarias e infectarlas con malware, consiguiendo atacar a los clientes que las utilizan”, ha afirmado Sánchez.
Parte del problema es que muchas aplicaciones envían enlaces a los usuarios sin encriptación o no validan adecuadamente los certificados SSL cuando la información está cifrada. Este error, que para Sánchez simplemente deriva de un descuido por parte de los desarrolladores de las apps, hace que los usuarios sean vulnerables a ataques Man-in-the-Middle, con los que los cibercriminales podrían inyectar scripts de Java maliciosos o códigos HTML para sus ataques de phishing.
Todos los problemas detectados por el experto argentino, en el 70% de los casos, derivan del hecho de que los bancos no ha implementado un sistema de verificación doble.
“Para entrar en estas aplicaciones solo se necesita el código binario, una herramienta para descifrar el código y otra para separarlo”, ha añadido Sanchez. “No es difícil encontrar las instrucciones para hacerlo; alguien con un poco de tiempo e incluso sin experiencia podría conseguirlo”.
IOActive ha tratado el tema con seriedad y responsabilidad (para bien o para mal). Por un lado, la empresa no ha publicado los nombres de los bancos afectados por el problema, ni ha entrado en detalles sobre las vulnerabilidades específicas de cada aplicación y esto es bueno. Por el otro, no sabemos cuáles son los bancos y las aplicaciones vulnerables y, en consecuencia, no sabemos en cuáles podemos confiar.
Si no queremos correr riesgos, probablemente no deberíamos utilizar más las aplicaciones bancarias para móviles hasta que estos problemas no hayan sido confirmados y solucionados. Sin embargo, sabemos que casi todos nosotros seguiremos mirando la cuenta bancaria con nuestro smartphone. Mientras tanto, deberíamos, al menos, configurar un sistema de verificación doble si nuestra entidad nos lo ofrece. Además, es recomendable prestar atención a los enlaces que recibimos y mirar, de vez en cuando, nuestra cuenta bancaria para detectar algún movimiento raro. De este modo, sería más difícil caer en la trampa de los cibercriminales.