Mientras los clientes aprenden a utilizar aplicaciones de banca móvil en lugar de banca en sucursales, los ciberdelincuentes están en alerta máxima abriendo nuevas posibilidades para actividades fraudulentas. En estas circunstancias, los bancos de todos los tamaños deberían pensar cuidadosamente cómo aumentar la seguridad de la banca móvil y proteger los datos de los clientes. Una nueva era en el fraude en la banca móvil Los investigadores de seguridad descubren constantemente nuevo malware dirigido a aplicaciones de banca móvil. Uno de ellos es FakeBank, un software espía que monitorea la actividad de los SMS en busca de mensajes de verificación entrantes del banco de un cliente. Cuando un usuario de banca móvil recibe un SMS con un código de verificación, el software espía copia el contenido y lo envía a los estafadores. Otro malware, descubierto por los sistemas de seguridad de ESET, se propaga como una imitación de la aplicación de vídeo Flash Player, ya sea instalada desde un sitio web infectado o mediante un SMS depredador que contiene un enlace de descarga malicioso. Una vez instalada en el teléfono, la aplicación falsa solicita derechos de administrador del dispositivo y, si el usuario los concede, el malware crea una pantalla de inicio de sesión falsa que aparecerá la próxima vez que el usuario inicie sesión en una aplicación de banca móvil. Una vez que las víctimas ingresan su nombre de usuario y contraseñas, el malware copia estos datos para que los estafadores puedan usarlos posteriormente para acceder a la cuenta de forma remota y robar el dinero. Además, Roman Unuchek, analista senior de malware de Kaspersky Lab, descubrió recientemente una nueva modificación del conocido troyano bancario móvil Svpeng. En noviembre de 2016, logró infectar más de 318.000 dispositivos Android en todo el mundo utilizando anuncios de Google AdSense. Por ahora, Svpeng se considera uno de los programas maliciosos de banca móvil más peligrosos debido a sus poderosas capacidades. Por ejemplo, el troyano puede aparecer sobre otras aplicaciones, otorgarse permisos para enviar y recibir SMS, realizar llamadas y leer contactos, así como otorgarse derechos de administrador del dispositivo y bloquear cualquier intento de cancelar esta acción. Como puede ver, los estafadores se vuelven cada vez más creativos a la hora de inventar software malicioso para el sector bancario. En estas circunstancias, recomendamos ser reflexivo y cauteloso al elegir su equipo de desarrollo de banca móvil, así como verificar cuidadosamente sus aplicaciones bancarias existentes en busca de vulnerabilidades. Dónde se esconden las vulnerabilidades de la banca móvil En 2017, Accenture y NowSecure realizaron evaluaciones de vulnerabilidad de aplicaciones de banca móvil pertenecientes a 15 bancos norteamericanos. Después de probar aplicaciones para iOS y Android, describieron la siguiente lista de los principales riesgos de seguridad de la banca móvil: Archivos grabables en todo el mundo (es decir, otras aplicaciones pueden tener acceso de escritura a los archivos) Comprobación SSL rota/datos confidenciales en tránsito (es decir, comunicaciones no cifradas) Escribibles ejecutables: pueden generar vulnerabilidades adicionales en la aplicación cuando se combinan con otros problemas. Falta de ofuscación del código fuente de la aplicación, lo que facilita la ingeniería inversa. Implementación segura y aleatoria débil. Carga dinámica de código. Estableció de manera inapropiada el indicador «HttpOnly» (para evitar ataques XSS). Estableció de manera inapropiada «Secure» bandera (para evitar el envío de cookies a través de canales inseguros) Tráfico TLS con datos confidenciales Falta de seguridad de transporte de aplicaciones (por ejemplo, ATS deshabilitado globalmente). También puede utilizar pruebas de penetración de caja negra o blanca para comprobar si su aplicación de banca móvil existente tiene alguna de estas vulnerabilidades y pedirle a su equipo de desarrollo que las solucione, si corresponde. Aparte de estas medidas, también puedes modificar tu aplicación de varias maneras. Cinco formas de fortalecer la seguridad de la banca móvil 1. Introducir la huella digital del dispositivo Esta característica sirve para determinar la integridad del dispositivo y ayuda a confirmar la identidad del usuario mediante el uso del conjunto único de señales obtenidas del dispositivo. Dichas señales suelen incluir dirección IP, ubicación, tamaño de pantalla, navegador, hora del día, tipo de dispositivo, etc. 2. Implementar soluciones SIEM La protección de la banca móvil con un sistema SIEM permite identificar una gran cantidad de riesgos, anomalías y comportamientos maliciosos, como : dispositivo con jailbreak o rooteado el dispositivo está conectado a una red Wi-Fi insegura el dispositivo está ejecutando un acceso de emulador desde países extranjeros alta velocidad de inicios de sesión recientes escalada en intentos incorrectos de inicio de sesión otras circunstancias inusuales. Puede crear sus reglas de correlación personalizadas y definir cuándo estos eventos activarán una alerta del sistema. 3. Agregar autenticación multifactor Un simple requisito de enviar una contraseña para acceder a la cuenta bancaria de un cliente en una aplicación de banca móvil ya no es satisfactorio para prevenir el fraude. Para aumentar la seguridad de la banca móvil, los bancos deberían agregar otra capa de defensa, como contraseñas de un solo uso generadas o autenticación biométrica. Este último puede basarse en características físicas estáticas o en patrones de comportamiento humano. Mientras que la biometría estática analiza las características fisiológicas de las personas, como las huellas dactilares, el iris, la retina, etc., la biometría conductual se ocupa de la voz de una persona, el ritmo de escritura, la velocidad de desplazamiento, los patrones de deslizamiento y otros rasgos que revelan las formas únicas en que las personas interactúan con sus dispositivos. Cuando se implementan, estos factores son casi imposibles de imitar para los estafadores. 4. Ofrezca alertas de texto y correo electrónico en tiempo real Al agregar alertas de seguridad a su funcionalidad de banca móvil, podrá notificar a sus clientes en tiempo real cuando haya habido alguna actividad inusual en línea o mediante un dispositivo móvil. Estas alertas permiten a un banco notificar a los consumidores: Cuando se producen grandes compras Cuando el perfil o la contraseña de un cliente cambian Cuando un retiro en un cajero automático excede una cierta cantidad Cuando el saldo de la cuenta de un cliente cae por debajo de una cantidad específica Cuando se produce cualquier compra con tarjeta de débito, etc. Por ejemplo, Si un banco se da cuenta de que un cliente ha realizado un pago en línea a un beneficiario desconocido, el banco puede enviar al consumidor una alerta de texto para confirmar que la transacción solicitada es legítima. Como resultado, esta funcionalidad no sólo puede ayudar a prevenir el fraude, sino también mejorar la experiencia del cliente y aumentar la confianza. 5. Eduque proactivamente a sus clientes Fortalecer la seguridad de la banca móvil no es sólo responsabilidad del banco, y los clientes también deben tomar sus propias precauciones. Es por eso que los bancos que ofrecen aplicaciones de banca móvil a sus clientes también deberían educarlos sobre cómo protegerse de cualquier actividad fraudulenta. ¿Seguridad o UX? Lograr un equilibrio adecuado entre seguridad y experiencia del usuario es un objetivo desafiante en el desarrollo de la banca móvil. Teniendo en cuenta que las aplicaciones de banca móvil actualmente almacenan y transmiten un número cada vez mayor de datos confidenciales de los clientes, los bancos deberían contratar sólo desarrolladores experimentados con una mentalidad de «la seguridad es lo primero». Aún así, la adopción de la banca móvil se correlaciona en gran medida con la experiencia del usuario y la conveniencia general de la aplicación. Si los bancos sacrifican la experiencia del usuario por la seguridad, los clientes, especialmente los Millennials, pueden no estar dispuestos a utilizar la banca móvil debido a la mayor fricción. Por lo tanto, aconsejamos a los bancos que consideren cómo equilibrar la seguridad y la UX mientras planifican la implementación de la banca móvil y crean los requisitos para ello. Desarrollo de aplicaciones de banca móvil ¿Busca desarrolladores de banca móvil de primer nivel? Creamos aplicaciones de banca móvil galardonadas que mejoran la experiencia del cliente y garantizan ahorros de costos.

Source link