Vivimos en un mundo que da prioridad al móvil. Las aplicaciones móviles se han convertido en una presencia omnipresente en nuestras vidas. Las utilizamos para consultar nuestras carteras de inversión, pedir comida e incluso encontrar pareja. 

Pero a medida que dependemos cada vez más de estas aplicaciones para gestionar nuestras vidas personales y profesionales, las empresas luchan por prevenir los ciberataques que se originan desde dentro de la aplicación y desde los miles de millones de dispositivos conectados a ella. Esto significa que cualquier organización que pretenda atraer a los clientes de hoy y de mañana necesita ofrecer una experiencia móvil bien protegida.

Los piratas informáticos, a menudo bandas de ciberdelincuentes con muchos recursos, reconocen que las aplicaciones móviles son una puerta de entrada a la empresa. A medida que aumenta la concienciación sobre este riesgo, las empresas buscan cada vez más soluciones para asegurar y proteger sus aplicaciones móviles.

"Asegurar y proteger" significa cosas distintas para cada persona. Por ejemplo:

  • Para los CISO, significa que las aplicaciones móviles de sus organizaciones no se conviertan en un punto de entrada para que los actores de amenazas accedan a su infraestructura.
  • Para los desarrolladores de móviles, significa que un pirata informático no puede aplicar ingeniería inversa a la aplicación para robar todo su duro trabajo.
  • Para el responsable de cumplimiento, significa que los productos que su empresa saca al mercado cumplen los requisitos contractuales y normativos de su sector.
  • Para el usuario, significa que sus datos personales siguen siendo privados.
  • Para el vicepresidente de marketing, significa que la reputación de su marca no se verá destruida por un ciberataque contra la aplicación móvil.

Aquí es donde existe una gama de tecnologías para asegurar y proteger las aplicaciones móviles. En este post, vamos a echar un vistazo a tres soluciones de ciberseguridad relacionadas que pueden ayudar a los profesionales de la seguridad de aplicaciones a proteger a sus organizaciones de los ciberataques:

  1. Blindaje de aplicaciones
  2. Móvil Autoprotección de aplicaciones en tiempo de ejecución (RASP)
  3. Protección dentro de la aplicación

Estos términos se utilizan a menudo como sinónimos el uno del otro, pero existen sutiles diferencias.

App shielding vs RASP vs protección in-app

Blindaje de aplicaciones

El blindaje de aplicaciones es un proceso que consiste en inyectar medidas de seguridad en una aplicación móvil para dificultar a los atacantes el acceso y la comprensión del código de la aplicación. Esto permite que la aplicación cumpla con OWASP Mobile Top 10 controles M8 (manipulación de código) y M9 (ingeniería inversa).

En otras palabras, el blindaje de aplicaciones es el acto de "endurecer" la aplicación, que normalmente se utiliza para proteger contra ataques estáticos, en los que el atacante tiene acceso al código de la aplicación e intenta aplicar ingeniería inversa o explotar vulnerabilidades. 

El blindaje de aplicaciones no implica ninguna tecnología en particular. La solución podría ser una tecnología basada en un "envoltorio" (algo que Verimatrix no recomienda debido al punto único de fallo innato a tales enfoques) o un enfoque que intercala la protección con la lógica de negocio de la aplicación.

Entre las técnicas más utilizadas se encuentran el cifrado de código, la ofuscación del flujo de control, las comprobaciones ambientales en tiempo de ejecución, las comprobaciones de integridad binaria y la criptografía de caja blanca.

RASP

RASP es una tecnología de seguridad integrada en la propia aplicación. Funciona supervisando el entorno de ejecución de la aplicación para prevenir ataques en tiempo real. De ahí que la parte "en tiempo de ejecución" del nombre defina el objetivo de las soluciones RASP. 

RASP se utiliza normalmente para proteger contra ataques dinámicos, en los que el atacante intenta explotar vulnerabilidades o manipular el comportamiento de la aplicación en tiempo de ejecución. Esto significa observar la aplicación mientras se ejecuta y buscar amenazas contra su protección y los datos que contiene.

Al igual que con el blindaje de aplicaciones, RASP no implica una tecnología en particular, aunque una solución RASP típica desplegará una tecnología de supervisión en tiempo de ejecución similar al blindaje de aplicaciones (comprobaciones del entorno y protección de la integridad del código), pero a veces la aumentará con un componente del lado del servidor para proporcionar una supervisión adicional. Esta supervisión adicional suele denominarse atestación del dispositivo.

Protección dentro de la aplicación

Cualquier protección que se implemente dentro de la propia aplicación se considera protección in-app. Esto significa que, para que se considere realmente protección in-app, la protección no puede depender del dispositivo, el sistema operativo o la red. La protección debe mantenerse incluso cuando la aplicación está aislada del dispositivo y/o de Internet por un actor de la amenaza.

Cuando las aplicaciones protegidas se ejecutan en dispositivos no gestionados, como es el caso de todas las aplicaciones móviles de consumo, las técnicas de protección in-app son cruciales, ya que el único punto de control de seguridad de que disponemos es la propia aplicación móvil.

Por ejemplo, una solución RASP con un componente de atestación de dispositivos requiere protección dentro de la aplicación para anclar firmemente los componentes de atestación del lado del cliente. De lo contrario, es fácil que un agresor manipule la aplicación para falsificar los datos de atestación.

Por qué el blindaje de aplicaciones y el RASP son tan importantes en el panorama digital

Un error común que los profesionales de la seguridad pueden tener sobre soluciones de seguridad como RASP es que sólo son eficaces contra amenazas y ataques conocidos. Sin embargo, no es así. 

RASP es capaz de prevenir tanto las amenazas conocidas como las desconocidas en tiempo real, monitorizando el entorno de ejecución de la aplicación y buscando cualquier actividad sospechosa o maliciosa. Esto significa que incluso si se descubre un nuevo tipo de ataque, RASP puede prevenirlo, lo que lo convierte en una poderosa herramienta en la lucha contra los ciberataques.

Además, el RASP se amplía a menudo para proporcionar información valiosa y datos de telemetría que pueden utilizarse para mejorar la seguridad general del ecosistema de aplicaciones.

Pero, ¿por qué es tan importante contar con estas protecciones? La amenaza a la seguridad de las empresas que más rápido crece en la actualidad procede de las aplicaciones móviles y de los miles de millones de dispositivos que se conectan a ellas. 

El número de dispositivos móviles en uso en 2023 rondará los 7.000 millones. Todos estos dispositivos conectados a Internet han descargado y utilizado múltiples aplicaciones. Y este número no deja de aumentar. Esto significa que el riesgo de ciberataques también aumentará. De hecho, McKinsey estima que los daños por ciberataques ascenderán a unos 10,5 billones de dólares anuales en 2025. Tanto el blindaje de aplicaciones móviles como el RASP pueden ser componentes esenciales para proporcionar ciberseguridad a las aplicaciones móviles.

Algunos ejemplos de ataques reales que podrían haberse evitado si se hubieran aplicado soluciones RASP o de blindaje de aplicaciones son los siguientes:

WhatsApp

En 2019, un grupo de hackers utilizó una app maliciosa disfrazada de app utilitaria legítima, WhatsApp, para infectar los teléfonos de al menos 25 millones de usuarios con malware. El malware estaba diseñado para robar información sensible del dispositivo del usuario, como credenciales de inicio de sesión, información de tarjetas de crédito y mucho más.

Bancos estadounidenses y europeos

IBM Trusteer informó que un peligroso grupo de piratas informáticos utilizó un emulador de móvil para suplantar los dispositivos móviles de clientes bancarios y sustraer millones de dólares de bancos de Europa y Estados Unidos. Se postula que los atacantes utilizaron emuladores de móviles para suplantar decenas de miles de dispositivos comprometidos. Desviaron datos de identificación personal para que los emuladores de móviles pudieran suplantar dispositivos legítimos. A continuación, introdujeron credenciales de cuentas bancarias en las aplicaciones para crear métodos de retirada falsos.

Obtenga Extended Threat Defense (XTD) para una protección de aplicaciones todo en uno.

Hay varios proveedores de ciberseguridad en el mercado que proporcionan seguridad para aplicaciones móviles, como RASP y app shielding, o que ofrecen defensa frente a amenazas móviles para los dispositivos gestionados de los empleados, pero pocos proveedores protegen las aplicaciones móviles y defienden a la empresa frente a la miríada de dispositivos no gestionados alimentados por esas aplicaciones. 

Algunos ejemplos de dispositivos conectados no gestionados son los teléfonos inteligentes de los consumidores, las tabletas de reparto nocturno, los TPV de pago, los electrodomésticos inteligentes, las tecnologías de coche sin llave, etc.

RASP y app shielding ofrecen medidas de seguridad centradas en la prevención de ataques estáticos y dinámicos a nivel de app, y deben utilizarse junto con otras soluciones de ciberseguridad como mobile threat defense, que supervisa las amenazas a nivel de dispositivo no gestionado. Sólo un paraguas de seguridad integral protegerá contra una amplia gama de ciberamenazas.

Extended Threat Defense (XTD)una nueva solución de ciberseguridad de Verimatrix.va más allá de las tres soluciones para proporcionar una solución de ciberseguridad integral para aplicaciones móviles de consumo. Esto incluye técnicas avanzadas de detección y respuesta a amenazas.

Verimatrix XTD ayuda a los CISO, equipos SOC, ingenieros de aplicaciones y desarrolladores de aplicaciones móviles a predecir, prevenir, detectar y responder a ciberataques de un nuevo tipo de riesgo móvil: ataques desde dispositivos no gestionados que funcionan con una aplicación. Cualquier empresa que tenga una aplicación está en riesgo.