El Dr. Klaus Schenk es SVP Security and Threat Research en Verimatrix, donde lidera un equipo de científicos de datos y dirige VMX Labs, siendo pionero en la investigación avanzada de ciberseguridad y desarrollando soluciones innovadoras para salvaguardar aplicaciones, APIs y contenido digital.

P1: ¿Por qué es fundamental el cumplimiento de la norma PCI DSS para las aplicaciones móviles?

Dr. Klaus Schenk: PCI DSS, o Payment Card Industry Data Security Standard, es un conjunto de requisitos de seguridad diseñados para proteger la información de las tarjetas de pago durante su procesamiento, almacenamiento y transmisión. Fue establecido por las principales empresas de tarjetas de crédito, como Visa, MasterCard y American Express, para reducir el fraude en los pagos y mejorar la seguridad de los datos de los titulares de tarjetas.

Dado que cada vez se realizan más transacciones a través de aplicaciones móviles, la norma PCI DSS debe estar presente en la mente de los desarrolladores de aplicaciones desde el principio. No se trata solo de cumplir los requisitos normativos; se trata de preservar la confianza de los clientes y salvaguardar la reputación de la marca.

Para ilustrar el amplio alcance de la DSS de la PCI, se extiende incluso a los dispositivos personales cuando se utilizan como dispositivos de punto de venta (TPV) para un comerciante. Las directrices del Consejo de Normas de Seguridad de la PCI se refieren a "las aplicaciones de pago que funcionan en cualquier dispositivo electrónico portátil de consumo que no esté dedicado exclusivamente al procesamiento de transacciones de aceptación de pagos." 

Esto ilustra la necesidad de que los desarrolladores aborden de forma exhaustiva y proactiva los requisitos de protección en medio de un ecosistema de dispositivos y usos muy variados. Al fin y al cabo, los TPV no son más que un ejemplo de aplicación móvil aplicable, ya que casi cualquier aplicación que interactúe con datos de tarjetas de crédito debe cumplir los requisitos de la PCI DSS.

P2: ¿Cuáles son algunos de los conceptos erróneos más comunes sobre el cumplimiento de PCI DSS para aplicaciones móviles?

Dr. Klaus Schenk: Uno de los mayores errores es la idea de que cumplimiento es igual a seguridad o que seguridad es igual a cumplimiento. Que una aplicación cumpla los requisitos de la PCI DSS no significa que sea totalmente segura, y que una aplicación esté bien protegida no significa que cumpla los requisitos de la PCI DSS. PCI es una norma básica diseñada para minimizar el riesgo, pero no tiene en cuenta todas las amenazas posibles.

A menudo, las empresas se dejan llevar por una falsa sensación de seguridad cuando se centran únicamente en el cumplimiento de las normas, sin ver las amenazas más profundas y cambiantes que acechan bajo la superficie. Cumplir las normas PCI es sólo el principio. Establece el suelo, no el techo, de las medidas de seguridad.

Piense en la seguridad como un blanco móvil. De hecho, los ciberdelincuentes evolucionan constantemente en sus tácticas. Los marcos de cumplimiento están diseñados para abordar los riesgos conocidos, pero no pueden anticiparse a todas las amenazas emergentes. Para proteger realmente los datos de pago confidenciales, las empresas deben ir más allá del cumplimiento y adoptar una postura de seguridad deliberadamente proactiva.

P3: ¿Cuáles son las amenazas de seguridad más comunes a las que se enfrentan las aplicaciones móviles en relación con el cumplimiento de la norma PCI DSS?

Dr. Klaus Schenk: Imaginemos una aplicación de punto de venta (TPV) utilizada por una conocida cadena de restaurantes. Está diseñada para que las transacciones sean rápidas y fluidas, permitiendo a los clientes pagar directamente en su mesa utilizando una tableta o un smartphone. Desde fuera, parece una combinación perfecta de comodidad y tecnología. Pero bajo la superficie, este tipo de aplicación móvil es una mina de oro para los ciberdelincuentes.

¿Por qué? Porque maneja información de pago confidencial todos los días: números de tarjetas de crédito, fechas de caducidad, CVV e incluso nombres de clientes. Si estos datos se ven comprometidos, las consecuencias pueden ser catastróficas, no sólo para los clientes afectados, sino también para la reputación de la empresa. Y las amenazas están en todas partes:

  • Malware móvil: Los ciberdelincuentes, que también pueden trabajar para el comerciante que opera el TPV, pueden instalar software malicioso diseñado para robar datos de pago o credenciales de inicio de sesión. Esto es especialmente peligroso cuando las aplicaciones de TPV están conectadas a redes Wi-Fi públicas.
  • Manipulación de aplicaciones e ingeniería inversa: Los piratas informáticos analizan la aplicación para entender cómo funciona, exponiendo potencialmente los mecanismos de seguridad. Una vez que descubren el funcionamiento interno, pueden crear versiones maliciosas que parezcan y se comporten exactamente igual que la aplicación original, pero que roben datos en secreto.

El cumplimiento de la norma PCI DSS no consiste sólo en cifrar los datos de pago, sino en proteger todo el ecosistema del dispositivo, desde la interfaz de usuario hasta los servidores.

P4: ¿Cómo pueden garantizar los desarrolladores de aplicaciones móviles que sus aplicaciones cumplen la norma PCI DSS?

Dr. Klaus Schenk: Empiece por entender exactamente qué significa el cumplimiento de la norma PCI DSS para las aplicaciones móviles. Recomiendo leer la documentación oficial de PCI DSS, que ofrece un desglose detallado de los requisitos para procesar, almacenar y transmitir de forma segura los datos de las tarjetas de pago. Puede encontrar las directrices más recientes aquí: PCI Security Standards Council.

Una vez que comprenda los requisitos, el siguiente paso es pensar en cómo puede protegerse mejor el código de su aplicación. Recuerde que el cumplimiento de la norma PCI DSS no consiste únicamente en cifrar los datos de pago, sino en proteger todo el ecosistema de la aplicación frente a posibles amenazas. Esto incluye proteger las API, las integraciones de terceros y los mecanismos de autenticación de usuarios.

Al considerar una plataforma de protección de aplicaciones, busque características como:

  • Ofuscación de código: Esto hace que el código fuente de la aplicación sea difícil de entender, impidiendo a los atacantes realizar ingeniería inversa.
  • Criptografía de caja blanca: Protege las claves de cifrado incluso cuando se están utilizando, lo que garantiza la seguridad de los datos confidenciales.
  • Blindaje de aplicaciones móviles: Proporciona protección en tiempo real contra la manipulación, los ataques en tiempo de ejecución y el malware.
  • Autoprotección de aplicaciones en tiempo de ejecución (RASP): Supervisa el comportamiento de la aplicación en tiempo real y responde automáticamente a actividades sospechosas.
  • Protocolos de comunicación seguros: Garantiza que los datos transmitidos entre la aplicación y el servidor estén cifrados y protegidos de ataques de intermediario y criptográficos, así como de ataques al protocolo.

También sugiero integrar el aprovisionamiento de protección en su tubería CI/CD-añadiendo pruebas de penetración automatizadas y manuales periódicas. Esto le permite detectar vulnerabilidades en una fase temprana del proceso de desarrollo, antes de que lleguen a producción. Al automatizar estos aspectos de la seguridad, se mantiene un ciclo de desarrollo rápido sin sacrificar el cumplimiento o la seguridad.

Por último, elija una solución que soporte el cumplimiento continuo. La norma PCI DSS no se aplica una sola vez, sino que requiere una supervisión continua y actualizaciones periódicas. Una buena plataforma de protección de aplicaciones le ayudará a mantener el cumplimiento ofreciendo integración SIEM para una supervisión centralizada e informes de cumplimiento detallados adaptados a los requisitos de PCI DSS.

Integrar la seguridad en el flujo de trabajo de desarrollo no solo simplifica el cumplimiento de las normativas, sino que también refuerza la seguridad general del producto. Se trata de proteger el producto de forma proactiva sin dejar de innovar y ofrecer una gran experiencia de usuario.

P5: ¿Qué papel desempeña el registro en el cumplimiento de la norma PCI DSS?

Dr. Klaus Schenk: El registro es crucial para crear una pista de auditoría de las actividades del usuario y del sistema. La norma PCI DSS v4.0 impone requisitos estrictos en materia de registro, como garantizar su integridad, controlar el acceso y establecer políticas de conservación.

Un registro eficaz ayuda a identificar actividades sospechosas, accesos no autorizados o posibles infracciones en tiempo real. No se trata solo de recopilar registros, sino también de analizarlos para detectar anomalías.

La supervisión centralizada puede reducir drásticamente los tiempos de detección y respuesta. Se trata de mantener la visibilidad del comportamiento de la aplicación y poder reaccionar con rapidez ante posibles amenazas.

P6: ¿Cómo deben gestionar las organizaciones los datos de registro para cumplir los requisitos de PCI DSS?

Dr. Klaus Schenk: Según PCI DSS v4.0 Sección 10, todas las organizaciones que procesan, almacenan o transmiten datos de tarjetas de pago deben:

  • Registre todos los accesos a los datos de los titulares de tarjetas para crear una pista de auditoría.
  • Proteja los archivos de registro para evitar cambios no autorizados y garantizar la integridad.
  • Revise diariamente los registros para detectar incidentes de seguridad y consérvelos durante al menos 12 meses.
  • Limite el acceso a los registros únicamente al personal autorizado.
  • Utiliza tecnología de sincronización horaria para garantizar la coherencia de las marcas de tiempo.

Estos requisitos se aplican universalmente, pero su aplicación puede variar según el sector. Por ejemplo, los minoristas están en el punto de mira de los ataques de usurpación de credenciales y fraude en los pagos, especialmente con el aumento de las compras en línea y los pagos por móvil. PCI DSS exige el registro de todos los intentos de autenticación, incluidos los inicios de sesión fallidos, para detectar accesos no autorizados y actividades sospechosas.

Si un sistema de punto de venta ve varios intentos de inicio de sesión fallidos en rápida sucesión, esto podría indicar un ataque de robo de credenciales en el que robots automatizados están intentando robar contraseñas. Al registrar y supervisar estos eventos, los minoristas pueden detectar y bloquear actividades maliciosas antes de que se produzca una brecha.

P7: ¿Qué tendencias observa en el cumplimiento de PCI DSS para aplicaciones móviles?

Dr. Klaus Schenk: Una tendencia importante es el cambio hacia el cumplimiento continuo. Las organizaciones están pasando de las auditorías anuales a la supervisión y validación continuas. Este enfoque proactivo les ayuda a adelantarse a las amenazas emergentes.

También se presta cada vez más atención a la seguridad de las API, que son cada vez más el blanco de los agresores. A medida que aumenta el número de aplicaciones que dependen de las API para la comunicación y el intercambio de datos, su protección resulta fundamental para el cumplimiento de la norma PCI DSS.

También me entusiasma el papel de la inteligencia artificial y el aprendizaje automático en la detección de amenazas y la supervisión del cumplimiento de la normativa. Estas tecnologías están mejorando el conocimiento de la seguridad en tiempo real, ayudando a las organizaciones a detectar anomalías más rápidamente y responder con mayor eficacia.

P8: ¿Algún consejo de despedida para que los desarrolladores de aplicaciones móviles mejoren el cumplimiento de PCI DSS en sus aplicaciones?

Dr. Klaus Schenk: Con demasiada frecuencia, mi equipo y yo nos encontramos con escenarios en los que los desarrolladores de aplicaciones móviles saben que van a enfrentarse a una auditoría, por lo que buscan rápidamente una solución de seguridad y terminan eligiendo lo que puede parecer la opción más sencilla, pero que termina causando grandes dolores de cabeza en el camino.

A pesar de las abrumadoras ventajas de un enfoque de protección integral por capas, los desarrolladores pueden centrarse en el precio. El resultado es casi siempre una solución básica que se queda corta. E incluso puede traducirse en una falta de certificación por parte del banco. 

Lección aprendida: tomar atajos en materia de seguridad para ahorrar costes puede acabar costando mucho más a largo plazo. Lo que parece una ganga acaba retrasando el lanzamiento y dañando la credibilidad ante el banco. Cumplir las normas no es sólo pasar una auditoría; es proteger a los usuarios y la reputación de la empresa.