Por Neal Michie, Director de Gestión de Productos de Verimatrix y Pedro Fortuna, Director Técnico de Jscrambler
Quizá haya oído alguna vez la frase "toda empresa es una empresa de aplicaciones". Las aplicaciones móviles han transformado eficazmente sectores enteros como el transporte, los medios de comunicación, el comercio minorista y el alojamiento.
Las aplicaciones móviles facilitan enormemente la relación de los consumidores con los proveedores de servicios y ofrecen una experiencia uniforme dondequiera que se encuentren.
Sólo este año, el uso de aplicaciones bancarias móviles se ha duplicado en Estados Unidos, y observamos un patrón similar en todo el mundo. Pero la fuerza del móvil puede convertirse rápidamente en una debilidad si las empresas no prestan suficiente atención a sus riesgos de seguridad.
La confianza es un componente esencial de cualquier empresa. Y aunque la confianza y la seguridad se confunden a menudo, están interrelacionadas: si la seguridad se ve comprometida, puede quebrar rápidamente años de confianza ganada con mucho esfuerzo.
Las aplicaciones móviles se enfrentan a un duro escenario en lo que a seguridad se refiere. Cuando las empresas liberan sus aplicaciones sin protección, corren el riesgo de sufrir graves ataques. Mediante ingeniería inversa, los atacantes pueden analizar toda la aplicación y encontrar activos importantes, como código propietario o cómo se almacenan los datos personales. Así, este riesgo técnico se convierte rápidamente en una responsabilidad empresarial clave, por ejemplo, el incumplimiento de normativas de protección de datos como GDPR y CCPA.
Lo que dicen nuestros estudios
Un estudio de Verimatrix muestra que el 95% de las aplicaciones bancarias no están tomando las medidas de seguridad adecuadas, y esta tendencia se extiende a diferentes sectores, como el streaming de vídeo y OTT. La razón principal es la falta de seguridad en el cliente.
Cuando consideramos las aplicaciones móviles híbridas -un tipo creciente de aplicaciones que se construyen principalmente con JavaScript y frameworks como React Native- debemos abordar los problemas de seguridad que plantea el código fuente desprotegido, tanto JavaScript como nativo.
Cualquier fragmento de JavaScript del lado del cliente puede ser blanco fácil de los atacantes. Los paquetes de aplicaciones híbridas suelen contener los archivos JavaScript con la lógica de la aplicación a la vista. Y esta lógica a menudo incluye algoritmos propietarios y permite a los atacantes planificar y automatizar ataques como la filtración de datos.
Esta responsabilidad ha sido explorada en algunas de las normas y marcos de seguridad más comunes. La norma ISO 27001, por ejemplo, afirma que "El código fuente de los programas puede ser vulnerable a los ataques si no se protege adecuadamente y puede proporcionar a un atacante un buen medio para comprometer los sistemas de forma a menudo encubierta". Y OWASP también aconseja que "La aplicación móvil debe ser capaz de detectar en tiempo de ejecución que se ha añadido o modificado código (...) La aplicación debe ser capaz de reaccionar adecuadamente en tiempo de ejecución ante una violación de la integridad del código".
Entonces, ¿cómo pueden los equipos de desarrollo asegurarse de que su código fuente está protegido? La respuesta está en la protección del código fuente, tanto JavaScript como el código nativo, con una combinación de ofuscación, comprobaciones del entorno y defensas en tiempo de ejecución.
Para obtener más información al respecto, participe en nuestro próximo seminario web, en el que Pedro Fortuna, Director Técnico de Jscrambler, y Neal Michie, Director de Gestión de Productos de Verimatrix, analizarán y demostrarán en profundidad estas protecciones.
Regístrese gratuitamente aquí.
