Los recién llegados y los disruptores de la tecnología financiera están reimaginando el espacio tradicional de los servicios financieros. Pero estas nuevas empresas deben abordar los mismos problemas de seguridad que han afectado a los operadores tradicionales si quieren tener un impacto significativo. En el sector financiero, la seguridad vende. La seguridad de las aplicaciones ya no es un debate entre los equipos de TI y los desarrolladores, sino un tema clave en las salas de juntas y una parte importante de la estrategia de crecimiento de una institución financiera. 

Según la Encuesta sobre el estado de la ciberdelincuencia en Estados Unidos de CSO, el 58% de las empresas afirma que sus principales ejecutivos de seguridad informan a sus consejos de administración sobre cuestiones cibernéticas al menos trimestralmente. El número de empresas que no mantienen a sus consejos de administración al tanto de la seguridad ha disminuido, del 29% en 2017 al 19% en 2018.  

A medida que las aplicaciones de gestión de patrimonios, la tecnología de pagos, la banca móvil, los préstamos y las plataformas de crowdfunding irrumpen en escena, la seguridad pasa a un primer plano, y con razón.  

¿Qué cuestiones de seguridad deben tener en cuenta las empresas de tecnología financiera a la hora de desarrollar sus aplicaciones? ¿Cómo pueden mantener la seguridad del flujo de trabajo cuando deben permitir el intercambio de datos entre múltiples partes interesadas y, al mismo tiempo, gestionar el acceso de los clientes a un conjunto diverso de servicios? 

La intersección entre ingresos, reputación y gestión de riesgos

Mujer realizando una compra en línea con su teléfono

Cada aplicación fintech es única. A menudo con su propia personalidad y una forma diferente de prestar servicios financieros. Aunque parezcan similares en apariencia, su arquitectura es diferente. Sin embargo, lo que las une a todas es que manejan información personal y financiera sensible. Si no funcionaran con los datos de cada cliente, ¿qué valor aportarían estas aplicaciones? 

Este flujo de datos personales y financieros debe gestionarse de forma muy segura. Hay que tener en cuenta el cumplimiento de la normativa financiera y la legislación sobre privacidad. Y lo que quizá sea aún más importante, las empresas de tecnología financiera deben tener en cuenta que la confianza de los clientes -piedra angular de su negocio- puede verse rápidamente destruida por una filtración de datos.

Asegurar el flujo de datos puede convertirse en un asunto complejo cuando se trata de aplicaciones de tecnología financiera. Incluso un simple ejercicio informal de mapeo del flujo de datos revelará rápidamente que los datos sensibles están saliendo de la nube segura y entrando en un ecosistema sobre el que la empresa de tecnología financiera no tiene ningún control. 

Estos datos pueden afectar a una serie de agentes, entre ellos: 

  • El dispositivo móvil
  • El sistema operativo móvil
  • Las tiendas de aplicaciones y los servicios de mensajería asociados
  • Software de terceros instalado en el dispositivo móvil
  • Puntos de acceso WiFi abiertos
  • Y muchos más


El intercambio de datos entre todas las partes implicadas debe ser transparente y sin fricciones para el usuario final, a fin de ofrecer una experiencia óptima dentro de la aplicación. Sin embargo, todo el flujo de datos debe ser seguro para cumplir la normativa, proteger los ingresos y mantener la confianza del consumidor.  

La seguridad no se limita a cifrar el canal. Significa autenticar los puntos finales (protección contra ataques Man-in-the-middle) y garantizar que estos puntos finales no puedan ser comprometidos (protección contra ataques Man-in-the-device). 

La seguridad debe ser una prioridad en todas las etapas del flujo de trabajo, especialmente durante las instancias en las que se puede abusar de privilegios escalados, cuando las API se comunican con el backend o cuando se utilizan SDK de terceros.  

Privilegios ampliados

Una de las formas más comunes de atacar aplicaciones Android es encontrar vulnerabilidades que permitan escalar privilegios. En los sistemas operativos basados en Unix, el privilegio de usuario más alto es tener "acceso root". En iOS, esto se consigue a través del "jailbreaking" del dispositivo. 

Para crear aplicaciones fintech seguras, los desarrolladores deben adelantarse a los hackers que intentan aprovecharse de los privilegios escalados. Esto significa proteger las aplicaciones con un enfoque proactivo e ir más allá de los riesgos inherentes de confiar en los entornos aislados del sistema operativo para la protección. 

Una vez conseguido el jailbreak/root, un teléfono se convierte en un entorno de mayor riesgo, lo que permite a un hacker explotar más fácilmente los puntos débiles y los fallos de diseño, como los números de tarjetas de crédito almacenados sin cifrar, los PIN débiles y los tokens vulnerables. 

Incluso sin escalar privilegios, es fácil manipular el código fuente y reempaquetarlo con malware. El malware se utiliza a menudo para desviar información sensible, incluyendo: 

  • Claves criptográficas
  • Credenciales sensibles e información personal como números de tarjetas de crédito y direcciones de correo electrónico.
  • Información reservada sobre su código fuente

Comunicaciones

Los dispositivos cliente son un vector de ataque vulnerable porque se comunican con los servidores backend, dejando potencialmente toda su operación expuesta a ataques "man-in-the-middle". Proteger la comunicación de los dispositivos cliente es clave para salvaguardar datos valiosos. 

Los ataques de intermediario se producen cuando los piratas informáticos se interponen en medio de la comunicación (por ejemplo, comprometiendo un punto de acceso WiFi, un atacante puede situarse sin ser detectado en medio de la comunicación). Con estos ataques, un cliente supone que está interactuando directamente con el componente/servicio previsto, pero el atacante "en medio" está escuchando a escondidas o cambiando la información en su beneficio. 

En una aplicación típica de tecnología financiera, el cifrado de las comunicaciones es una combinación de seguridad de la capa de transporte (TLS) estándar del sector y seguridad de la capa de aplicación a medida. Analizando la aplicación, un atacante puede realizar ingeniería inversa del protocolo y encontrar las claves criptográficas utilizadas para protegerla. El protocolo de comunicación es fundamental para cualquier SMF. Si un atacante entiende cómo funciona el protocolo de comunicación, puede descubrir y explotar sus vulnerabilidades. 

Componentes de terceros

Muchos desarrolladores utilizan SDK de terceros para acceder a las diferentes funciones y operaciones necesarias en su aplicación, en lugar de reconstruir las funcionalidades existentes. Una llamada a una biblioteca ahorra mucho tiempo, pero también añade una vulnerabilidad. 
 
Dado que una biblioteca se convierte en parte integrante de una aplicación y está muy estandarizada en grandes cantidades de dispositivos, las bibliotecas son objetivos atractivos para los ciberdelincuentes que quieren crear programas maliciosos que puedan utilizarse en ataques a gran escala. 

¿Existen vulnerabilidades en sus aplicaciones de tecnología financiera? 

Muchas empresas de tecnología financiera retrasan la implantación de la seguridad de las aplicaciones, pensando que será demasiado difícil o costosa. Sin embargo, si se elige al socio de seguridad adecuado, la realidad no podría estar más lejos de la realidad.De hecho, el Informe Anual de Seguridad de Cisco descubrió que el 53% de los encuestados subcontrata servicios de seguridad porque es más rentable que crear tecnologías internas (y es mucho más rentable que saltarse la seguridad por completo y enfrentarse a las astronómicas repercusiones). 

Entre los problemas de seguridad que suelen plantear las aplicaciones de tecnología financiera figuran los siguientes: 

  • Prácticas de codificación inseguras
  • API expuestas o mal configuradas
  • Datos personales expuestos
  • Relleno de credenciales escalable

La realidad es que la complejidad de las aplicaciones móviles hace que esta sea siempre una vulnerabilidad garantizada. Es impracticable hasta el punto de ser imposible rastrear y cerrar cada una de ellas. Incluso si se pudiera, la aplicación seguiría siendo vulnerable a la ingeniería inversa y la clonación. 
 
En su lugar, Verimatrix recomienda que las empresas financieras adopten un enfoque práctico y proactivo para proteger sus aplicaciones. Esto no sustituye a las buenas prácticas de codificación, pero significa que la integridad de su aplicación se mantendrá, manteniendo en secreto las vulnerabilidades garantizadas junto con los datos sensibles.
 
Las soluciones de Verimatrix han sido probadas a través de innumerables pentests de laboratorio de seguridad y desplegadas en cientos de millones de aplicaciones, por eso confían en nosotros algunas de las mayores instituciones financieras y redes de pago del mundo.