{"id":2148,"date":"2014-01-17T11:38:30","date_gmt":"2014-01-17T11:38:30","guid":{"rendered":"http:\/\/kasperskydaily.com\/spain\/?p=2148"},"modified":"2020-02-26T17:21:30","modified_gmt":"2020-02-26T15:21:30","slug":"vulnerabilidades-en-las-apps-bancarias-de-ios","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/vulnerabilidades-en-las-apps-bancarias-de-ios\/2148\/","title":{"rendered":"Vulnerabilidades en las apps bancarias de iOS"},"content":{"rendered":"

Un gran n\u00famero de aplicaciones bancarias para iOS, muy utilizadas por los clientes de las entidades financieras\u00a0 m\u00e1s conocidas de todo el mundo, contienen vulnerabilidades que exponen a los usuarios al robo de datos y a la violaci\u00f3n de sus cuentas<\/a>. De hecho, si los cibercriminales supieran de estas vulnerabilidades, podr\u00edan monitorizar el comportamiento de los usuarios a trav\u00e9s de ataques Man-in-the-Middle, entrar en sus cuentas mediante hijacking y provocar problemas en la memoria que acarrear\u00edan el colapso del sistema y el robo de datos. \u00a0Gracias a todas estas vulnerabilidades, los delincuentes podr\u00edan robar las contrase\u00f1as de los usuarios y tener acceso a sus cuentas de banca online.<\/p>\n

Ariel Sanchez, investigador argentino que trabaja en la empresa de seguridad IOActive<\/a>, examin\u00f3 40 aplicaciones m\u00f3viles pertenecientes a los sesenta bancos m\u00e1s importantes del mundo. Entre otros aspectos, Sanchez analiz\u00f3 la seguridad de los mecanismos de transferencia datos, la interfaz de usuario, los proceso de almacenamiento datos y otras cuestiones m\u00e1s t\u00e9cnicas como compiladores y c\u00f3digos binarios.<\/p>\n

Sanchez encontr\u00f3 muchas vulnerabilidades potencialmente explotables<\/a>.<\/p>\n

\u201cAlguien con la habilidad adecuada podr\u00eda utilizar esta informaci\u00f3n para encontrar otras vulnerabilidades y luego podr\u00eda desarrollar un exploit o un malware que comprometiese los datos del usuario de las aplicaciones bancarias afectadas\u201d, ha afirmado S\u00e1nchez. \u201cSe trata del primer paso hacia una potencial amenaza de seguridad\u201d.<\/p>\n

IOActive ha informado a los bancos involucrados. Adem\u00e1s, el experto afirma que, hoy en d\u00eda, ninguna entidad ha solucionado los problemas de seguridad detectados.<\/p>\n

Lo m\u00e1s preocupante, seg\u00fan S\u00e1nchez, es que durante el an\u00e1lisis est\u00e1tico de cada aplicaci\u00f3n, se encontraron muchas credenciales incrustadas en los c\u00f3digos binarios. Es decir, muchas aplicaciones bancarias conten\u00edan claves maestras f\u00e1cilmente visibles, que permitir\u00edan el acceso a las infraestructuras de las aplicaciones. Desafortunadamente, los cibercriminales tambi\u00e9n podr\u00edan acceder a dicha informaci\u00f3n.<\/p>\n

\u201cSe podr\u00eda explotar este tipo de vulnerabilidad para acceder a la infraestructura de las aplicaciones bancarias e infectarlas con malware<\/a>, consiguiendo atacar a los clientes que las utilizan\u201d, ha afirmado S\u00e1nchez.<\/p>\n

Parte del problema es que muchas aplicaciones env\u00edan enlaces a los usuarios sin encriptaci\u00f3n o no validan adecuadamente los certificados SSL<\/a> cuando la informaci\u00f3n est\u00e1 cifrada. Este error, que para S\u00e1nchez simplemente deriva de un descuido por parte de los desarrolladores de las apps, hace que los usuarios sean vulnerables a ataques Man-in-the-Middle, con los que los cibercriminales podr\u00edan inyectar scripts de Java maliciosos o c\u00f3digos HTML para sus ataques de phishing.<\/p>\n

Estas vulnerabilidades permitir\u00edan acceder a la infraestructura del banco e infectar su app<\/div>\n

Todos los problemas detectados por el experto argentino, en el 70% de los casos, derivan del hecho de que los bancos no ha implementado un sistema de verificaci\u00f3n doble.<\/p>\n

\u201cPara entrar en estas aplicaciones solo se necesita el c\u00f3digo binario, una herramienta para descifrar el c\u00f3digo y otra para separarlo\u201d, ha a\u00f1adido Sanchez. \u201cNo es dif\u00edcil encontrar las instrucciones para hacerlo; alguien con un poco de tiempo e incluso sin experiencia podr\u00eda conseguirlo\u201d.<\/p>\n

IOActive ha tratado el tema con seriedad y responsabilidad (para bien o para mal). Por un lado, la empresa no ha publicado los nombres de los bancos afectados por el problema, ni ha entrado en detalles sobre las vulnerabilidades espec\u00edficas de cada aplicaci\u00f3n y esto es bueno. Por el otro, no sabemos cu\u00e1les son los bancos y las aplicaciones vulnerables y, en consecuencia, no sabemos en cu\u00e1les podemos confiar.<\/p>\n

Si no queremos correr riesgos, probablemente no deber\u00edamos utilizar m\u00e1s las aplicaciones bancarias para m\u00f3viles hasta que estos problemas no hayan sido confirmados y solucionados. Sin embargo, sabemos que casi todos nosotros seguiremos mirando la cuenta bancaria con nuestro smartphone. Mientras tanto, deber\u00edamos, al menos, configurar un sistema de verificaci\u00f3n doble si nuestra entidad nos lo ofrece.\u00a0 Adem\u00e1s, es recomendable prestar atenci\u00f3n a los enlaces que recibimos y mirar, de vez en cuando, nuestra cuenta bancaria para detectar alg\u00fan movimiento raro. De este modo, ser\u00eda m\u00e1s dif\u00edcil caer en la trampa de los cibercriminales.<\/p>\n","protected":false},"excerpt":{"rendered":"

Un gran n\u00famero de aplicaciones bancarias para iOS, muy utilizadas por los clientes de las entidades financieras m\u00e1s conocidas de todo el mundo, contienen vulnerabilidades que exponen a los usuarios a robo de datos y a violaciones de sus cuentas. De hecho, si los cibercriminales supieran de estas vulnerabilidades, podr\u00edan monitorizar el comportamiento de los usuarios a trav\u00e9s de ataques Man-in-the-Middle, entrar en sus cuentas mediante hijacking y provocar problemas en la memoria que acarrear\u00edan el colapso del sistema y el robo de datos. <\/p>\n","protected":false},"author":42,"featured_media":2149,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6],"tags":[28,26,197,40,199,625,43,586],"class_list":{"0":"post-2148","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-apple","9":"tag-apps","10":"tag-banca-online","11":"tag-cibercrimen","12":"tag-ios","13":"tag-man-in-the-middle","14":"tag-phishing","15":"tag-troyanos"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/vulnerabilidades-en-las-apps-bancarias-de-ios\/2148\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/apple\/","name":"apple"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/2148","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/42"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=2148"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/2148\/revisions"}],"predecessor-version":[{"id":21508,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/2148\/revisions\/21508"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/2149"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=2148"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=2148"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=2148"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}