Los retos de las apps financieras

apps

En 2012, el portal de recursos para desarrolladores de IBM, DeveloperWorks, abordaba en uno de sus artículos el descubrimiento por parte de las compañías del sector financiero de que las tecnologías móviles representaban una “oportunidad para extender su acercamiento al cliente y mejorar su diferenciación”.

Según los datos con los que se trabajaba entonces, a lo largo de este 2015 el volumen de desarrollo de aplicaciones para dispositivos móviles superaría al del resto de plataformas, y el número mundial de usuarios de banca móvil y de servicios relacionados con la misma podría crecer hasta los 894 millones de usuarios en 2015 (experimentando así un crecimiento anual del 59,2%).

El desarrollo de aplicaciones móviles implica también hacer frente a muchos retos. El primero de ellos es el de afrontar la pluralidad del ecosistema móvil, dando así soporte las múltiples combinaciones de dispositivos (smartphones, tabletas, etc.) y sistemas operativos (Android, iOS, Windows, Firefox OS… y las distintas versiones de cada uno de ellos) en manos de todos esos millones de usuarios, mientras se afrontan los costes de probar las apps en cada uno de los posibles escenarios y se mantienen entornos de desarrollo consistentes entre los diferentes miembros del equipo.

De todos los retos… el primero, la seguridad

El proceso de desarrollo de apps financieras posiblemente requiera de una revisión urgente en todos sus aspectos, pero la seguridad es, sin embargo, el reto con mayúsculas de los desarrolladores de apps de banca móvil. En el pasado, los responsables tecnológicos de los grandes bancos tenían sobre sus hombros una labor relativamente sencilla: construir un perímetro de seguridad en torno a los sistemas informáticos centralizados de la compañía, pero las apps móviles lo han cambiado todo… empezando por romper el perímetro.

Y, por desgracia, el de la seguridad es un reto que el sector aún no ha superado con buena nota, como atestiguaba el año pasado la investigación que llevó a cabo IOACtive y que llegó a la conclusión de que 40 apps para iOS de 60 grandes bancos de todo el mundo poseían al menos un agujero de seguridad:

● El 90% de las apps inseguras se conectaban sin el cifrado SSL adecuado, lo que permitía a los atacantes interceptar el tráfico de las misas e inyectar código JavaScript / HTML malicioso.
● El 70% carecía de opciones de autenticación alternativas para ayudar a mitigar el riesgo de ataques de suplantación.
● El 50% utiliza una funcionalidad de iOS denominada UIWebView (diseñada para mostrar contenido Web dentro de aplicaciones nativas) que ha demostrado ser insegura, haciendo a las apps vulnerables a las inyecciones de JavaScript y exponiendo a los usuarios a acciones como el envío de SMS o mensajes de correo electrónico desde el dispositivo de la víctima.
● El 40% no valida la autenticidad de las certificaciones digitales recibidas desde un servidor.
● El 20% desaprovechaban las funciones de seguridad del sistema operativo diseñadas para limitar el riesgo de ataques por corrupción de memoria.
● Por último, el sistema de archivos de varias apps usaban bases de datos SQLite sin cifrar pese a que ésta contenía información sensible como detalles de la cuenta bancaria del cliente y el historial de transacciones.

Casi al mismo tiempo, Pretorian llevaba a cabo otro estudio similar, ampliado en este caso a 275 aplicaciones de banca móvil ofrecidas por las mejores 50 organizaciones financieras, los 50 mayores bancos regionales, y 50 principales cooperativas de Estados Unidos. Además, en este caso se analizaron apps tanto para iOS como para Android. ¿Resultado? Deficiencias en el 80% de las mismas.

Los tiempos del perímetro de seguridad central han quedado atrás. De hecho, el espíritu de los tiempos navega en dirección contraria: los usuarios demandan cada vez más opciones de acceso, y que éstas sean más rápidas y más sencillas de usar. Son, al fin y al cabo, la mejor vía de los bancos para llegar a más clientes y diferenciarse más claramente frente a la competencia. Pero si se va a cambiar la gran muralla central por una red de torres de vigilancia, los métodos de construcción deberán cambiar. Y hacerlo a la misa velocidad.

apps

Fuente: BBVA