El robo de celulares es una amenaza constante en muchos países latinoamericanos. Tradicionalmente, ladrones roban el celular para luego revenderlo. Recientemente Brasil ha sido testigo de robos con una nueva meta – defraudar las aplicaciones móviles bancarias de los celulares y así utilizar el celular robado.
De todas formas, Juan Pablo Jiménez, Vicepresidente de Ventas para Latinoamérica en OneSpan ofrece unas observaciones sobre esta modalidad de robo y qué pueden hacer los bancos para blindar sus aplicaciones móviles.
1. En primer lugar, no hay que depender únicamente de la seguridad del lado del cliente (es decir, del dispositivo) ni de la seguridad de Android o iOS para proteger a los titulares de cuentas o las transacciones bancarias.
Parece que estos delincuentes robaron los dispositivos cuando estaban desbloqueados y en uso por parte de los usuarios y quizás esto permitió a los ladrones explotar una sesión bancaria activa desde el fondo. Un enfoque multicapa que tenga en cuenta tanto los datos contextuales del cliente como los análisis de riesgo y fraude del servidor podría ser de ayuda.
2. En segundo lugar, aunque todavía no está claro, es posible que la biometría incorporada en estos casos (por ejemplo, el Face ID de Apple) se haya visto comprometida. Si eso es lo que ocurrió, aún no está claro cómo, pero es posible que los dispositivos utilizaran versiones antiguas de los sistemas operativos que incluían vulnerabilidades que permitieron a los delincuentes eludirlas. Es posible que la tecnología biométrica propia de terceros, que no depende del sistema operativo del móvil ni del hardware integrado en el dispositivo, haya dificultado a los ladrones la autorización de pagos en otras cuentas.
Si soy capaz de registrar otro perfil biométrico en un iPhone XR, por ejemplo, y el banco se basa únicamente en eso, la implementación de la tecnología es opaca, de modo que el banco no sabe exactamente cómo funciona y, en cierto modo, simplemente está dando al banco una respuesta de «sí/no» y ese sí podría confirmar simplemente que «sí un perfil con una muestra biométrica registrada en el dispositivo está accediendo a la app en este momento.» Pero eso no significa que sea el titular de la cuenta bancaria. Podría ser un miembro de la familia que también tenga un perfil registrado en el dispositivo o un delincuente que haya comprometido el proceso de registro. Con un proveedor independiente del sistema operativo, la comparación se realiza con la muestra en vivo de la cara comparada con la cara registrada con la cuenta bancaria, no simplemente registrada con el dispositivo cuya integridad se cuestiona. Si la muestra en vivo entra en conflicto con la muestra biométrica registrada con la cuenta, es posible que el reconocimiento facial haya detenido el ataque.
3. En tercer lugar, medidas adicionales como el blindaje de aplicaciones y la biometría de comportamiento pueden haber marcado la actividad como diferente a la del usuario normal, ya que el ladrón sería identificado por sostener el dispositivo de manera diferente o interactuar de manera diferente con el teclado. Y, por último, los datos de comportamiento en el servidor pueden haber señalado esta actividad. En algunos casos, los delincuentes estaban transfiriendo grandes cantidades de dinero, probablemente a cuentas con las que el usuario no había interactuado antes y en momentos del día que no eran característicos del usuario legítimo. No hay una solución perfecta, ni 100% seguro, pero estas capas adicionales de seguridad podrían haber detenido estos intentos de fraude antes de que el dinero saliera de la cuenta de los usuarios. App Shielding u otros datos contextuales del dispositivo podrían haber identificado que el dispositivo tenía instalado un sistema operativo obsoleto y quizás vulnerable. Esa información, junto con otros datos, podría haber servido para tomar la decisión de marcar e investigar las transacciones antes de que se produjera el daño.
