{"id":2002,"date":"2014-01-17T17:49:36","date_gmt":"2014-01-17T17:49:36","guid":{"rendered":"http:\/\/kasperskydaily.com\/mexico\/?p=2002"},"modified":"2022-03-27T04:36:49","modified_gmt":"2022-03-27T10:36:49","slug":"aplicaciones-de-ios-banking-repletas-de-agujeros","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/aplicaciones-de-ios-banking-repletas-de-agujeros\/2002\/","title":{"rendered":"Aplicaciones de iOS Banking, Repletas de Agujeros"},"content":{"rendered":"<p>Seg\u00fan un informe de IOActive, un gran n\u00famero de aplicaciones del iOS banking, pertenecientes a algunos de los bancos m\u00e1s importantes del mundo, poseen bugs que exponen a los usuarios al <a href=\"https:\/\/threatpost.com\/flaws-plague-leading-mobile-banking-apps\/103595\" target=\"_blank\" rel=\"noopener nofollow\">robo de datos y a la intervenci\u00f3n de sus cuentas bancarias<\/a>.\u00a0Seg\u00fan resume este informe, un atacante capacitado podr\u00eda, por medio de ataques <a href=\"https:\/\/www.kaspersky.es\/blog\/que-es-un-ataque-man-in-the-middle\/\" target=\"_blank\" rel=\"noopener\">man-in-the-middle<\/a>,\u00a0monitorear las acciones de los usuarios, tomar el control de sus cuentas bancarias o corromper la memoria de los dispositivos, que derivar\u00edan en fallos del sistema y fuga de datos. En conjunto, estas vulnerabilidades podr\u00edan permitir que un atacante robe las credenciales de los usuarios y acceda en forma fraudulenta a sus cuentas bancarias en l\u00ednea.<\/p>\n<p><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2014\/01\/05213000\/bank.png\"><img decoding=\"async\" class=\"aligncenter size-full wp-image-2003\" alt=\"bank\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2014\/01\/05213000\/bank.png\" width=\"640\" height=\"480\"><\/a><\/p>\n<p>El investigador argentino Ariel S\u00e1nchez, que trabaja para la compa\u00f1\u00eda de seguridad IOActive, realiz\u00f3 una serie de pruebas en 40 aplicaciones de banking de los principales 60 bancos del mundo. Analiz\u00f3 los mecanismos de transferencia de datos, las interfaces de usuario, los procesos de almacenamiento y otras acciones m\u00e1s complejas como compiladores y binarios.<\/p>\n<p>S\u00e1nchez descubri\u00f3 una serie de<a href=\"https:\/\/latam.kaspersky.com\/blog\/que-es-un-exploit\/\" target=\"_blank\" rel=\"noopener\"> potenciales vulnerabilidades a los exploits<\/a>. \u201cCualquier persona que disponga de los conocimientos adecuados podr\u00eda utilizar esta informaci\u00f3n para detectar posibles bugs y, despu\u00e9s de investigar un poco, desarrollar un exploit o un malware para comprometer la seguridad de los usuarios de las aplicaciones bancarias afectadas\u201d, advirti\u00f3 S\u00e1nchez. \u201cEn este sentido, podr\u00edamos decir que este es el primer paso para una posible amenaza a la seguridad\u201d.<\/p>\n<div class=\"pullquote\">Esta vulnerabilidad podr\u00eda usarse para acceder a la infraestructura inform\u00e1tica de cada banco e infectar las aplicaciones con alg\u00fan malware, causando una infecci\u00f3n masiva en todas las aplicaciones de los usuarios<\/div>\n<p>Desde IOActive afirmaron que dieron aviso a los respectivos bancos sobre estas vulnerabilidades. Sin embargo, S\u00e1nchez afirm\u00f3 que hasta el momento, ninguno de los bancos dio cuenta de una posible soluci\u00f3n para este problema.<\/p>\n<p>Seg\u00fan S\u00e1nchez la cuesti\u00f3n m\u00e1s preocupante es la gran cantidad de credenciales de desarrollo codificadas en los binarios. En otras palabras, seg\u00fan el investigador argentino, existe una serie de aplicaciones de banking que contienen lo que equivaldr\u00eda a una llave maestra discernible.\u00a0Estas llaves est\u00e1n dise\u00f1adas para brindarles a los desarrolladores acceso a la infraestructura de desarrollo de las aplicaciones. Desafortunadamente, las credenciales codificadas tambi\u00e9n podr\u00edan darles a los atacantes el mismo nivel de acceso.<\/p>\n<p>\u201cEsta vulnerabilidad podr\u00eda usarse tambi\u00e9n para obtener el acceso a la infraestructura inform\u00e1tica de cada banco e infectar las aplicaciones con alg\u00fan <a href=\"https:\/\/www.kaspersky.es\/blog\/cuatro-ejemplos-de-troyanos-bancarios\/\" target=\"_blank\" rel=\"noopener\">malware<\/a>. Esto provocar\u00eda una infecci\u00f3n masiva para todas las aplicaciones de los usuarios\u201d, resumi\u00f3 S\u00e1nchez.<\/p>\n<p>Parte del problema radica en que algunas aplicaciones est\u00e1n enviando enlaces cifrados hacia los usuarios y\/o generando fallas en la validaci\u00f3n de los<a href=\"https:\/\/latam.kaspersky.com\/blog\/explicativo-certificados-digitales-y-https\/615\/\" target=\"_blank\" rel=\"noopener\"> certificados SSL<\/a> cuando la informaci\u00f3n est\u00e1 cifrada. Este comportamiento, que S\u00e1nchez atribuye a un descuido del desarrollador de las aplicaciones, pone a los clientes en riesgo de ataques del tipo \u201cman-in-the-middle\u201d, que son aquellos en los que los atacantes pueden inyectar javascritps maliciosos o c\u00f3digos HTML como parte de una estafa de phishing.<\/p>\n<p>Todos los problemas descubiertos por el investigador argentino se ven agravados por el hecho de que el 70 por ciento de los bancos que fueron analizados no han logrado implementar la <a href=\"https:\/\/www.kaspersky.com\/blog\/podcast-two-factor-authentication\/\" target=\"_blank\" rel=\"noopener nofollow\">autenticaci\u00f3n de dos factores<\/a>.<\/p>\n<p>\u201cPara acceder, los atacantes s\u00f3lo necesitan el binario de la aplicaci\u00f3n y una herramienta para descifrar el c\u00f3digo y otra para desembalarlo\u201d, explic\u00f3 S\u00e1nchez.\u00a0\u201cExisten un mont\u00f3n de publicaciones en las que se explica c\u00f3mo descifrar y desembalar los c\u00f3digos de este tipo de aplicaciones. Incluso alguien que no tiene mucha experiencia en el \u00e1rea y dispone de poco de tiempo puede hacerlo\u201d, agreg\u00f3.<\/p>\n<p>Que IOActive haya tomado las riendas en esta cuesti\u00f3n es algo bueno y malo al mismo tiempo (aunque mayormente bueno). Por el lado bueno, en sus informes no est\u00e1n revelando cu\u00e1les son los bancos afectados, ni publicando cu\u00e1les son las vulnerabilidades espec\u00edficas que podr\u00edan darles a los atacantes la informaci\u00f3n que necesitan para focalizar sus ataques en las cuentas de los usuarios. Sin embargo, por el malo, tampoco nosotros sabemos cu\u00e1les son los bancos que tienen estas aplicaciones vulnerables y, debido a esto, tampoco sabemos en cu\u00e1l banco podemos confiar.<\/p>\n<p>L\u00f3gicamente, quienes son m\u00e1s precavidos probablemente no utilizar\u00e1n las <a href=\"https:\/\/www.kaspersky.com\/blog\/podcast-mobile-banking-threats\/\" target=\"_blank\" rel=\"noopener nofollow\">aplicaciones de banking de sus dispositivos m\u00f3viles<\/a>, al menos hasta que estos problemas se hayan resuelto. Sin embargo, la mayor\u00eda no tomar\u00e1 estos recaudos. Por esta raz\u00f3n, te recomendamos que, cuando dispongas de un tiempo, realices la autenticaci\u00f3n de dos factores si tu banco te provee ese servicio. Y, adem\u00e1s de s\u00f3lo ser cauteloso cuando ingresas a los enlaces de tu aplicaci\u00f3n de banking, toma mayor cuidado con los mensajes phishing y mant\u00e9n un ojo puesto en tu cuenta bancaria.<\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: right\">Traducido por: Guillermo Vidal Quinteiro<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Seg\u00fan un informe de IOActive, un gran n\u00famero de aplicaciones del iOS banking, pertenecientes a algunos de los bancos m\u00e1s importantes del mundo, poseen bugs que exponen a los usuarios<\/p>\n","protected":false},"author":42,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6],"tags":[80,95,649,162,645,234,648,646,34,647],"class_list":{"0":"post-2002","1":"post","2":"type-post","3":"status-publish","4":"format-standard","6":"category-news","7":"tag-aplicaciones","8":"tag-apps","9":"tag-bancos","10":"tag-exploit","11":"tag-guillermo-vidal-quinteiro","12":"tag-hack","13":"tag-ioactive","14":"tag-ios-banking","15":"tag-malware-2","16":"tag-vulnerabilidades"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/aplicaciones-de-ios-banking-repletas-de-agujeros\/2002\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/aplicaciones\/","name":"aplicaciones"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/2002","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/42"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=2002"}],"version-history":[{"count":3,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/2002\/revisions"}],"predecessor-version":[{"id":24121,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/2002\/revisions\/24121"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=2002"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=2002"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=2002"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}