¿Son seguras las aplicaciones de banca móvil que utilizas?

virus-174051_960_720

El número de usuarios de banca móvil está creciendo como la espuma, de ahí que muchos se preocupen por la seguridad de las apps que utilizan. Lo cierto es que las entidades de crédito protegen sus aplicaciones de banca móvil con multitud de medidas de seguridad para que el cliente pueda operar de forma segura y para aplacar los posibles efectos de un ataque, pero no toda la responsabilidad recae en manos de la banca. Las entidades recuerdan que también corresponde al usuario hacer un buen uso de su smartphone para que la experiencia transcurra sin sorpresas.

Comunicaciones encriptadas

La banca ha blindado sus aplicaciones para evitar ataques. No ha tenido más remedio, proteger las apps de banca móvil forma parte del camino hacia la ansiada digitalización del sector. Más aún cuando el número de clientes virtuales se ha multiplicado: Banco Santander terminó 2018 con 32 millones de clientes digitales en todo el mundo y BBVA, con 27,2 millones, según sus cuentas de resultados. A medida que han ido aumentando los clientes que operan por Internet, también lo ha hecho el número de usuarios móviles. La app española del Santander registra solo en Google Play más de un millón de descargas y las de BBVA y CaixaBank se han instalado más de cinco millones de veces cada una. Pero ¿son realmente seguras?

«Existen muchas medidas que se aplican tanto en las versiones de Android como en las de iOS, desde controles de modificación de la aplicación para evitar la intrusión de código malicioso, hasta controles antitapjacking o herramientas de ofuscación de código, entre otras», explican fuentes de CaixaBank a HelpMyCash. Además, y esto es un must en la industria financiera, «toda la información que se envía desde nuestros servidores está cifrada con el protocolo TLS». Precisamente, TLS (transport layer security o, como se conoce en español, seguridad de la capa de transporte) son siglas que se repiten en este sector y que se refieren al envío de información encriptada. BBVA también habla de ellas: «las comunicaciones son siempre bajo los estándares más seguros de la industria como TLS», ha señalado el banco a este comparador.

Los nuevos bancos fintech, cuyo mayor escaparate es el móvil, también miman la seguridad. El famoso challenger bank alemán N26 está ubicado en la nube y usa la plataforma Amazon Web Services. Según explica la entidad a HelpMyCash, «este servicio de alojamiento en la nube no quiere decir que Amazon tenga acceso a los datos de los clientes. Dada la importancia de la confidencialidad en el ámbito financiero, se utilizan técnicas concretas para garantizar esta privacidad. Entre ellas: la comunicación encriptada, el uso de datos cifrados, escáneres de vulnerabilidad y estándares globales (ISO9001, ISO270001, PCI DSS Nivel 1, SOC 1/2/3) y locales (C5 para Alemania)».

El alojamiento en la nube permite a la entidad ofrecer servicios con un coste reducido. «Si tuviéramos que ejecutar nuestro propio centro de datos, los costes serían mayores y también sería más lento el desarrollo de productos», explica el director general de N26 en España, Francisco Sierra.

Otras medidas que implantan los bancos para aumentar la seguridad de sus apps es enviar notificaciones cada vez que hay un movimiento en la cuenta o la tarjeta, limitar la visibilidad o la operativa de ciertos productos a discreción del cliente (esta opción la ofrece BBVA) o no permitir acceder a una cuenta desde más de un dispositivo a la vez (opción de N26). Revolut nos explica que desde su app se pueden activar o desactivar varias funcionalidades como los pagos online o los pagos contactless. Además, el banco británico permite crear tarjetas virtuales desechables a través de su app que aumentan la seguridad de las compras online.

Si se usan correctamente las apps, deberían ser seguras, aunque la tecnología perfecta no existe. En 2016, la consultora con sede en Irlanda Accenture hizo un estudio en el que analizó las aplicaciones para Android e iOS de 15 bancos norteamericanos. En total, se analizaron 30 apps y el resultado fue preocupante: todas ellas tenían al menos una vulnerabilidad, pero, eso sí, no todas eran de alto riesgo. Para solucionar problemas antes de que afecten a los usuarios, N26 dirige el programa Bug Bounty Program que, según nos explica la entidad, es «un programa de recompensas por errores que permite que los investigadores en seguridad detecten errores o vulnerabilidades antes de que provoquen un daño». El importe de las compensaciones depende de la gravedad de las vulnerabilidades encontradas y, en líneas generales (la cifra final depende de lo que considere N26), van desde los 2.000 dólares para los errores críticos a los 250 por los bugs de riesgo bajo.

Mejorar la seguridad de la banca móvil está en nuestras manos

Para hacer la apps de los bancos más seguras, podemos tomar medidas extras que debemos poner en práctica nosotros mismos. A continuación, algunas guías:

  • Verificar que estamos descargando la app legítima del banco.
  • Definir contraseñas seguras y no anotarlas en ningún sitio.
  • No usar wifis públicos cuando se usen las apps de banca móvil.
  • Actualizar el software del dispositivo.
  • Instalar un antivirus en el teléfono.
  • Añadir patrones o códigos de desbloqueo del teléfono.
  • Incluir un código pin para ejecutar la app de banca móvil (un código para entrar en la propia app, independiente de los códigos para entrar luego en la cuenta corriente). Esta función la ofrecen algunas firmas de antivirus.
  • Cerrar la sesión al finalizar la operativa.
  • Aplicar medidas de seguridad adicionales que los bancos ponen a nuestra disposición como un segundo nivel de autenticación (Openbank nos da la posibilidad de que para aceptar cualquier operación tengamos que introducir tanto un código recibido por mensaje de texto como nuestra clave de firma).

 

Cuidado con las aplicaciones falsas

En 2018 saltaron todas las alarmas cuando la Oficina de Seguridad del Internauta alertó sobre una aplicación fraudulenta que podía descargarse en Google Play. La novedad no era que los usuarios pudiesen descargar una aplicación ilegítima (en 2017 Google retiró 700.000 aplicaciones que violaban las políticas de Google Play, de acuerdo con el blog Android Developers), sino que simulaba ser una aplicación de Bankia cuyo objetivo era robar el usuario y la contraseña del consumidor. La app falsa, bautizada como Bankia Particulares, no ha sido la única que ha intentado suplantar a un banco. En octubre de 2018 aparecieron en Google Play aplicaciones que simulaban estar vinculadas con BBVA, EVO Banco y, de nuevo, Bankia; todas ellas fraudulentas, según informó Trend Micro, cuyo objetivo era recolectar los códigos que el banco envía para autorizar operaciones.

Ninguna de estas apps está ya disponible en Google Play. De hecho, este tipo de aplicaciones no suelen durar mucho. La app Movil Secure supuestamente vinculada a BBVA fue descargada solo unas 100 veces en seis días, según el portal especializado en seguridad. Google señaló que en 2017, a pesar de haber retirado cientos de miles de apps que no cumplían su política, el 99% del total no llegaron a instalarse en ningún teléfono.

Poco importan las medidas de seguridad que apliquen los bancos en sus aplicaciones si al final nos descargamos una app falsa que en realidad no es del banco. Para verificar que estamos descargando la app oficial de una entidad y no una copia, la OSI recomienda descargar aplicaciones procedentes solo de los supermercados oficiales, como Google Play o App Store. Asimismo, para asegurarnos de que estamos ante la aplicación oficial, podemos instalarla desde el link que los propios bancos ponen en su página web y que enlazan con los supermercados de apps.

Deberíamos también comprobar los comentarios que otros usuarios han dejado sobre la aplicación y verificar si el desarrollador es el mismo que el del resto de las aplicaciones del banco. Además, podemos comprobar si el desarrollador ha puesto un enlace a su propia web. Por ejemplo, en Google Play todas las apps de BBVA están firmadas por el banco y hay un enlace a su página.

Fuente: Google Play.

También te puede interesar

Autor: Javier Mezcua


Sobre HelpMyCash:

HelpMyCash es uno de los comparadores de finanzas personales más importantes de España, en el que confían medios como La Vanguardia.com, Finanzas.com o ElMundo.es.

Te ayudamos a elegir la cuenta con menos comisiones, el préstamo o hipoteca con el interés más bajo, el depósito más rentable o la inmobiliaria par vender tu piso. Proporcionamos trucos, consejos y herramientas de cálculo, todo completamente gratis.

Nuestra información es imparcial, sencilla y constantemente actualizada, para que lo sepas todo antes que nadie en el menor tiempo posible. En finanzas… ¡información es poder!

Ir a la portada web Ir a la portada del blog Alta boletín

Comentarios

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.