¿Su aplicación comercial pone en riesgo su dinero?


Una sesión de preguntas y respuestas con el investigador de seguridad Alejandro Hernández, quien ha descubierto una larga lista de vulnerabilidades en las principales plataformas comerciales que pueden exponer a sus usuarios a una serie de riesgos de seguridad y privacidad.

Se ha derramado mucha tinta sobre cómo la pandemia de COVID-19 ha cerrado o interrumpido muchos aspectos de nuestras vidas. Sin embargo, hasta cierto punto, también nos ha dado un adelanto del futuro, abriendo nuevas avenidas de oportunidades y cambiando numerosos desarrollos que ya estaban bastante avanzados en una marcha más alta. Un ejemplo notable es la adopción acelerada de diversos servicios bancarios y de pago digitales. Plataformas de comercio electrónico, que brindan a prácticamente todo el mundo la oportunidad de hacerse rico o arruinarse (o todo lo demás) casi en un instante. no han sido rezagados, ya sea.

Dejando de lado otras preocupaciones, es pure que el aumento en el uso de aplicaciones comerciales arroje algo de atención sobre el lado de la ciberseguridad. Obviamente, los comerciantes en línea enfrentan una gran cantidad de amenazas cibernéticas, que incluyen aplicaciones impostor, ataques de phishing que se aprovechan de las credenciales de su cuenta, y posiblemente incluso ataques que explotan vulnerabilidades en el software comercial de su elección.

Las plataformas de negociación fueron objeto de escrutinio en 2017 y 2018, cuando el consultor de seguridad de IOActive Alejandro Hernández llevó a cabo una extensa investigación en la postura de seguridad de 16 aplicaciones de escritorio, 34 aplicaciones móviles y 30 sitios world-wide-web ofrecidos por un complete de 40 plataformas comerciales populares. Han pasado más de dos años y nos hemos puesto en contacto con Alejandro para obtener información sobre cuán (in) segura podría ser su experiencia comercial en última instancia.

¡Bienvenido Alejandro! Antes de profundizar en la seguridad de las aplicaciones comerciales, ¿cuáles eran sus intereses de investigación?

¡Gracias por invitarme!

Bueno, soy muy versátil en lo que respecta a la investigación de seguridad y he hecho varias cosas, incluidas revisiones de código, inteligencia de código abierto (OSINT) y disección de aplicaciones de regulate remoto para automóviles. En los últimos años, me he centrado más en las tecnologías fintech, en individual en las aplicaciones de negociación de acciones. Eso es interesante. Entonces, ¿qué lo atrajo hacia las aplicaciones de comercio electrónico?

Se debe principalmente a que he negociado con valores durante algunos años, por lo que tenía curiosidad por ver qué tan seguras eran estas tecnologías. Supuse que eran súper seguros, pero demostré que estaba equivocado. Esta es una suposición que normalmente tenemos sobre la tecnología que usamos, hasta que un investigador de seguridad le dice cuán inseguras pueden ser de hecho las tecnologías.

Eso suena desconcertante. ¿Debería preocuparse a la gente que las plataformas comerciales estén poniendo su dinero o sus datos en riesgo de robo?

Realmente no, para ser honesto. Según mis observaciones, las plataformas en sí no son inseguras de manera que un atacante pueda robar fácilmente su dinero de su cuenta. Realmente no es tan sencillo como en las películas.

Por otro lado, muchas plataformas no son tan seguras como, por ejemplo, las aplicaciones bancarias. Por ejemplo, alrededor de la mitad de las aplicaciones comerciales que busqué en la tienda no estaban encriptadas. Esto significa que si un atacante tiene acceso al sistema de archivos de su computadora portátil, por ejemplo, a través de malware, esos datos podrían extraerse fácilmente. Cuando se trata de aplicaciones móviles, es cierto que los sistemas operativos móviles modernos cifran los datos de forma predeterminada, pero si alguien roba su teléfono y puede acceder al teléfono desbloqueado, también puede robar los datos. Lo mismo ocurre con las computadoras o las copias de seguridad no cifradas.

Observó 16 aplicaciones de escritorio, 34 aplicaciones móviles y 30 sitios world wide web, incluidos los de líderes del mercado, y las probó a través de una diversidad de sistemas operativos y dispositivos. La escala de sus pruebas fue grande, por decir lo menos. ¿Fue un instinto instintivo que encontraría la «veta madre» o simplemente la metodología?

Antes de comenzar a analizar las aplicaciones, tenía la sensación de que encontraría fallas en las aplicaciones de los corredores más pequeños. Sin embargo, de alguna manera estaba equivocado, ya que también encontré «cosas interesantes» en las aplicaciones de algunos de los corredores más importantes. Sin embargo, tener una metodología estricta basada en listas de verificación me ayudó a asegurarme de probar todos los controles en cada aplicación.

En su investigación, afirmó que «las aplicaciones de escritorio son el paquete completo …» que tienen una mayor superficie de ataque debido al conjunto de funciones más rico. ¿Ve alguna evidencia de que los riesgos se equilibren debido a que las personas se mudan a aplicaciones móviles en cantidades tan grandes y / o conjuntos de funciones cada vez más ricos en aplicaciones móviles? ¿Quizás las personas son menos cautelosas cuando operan desde plataformas móviles?

No tengo evidencia ni cifras sobre la cantidad de usuarios que se mueven del escritorio al móvil. Sin embargo, la buena noticia es que, en mi opinión, los sistemas operativos móviles modernos son bastante seguros hoy en día y es más difícil atacar un dispositivo móvil que una computadora típica con Home windows. Las aplicaciones de comercio móvil han mejorado significativamente a lo largo de los años, y veo actualizaciones de las corredurías en la tienda de aplicaciones con mucha frecuencia, incluidas las que mejoraron la seguridad.

Por otro lado, no he oído hablar de ningún problema relacionado con la seguridad en las plataformas de escritorio en los últimos años. Solo problemas de disponibilidad, pero esto afecta tanto al escritorio como al móvil.

¿Cómo respondieron las firmas de corretaje a sus hallazgos? ¿Han arreglado los defectos desde entonces? ¿Diría que las plataformas comerciales en standard son más seguras ahora que en 2017/2018?

Las corredurías más importantes respondieron con prontitud al aviso de seguridad que les enviamos. Creo que se debe a que están más comprometidos con la protección de sus clientes y tienen presupuestos más grandes para la ciberseguridad.

Dos años después, he visto más controles de seguridad implementados en plataformas comerciales, incluidas políticas de contraseñas más estrictas, autenticación de dos factores y muchas notificaciones de suscripción de elementos operativos, como intentos de inicio de sesión válidos / no válidos, órdenes de compra / venta, retiro / depósito de dinero, and many others. Así que sí, las plataformas de negociación son más seguras ahora que hace dos años.

Eso suena alentador. Aún así, la gente no debería tomarse la seguridad a la ligera. ¿Cuáles serían los vectores de ataque típicos de los delincuentes que intentan acceder a las cuentas de los comerciantes?

Dado que la mayoría de los comerciantes no habilitan la autenticación de dos factores, incluso si esta opción es cada vez más común, para realizar acciones importantes como vincular nuevas cuentas bancarias, los atacantes pueden adivinar o forzar las contraseñas, vender las acciones y transferir el dinero. en cuentas bancarias controladas por atacantes.

Recientemente, hubo informes sobre el saqueo de algunas cuentas de Robinhood. Creo que esto se debió a que las víctimas reutilizaron sus contraseñas en varias cuentas y no usaron la autenticación de dos factores.

En realidad, esto nos lleva a otro punto importante: ¿qué puede hacer el operador promedio para mantenerse seguro?

El año pasado yo dio un seminario web que también incluía consejos para un comercio seguro. En resumen, la gente debería:

  • habilitar 2FA para operaciones críticas, como vincular nuevas cuentas bancarias
  • habilitar FaceID / TouchID en aplicaciones móviles para autenticación
  • evitar las redes públicas de Wi-Fi
  • use una contraseña que sea diferente de sus contraseñas para el correo electrónico y las aplicaciones bancarias, y asegúrese de que la contraseña sea segura
  • habilitar el cierre de sesión automático después de una cierta cantidad de tiempo de inactividad
  • habilitar notificaciones por correo electrónico / SMS

Veamos ahora las prácticas de codificación segura. Es seguro decir que ningún software está libre de vulnerabilidades, pero ¿cómo pueden los desarrolladores reducir las probabilidades de que sus aplicaciones estén plagadas de enormes cráteres de seguridad?

Curiosamente, descubrí que las aplicaciones comerciales desarrolladas por una institución financiera anónima son menos seguras que las aplicaciones bancarias desarrolladas por otro grupo de desarrolladores dentro de la misma empresa. Creo que es porque hay una falta de comunicación entre los equipos de desarrollo y, en mi opinión, la gente de ciberseguridad debe reunir a esos equipos para mejorar la postura de seguridad de todos los productos que ofrecen, incluso compartiendo experiencias y consejos de codificación segura, probando el computer software de los demás, y así.

Además, las tecnologías comerciales son desarrolladas parcialmente por personas con sólidos antecedentes financieros sin embargo, hay una falta noticeable de capacitación en programación segura.

¿Qué pueden hacer las otras partes involucradas, como la industria financiera y los reguladores, para reducir los riesgos de ciberseguridad de los comerciantes?

Definitivamente, los reguladores y las organizaciones de calificación también deberían participar.

Hay sitios website populares entre los comerciantes que a menudo califican las aplicaciones y las agencias de corretaje en términos de usabilidad, tarifas, servicio al cliente, and so on. Pero no consideran la seguridad. Ellos deberían.

Los reguladores también deben brindar orientación a las empresas de tecnología financiera sobre cómo desarrollar tecnologías seguras y también deben proporcionar una lista de verificación de los requisitos mínimos que una plataforma comercial debe tener antes de un despliegue masivo. A largo plazo, creo que deberían desempeñar un papel más activo en la auditoría de los corredores, como el cumplimiento normativo, al igual que el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS).

Gracias por la entrevista, chicos. El gusto es mio.





Enlace a la noticia authentic