Redacción
Normalmente, pensamos que los riesgos de robos de información y datos bancarios se producen únicamente durante técnicas como el phishing o ransomware donde el usuario accede a páginas falsas y da su información o que la aplicación del banco es atacada. Pero antes de que eso suceda existen otros riesgos.
Estos peligros suelen esconderse en las etapas de desarrollo, despliegue y mantenimiento de los sistemas, exponiendo a las entidades financieras y a sus clientes a posibles amenazas, muchas de las cuales pasan desapercibidas incluso para técnicos y desarrolladores con experiencia.
Cómo son los ataques a apps bancarias durante su desarrollo
Cuando un usuario descarga una aplicación bancaria en su móvil, el recorrido previo del software involucra múltiples actores y etapas, lejos de la simple relación entre el banco y el cliente.
Desde la escritura del código fuente, la integración de librerías, hasta la automatización del despliegue, la cantidad de puntos susceptibles a intervención maliciosa aumenta de manera considerable. Esta complejidad amplía la superficie de ataque, es decir, el conjunto de elementos que pueden ser vulnerados por actores externos.
“Uno se imaginan la superficie de ataque es el dispositivo final. Pero resulta que es mucho más amplia y para que una aplicación llegue a tu dispositivo, alguien la construyó y hay gente que se dedica a vulnerar ese desarrollo”, contó Juan Carlos Cepeda – Principal Specialist Solution Architect para Red Hat.
Este fenómeno adopta formas que resultan difíciles de detectar mediante los controles convencionales. Un caso típico es la contaminación del software durante la fase de construcción.
El ‘producto final’ que parece funcional y seguro, puede incluir componentes o líneas de código introducidos maliciosamente en etapas previas. Esta manipulación puede ocurrir en elementos tan fundamentales como el código fuente o en las herramientas de automatización empleadas para compilar y desplegar el software.
Los riesgos en la automatización en el desarrollo de aplicaciones
La demanda de lanzar nuevas funcionalidades en lapsos muy cortos ha impulsado que la industria bancaria recurra a soluciones automatizadas. Los desarrolladores implementan scripts y robots software que aceleran tareas clave como la construcción, testeo y entrega de las aplicaciones.