SEGURIDAD DEL CANAL DE LA BANCA MÓVIL INVISIBLE

DOCUMENTO TÉCNICO

SEGURIDAD DEL CANAL DE LA BANCA MÓVIL INVISIBLE

SEGURIDAD DEL CANAL DE LA BANCA MÓVIL INVISIBLE SHARE THIS 2

Introducción 3

Breve reseña del panorama actual de amenazas en evolución 4

Qué es RASP 5

Adquirir información para tomar las mejores decisiones de seguridad 6

El papel de la biometría de comportamiento 7

Un enfoque de riesgo por capas 8

Recopilación para calcular una puntuación de riesgo 9

Resumen 11

CONTENIDO


“

”

Los desarrolladores de aplicaciones necesitan crear aplicaciones móviles mejores y más utilizables Y mantenerse al día con las últimas técnicas y tecnologías de seguridad.

A medida que más clientes bancarios utilizan dispositivos móviles y aplicaciones,

aumentan las oportunidades de fraude. Las aplicaciones móviles amplían el área

de ataque a dispositivos que suelen tener medidas de seguridad limitadas. Esto

se debe a que mantener un dispositivo móvil actualizado con el último sistema

operativo y los parches de seguridad correspondientes es mucho más difícil que

mantener una serie de escritorios, especialmente cuando los dispositivos móviles

están en manos de clientes o socios y no de empleados. Las aplicaciones móviles

también son más difíciles de proteger que las de escritorio porque a menudo se

programan sin seguridad integrada. Además, la mayoría de los usuarios están

acostumbrados a descargarlas de las principales tiendas de aplicaciones sin

verificar si se trata de versiones legítimas. Y a medida que los desarrolladores

empresariales se vuelven más ágiles, las aplicaciones móviles cambian o se

actualizan con mayor velocidad, lo que da lugar a errores de codificación, que

pueden -casi con certeza- abrir las puertas a los ataques.

Además de la seguridad, las aplicaciones móviles tienen un segundo desafío: ser

lo más usables posible. Parte del problema es que las expectativas de facilidad de

uso se están elevando continuamente, ya que los consumidores esperan más de

sus aplicaciones bancarias. Antes, las aplicaciones bancarias tenían características

mínimas. Sin embargo, ahora los consumidores esperan más: quieren hacer

pagos rápidos a individuos, escanear y depositar cheques, configurar alertas de

correo electrónico en circunstancias específicas para rastrear el uso de su cuenta y

mucho más.

Esto pone a los desarrolladores de aplicaciones entre dos posiciones difíciles. Por

un lado, tienen que desarrollar aplicaciones móviles mejores y más utilizables

mientras se mantienen al día con la paridad de características de muchas nuevas

empresas bancarias y de pago. Por otro lado, tienen que mantenerse al día con las

últimas técnicas y tecnologías de seguridad para eliminar el fraude y el abuso.

En el pasado, los bancos eligieron las características y facilidad de uso por sobre

la seguridad debido a los límites de recursos del tiempo de los desarrolladores de

aplicaciones móviles. Lo que sucede es que, a menudo, cuanto más fácil de usar

es una aplicación, menos segura fue su programación. Pero no tiene que ser una

compensación mutuamente excluyente.

En este documento, queremos mostrar un camino diferente, mediante el cual las

aplicaciones de banca móvil pueden tener éxito y satisfacer los dos objetivos de

facilidad de uso y seguridad. La facilidad de uso no tiene que ser a expensas de

una aplicación más segura, y la seguridad no requiere que una aplicación sea más

compleja de usar. El resultado neto es que los delincuentes informáticos y otros

atacantes pueden ser neutralizados con elecciones correctas que son utilizables

y seguras. Pero antes de describir estos métodos, primero veamos el panorama

actual de amenazas.

INTRODUCCIÓN


Breve reseña del panorama actual de amenazas en evolución En el entorno actual, las amenazas se están volviendo más inteligentes y más insidiosas. Los keyloggers pueden capturar inicios de sesión y otra información de la cuenta de usuario, y usar esa información para crear ataques hombre-navegador en el medio, sin que el usuario objetivo sepa lo que está sucediendo. Los dispositivos móviles pueden ser rooteados o liberados (en algunos mercados es más probable que los dispositivos que estén intactos), y luego se les instalan troyanos de acceso remoto para capturar datos. Incluso los métodos de autenticación de múltiples factores están en riesgo: numerosos artículos en los últimos años han documentado cómo los usuarios han visto comprometidos sus teléfonos con una simple llamada de ingeniería social a un proveedor de celulares para cambiar el número de la tarjeta SIM del propietario legítimo.

El malware solía ser detectado más fácilmente a través de residuos de archivos o firmas simples que eran un signo obvio de infección. Lamentablemente, hoy es otra la historia. El malware moderno opera más sigilosamente. Se los denomina “fileless” o “sin archivos” y pueden reunir pequeños fragmentos de código que ya están escritos y residentes en la memoria. Con técnicas como la programación orientada al retorno, el malware puede ejecutar DLL estándar y otras secuencias de código ejecutables que pueden comprometer un sistema no infectado. Esto significa que las aplicaciones en sí mismas, incluso las que han sido cuidadosamente diseñadas, pueden ser una amenaza.


Qué es RASP Para resolver algunos de estos problemas con aplicaciones inseguras, el primer paso es considerar la seguridad del propio código fuente de la aplicación móvil. Esto exige un nuevo tipo de protección de la aplicación, algo que funciona desde el interior de las aplicaciones. Este concepto de autoprotección de la aplicación en tiempo de ejecución se conoce como RASP. La idea se está volviendo rápidamente popular. Algunos proveedores de RASP ofrecen características específicas que se asignan a amenazas (como una característica que detecta y bloquea el compromiso de SSL Heartbleed). Esto ayuda al equipo de seguridad a demostrar un cumplimiento particular y puede hacer que un producto RASP sea más atractivo para la administración.

RASP es el primer paso para adquirir datos sobre la aplicación de un usuario. Verifica si hay acciones sospechosas y si la aplicación ha mantenido su integridad o si ha sido modificada por un defecto.


Adquirir información para tomar las mejores deci-siones de seguridad Una vez que RASP entra en acción, el siguiente paso es recopilar todo tipo de datos que puedan ser útiles para tomar una decisión de seguridad para detectar y prevenir el uso fraudulento. La idea aquí es utilizar este esfuerzo de adquisición de datos en segundo plano, para no presentarle al usuario una serie de diálogos molestos como “por favor, verifique quién es usted realmente”. En cambio, un usuario será evaluado constantemente en términos de lo que realmente está haciendo con su teléfono, sus aplicaciones móviles y otras circunstancias, como la ubicación geográfica y la dirección de red.

¿Qué tipos de datos se deben recopilar? Una gran cantidad. Por ejemplo:

• El dispositivo que el cliente utiliza para actividades bancarias como su computadora portátil o teléfono móvil. Este paso analiza más de cerca el dispositivo móvil de extremo. En el pasado, las aplicaciones utilizaban cookies web simples para marcar un dispositivo como confiable. Eso no es suficiente y se necesita un perfil más completo del dispositivo final. Las aplicaciones de hoy examinan muchos otros detalles, tales como: ¿Está ejecutando la versión más actual del sistema operativo? ¿Hay algún proceso sospechoso que se haya inyectado en la memoria del dispositivo? ¿El dispositivo está liberado? ¿Se está ejecutando a través de una red inalámbrica abierta o desde una dirección IP fija?

• El uso de datos de autenticación, como contraseñas, códigos PIN y autenticación por múltiples factores. En el pasado, este tipo de información se usaba como base para evaluar si un titular de cuenta válido estaba usando una aplicación bancaria en particular. Nuevamente, esta información es solo un punto de partida y necesita técnicas y datos adicionales. Y si bien utilizar SMS como factor de seguridad adicional es mejor que no utilizar ningún factor adicional, aún puede verse comprometido de varias maneras.

Todos estos datos se utilizan para reunir una puntuación de riesgo relativo que se utiliza para realizar una evaluación de seguridad. Pero antes de que podamos reunir esta puntuación, necesitamos información adicional del usuario real.

“El primer paso es considerar la seguridad del propio código fuente de la aplicación móvil.

”

En la sección anterior mencionamos una creciente insatisfacción con algunos de los tipos de contraseña de los métodos de autenticación, como el envío de SMS. Sin duda, una de las quejas más fuertes es que los métodos de múltiples factores tienden a disminuir la facilidad de uso. Esto se debe a que un usuario debe detener lo que esté haciendo, esperar a que aparezca el SMS y luego ingresar este código en su dispositivo para continuar con su actividad de banca móvil.

Esto ha generado un campo de investigación y productos completamente nuevo, en torno a lo que se llama biometría de comportamiento. La idea es examinar cómo se comporta realmente un usuario con la aplicación y con su dispositivo, y tomar esta información e incorporarla en los procesos de autenticación y evaluación de riesgos directamente.

Esto es mucho más avanzado que la biométrica tradicional, que en el pasado se consideraba simplemente como otro conjunto de factores de autenticación, como una contraseña de un solo uso. Sin embargo, este enfoque creó problemas, ya que la biometría tiene muchas sutilezas y el proceso de verificación de voz, huellas dactilares y otros factores biológicos no es una simple decisión binaria de sí o no. De hecho, implica observaciones más discretas del comportamiento humano. Para ser útil, la biometría requerirá un mayor esfuerzo para obtener grandes muestras de los puntos de datos de un usuario y examinar estos puntos de datos de manera significativa.

La palabra clave aquí es significativa: a menudo el proceso de muestreo puede ser defectuoso. Por ejemplo, una huella de voz grabada en una habitación ruidosa es menos útil que una aislada de otros sonidos. Además, los hablantes no nativos de un idioma en particular pueden tener acentos pronunciados que impidan una coincidencia sólida. Esto significa que muchos factores biométricos requerirán un entrenamiento significativo para ser efectivos.

Entonces, si bien un mejor muestreo de datos es un buen comienzo, no es la única innovación. El verdadero secreto de la incorporación de la biometría es poder rastrear y detectar el comportamiento del usuario final, no solo juzgar si sus globos oculares o sus huellas dactilares coinciden con una plantilla biométrica almacenada. Estos son algunos ejemplos de lo anterior:

La forma en que el usuario navega por la aplicación. Esto se mide en términos de presionar en menús y botones específicos, y de cómo un dedo se desliza sobre la superficie de la pantalla.

• También es importante otra información, como la elección y la secuencia de los menús, la forma en que los dedos del usuario tocan la pantalla o su cadencia al escribir en un teclado.

• Rastrear la frecuencia y el patrón de tiempo de los inicios de sesión así como las transacciones y las sumas de dinero que participan en las transacciones en sí.

• Las personas tienen hábitos sobre cómo realizan esta navegación e interacción, y estos detalles son fundamentales para comprender si el dispositivo está, literalmente, en manos de otra persona.

Este es un campo relativamente nuevo, pero hay productos que pueden aprovechar la enorme colección de sensores que ahora se encuentran en el teléfono inteligente promedio, como giroscopios, identificación táctil, posicionamiento de ubicación geográfica y cómo las personas deslizan las pantallas de sus teléfonos con los dedos. Estas últimas acciones pueden ser tan únicas como una huella dactilar, por lo que no importa lo que se escribe, sino la forma en que se mueven los dedos.

La mejor y más efectiva manera de resolver esto es que la biometría se integre en el proceso de autenticación, para que los usuarios no tengan interrupciones en sus actividades bancarias. OneSpan se ha asociado con el proveedor líder de seguridad biométrica de comportamiento BehavioSec por esta razón.

El papel de la biometría de comportamiento


Un enfoque de riesgo por capas Si observa los tipos de datos que hemos recopilado aquí, puede ver que hemos obtenido una gran cantidad de aspectos: qué dispositivo está ejecutando el usuario, cómo navegan sus aplicaciones móviles y qué acciones están realizando en la propia aplicación. Hemos determinado si se han observado actividades maliciosas en el dispositivo. Si bien eso parece desalentador, en realidad es solo una serie de capas de datos que se utilizan para construir nuestro modelo de riesgo. Es similar a lo que muchas empresas tienen con el enfoque por capas para proteger sus redes. Esto incluye:

• La capa de dispositivo físico;

• La navegación de la capa de aplicación;

• La capa de acciones del usuario; y

• La capa de recopilación.

Compare esto con los métodos de seguridad anteriores, donde una combinación de nombre de usuario y contraseña solía ser suficiente para ejecutar una aplicación bancaria. Hubo un acceso completo a todas las funciones de la aplicación con este simple proceso de autenticación. Se decidió que el dispositivo era confiable automáticamente, sin necesidad de una mayor investigación. Las cosas han cambiado mucho desde aquellos días.


Recopilación para calcular una puntuación de riesgo Una vez que hemos recopilado todas estas capas de información, debemos ver las implicaciones generales de lo que está sucediendo, y definir si nuestro cliente bancario es un usuario legítimo o un criminal que se hace pasar por él. En este momento, lo más importante es el contexto.

A partir de toda esta información, es hora de determinar el riesgo relativo global. Y aquí es donde entra en juego la verdadera innovación y las implicaciones sin fricción. Queremos poder igualar el riesgo calificado por este análisis con lo que el usuario está tratando de hacer con su aplicación. Lo que esto significa es que no todas las acciones de un usuario tienen el mismo impacto en términos de equilibrio entre seguridad y riesgo.

Este proceso de puntuación suena complejo, pero en realidad, produce un perfil muy simple que se puede usar para decidir si es confiable una persona y un dispositivo. Fortalece la cadena de autenticación general desde la aplicación a través del dispositivo hasta Internet y otros canales de comunicación. Se puede usar fácilmente para aumentar los sistemas de administración de riesgos existentes y mejorarlos con un mejor conocimiento de lo que está haciendo un usuario en particular y cuando alguien se ha comprometido.


El proceso de la lista de verificación se ilustra en un ejemplo del “informe del cliente” a continuación, que muestra los criterios de selección que se están evaluando para la puntuación de riesgo.

Para que sean efectivas, las evaluaciones basadas en el riesgo deben realizarse en tiempo real y en segundo plano, para que se conserve una experiencia de usuario sin fricciones y para que un usuario no tenga que interrumpir sus actividades bancarias. Esto significa que la gente que establece las acciones de política debe hacer coincidir el riesgo asociado con las actividades para examinarlas y hacer algunas suposiciones sobre los obstáculos que debe atravesar una transacción en particular antes de ser aceptada y de confianza.

Por ejemplo, una consulta de saldo de cuenta no conlleva el mismo riesgo que configurar un nuevo beneficiario en su cuenta. Esto significa que cualquier decisión de acceso a la cuenta se basa en una serie dinámica de circunstancias que pueden dar lugar a múltiples factores de autenticación que deben satisfacerse. En lugar de obtener el acceso a través de una contraseña de un solo uso, existen diferentes situaciones que pueden permitir acciones particulares, dependiendo del tipo de riesgo que implica. El acceso a una tarea en particular pasa por una serie de obstáculos de confianza, y los más riesgosos requieren más seguridad o un proceso de autenticación más completo para equilibrar el riesgo.

Existen numerosas soluciones disponibles que implementan estas técnicas, como el Risk Analytics de OneSpan.

CONTÁCTENOS Para obtener más información, ingresa a:[email protected]

Copyright © 2018 OneSpan North America Inc., todos los derechos reservados. OneSpan™, Digipass® y Cronto® son marcas comerciales registradas o no registradas de OneSpan North America Inc y/o OneSpan International GmbH en los Estados Unidos y otros países. Todas las demás marcas comerciales o nombres comerciales son propiedad de sus respectivos dueños. OneSpan se reserva el derecho de realizar cambios a las especificaciones en cualquier momento y sin previo aviso. La información proporcionada por OneSpan en este documento se considera precisa y confiable. Sin embargo, OneSpan no se hará responsable de su uso, ni de la infracción de patentes u otros derechos de terceros que resulten de su uso. Última actualización: mayo de 2018.

OneSpan permite que las instituciones financieras y otras organizaciones tengan éxito al hacer avances audaces en su transformación digital. Y lo logramos al establecer confianza en las identidades de las personas, los dispositivos que utilizan y las transacciones que dan forma a sus vidas. Creemos que esta es la base de la mejora de la habilitación y el crecimiento empresarial. Más de 10.000 clientes, incluyendo más de la mitad de los 100 bancos más importantes del mundo, confían en las soluciones de OneSpan para proteger a sus relaciones y procesos de negocio más importantes. Desde la integración digital hasta la mitigación del fraude y la gestión del flujo de trabajo, la plataforma abierta y unificada de OneSpan reduce los costos, acelera la adquisición de clientes y aumenta la satisfacción del cliente.

Resumen A medida que se crean mejores aplicaciones móviles para otros fines, las aplicaciones bancarias tienen que seguir elevando el nivel de la facilidad de uso para seguir siendo competitivas y mantener sus propias aplicaciones sin la menor fricción posible para impulsar el crecimiento del canal móvil y la lealtad del cliente.

En general, los bancos eligen la facilidad de uso sobre la seguridad en el diseño de sus aplicaciones. Están orientados a hacer que sus aplicaciones sean más amigables para el consumidor, y esto suele ser a costa de hacer una aplicación más segura. El resultado es que

una multitud de hackers y delincuentes cibernéticos se están volcando en masa a las aplicaciones de banca móvil debido a su entorno rico en objetivos, dadas estas debilidades de seguridad. En este documento, mostramos cómo es posible crear una aplicación muy segura y, al mismo tiempo, hacerla muy útil, ya que las medidas de seguridad están ocultas a la vista del usuario, pero no impiden ninguna acción de este. Claramente, es el camino del futuro para todas las aplicaciones móviles, no solo para la banca.

mailto:info%40OneSpan.com?subject=

http://OneSpan.com

SEGURIDAD DEL CANAL DE LA BANCA MÓVIL INVISIBLE

Documents

Transcript of SEGURIDAD DEL CANAL DE LA BANCA MÓVIL INVISIBLE