Cada vez se vive más online. Y la puerta de entrada a este mundo digital, al menos para los clientes de la banca, es predominantemente móvil. Los bancos han respondido en los últimos años introduciendo e impulsando más sus servicios en sitios y aplicaciones móviles, mientras que internamente un gran número de trabajadores flexibles acceden a los sistemas corporativos desde la comodidad de sus dispositivos portátiles. Pero estas tendencias no han pasado desapercibidas para los ciberdelincuentes con motivaciones económicas e incluso para los agentes de los estados-nación.
Por consiguiente, el ecosistema móvil representa una doble amenaza para el sector: en los crecientes volúmenes de troyanos bancarios que pueden socavar la confianza de los clientes en los servicios online, y en el ciberespionaje que puede dar lugar al robo de información empresarial altamente sensible. Para hacer frente a ambos problemas será necesario adoptar un enfoque multicapa.
La nueva normalidad
Las ciberamenazas móviles han sido objeto de un debate abierto durante años. Pero todavía hay una tendencia a calificar los últimos descubrimientos de malware sofisticado y robo de datos como una actividad marginal. Eso es un error. Atraídos por un mercado creciente de usuarios de banca móvil, los ciberdelincuentes están desplegando una amplia variedad de técnicas para hacer sus ataques más efectivos. Los filtros de Trend Micro detectaron más de 220.000 muestras de malware de banca móvil solo en 2019, mientras que las campañas de ciberespionaje se han disparado en un 1400% en los últimos cuatro años.
Las bandas de ciberdelincuentes que en su día se centraron en los ataques a los ordenadores personales buscan cada vez más canales móviles para ganar dinero. ¿Por qué? Porque los dispositivos de los usuarios suelen estar menos protegidos y las tiendas de aplicaciones de terceros proporcionan un canal preparado para la distribución de malware. Algunos malware para móviles incluso llegan a la tienda oficial de Google Play Store, aunque la Apple App Store sigue estando relativamente bien vigilada. También existe una amenaza más encubierta y selectiva por parte de los atacantes de los estados-nación que pueden estar a la caza de información corporativa sensible para aprovecharla.
Transferir dinero… y datos
Los troyanos bancarios han existido durante años. Estos programas utilizan una variedad de técnicas para robar los inicios de registro de sesión de los usuarios y proporcionar acceso a los fondos que los hackers utilizan o venden en el mercado clandestino del cibercrimen, lo que en el argot se conoce como underground. Desafortunadamente, las versiones móviles de esta categoría de malware son cada vez más sofisticadas, e incluso se ramifican para robar más datos personales y no solo los inicios de sesión.
La variante de Anubis se dirigió a más de 300 instituciones financieras de todo el mundo utilizando técnicas de evasión basadas en el movimiento, incluso pasando por alto los filtros internos de Google para llegar a la tienda Google Play a principios de 2019. El malware se disfraza como una app de aspecto inocente que engaña a las víctimas para que envíen sus credenciales bancarias, códigos de seguridad y datos de tarjetas de crédito a través de superposiciones falsas para que aparezcan como actualizaciones de software, mercados de apps, Flash Player y otras apps. Otro malware notable descubierto el año pasado, Cerberus, fue promocionado y vendido en Twitter. Creado desde cero, está diseñado para interceptar y controlar el tráfico de SMS del dispositivo, y recolecta contactos.
Espionaje con fines de lucro
El spyware móvil presenta un tipo de amenaza diferente, ya que es más probable que cause graves daños financieros y de reputación si se dirige contra ejecutivos bancarios. Aquí también hay un próspero mercado de malware diseñado para recoger información confidencial del dispositivo, incluyendo archivos almacenados, registros de llamadas, listas de contactos, historial de navegación, inicios de sesión de cuentas y geolocalización. Algunos programas espía pueden incluso utilizarse para activar de forma remota la cámara y el micrófono del dispositivo, lo que podría tener un efecto devastador durante una reunión importante de la junta directiva, por ejemplo.
Al igual que los troyanos bancarios, el spyware suele esconderse en apps de aspecto legítimo y se introduce ilegalmente en Google Play, en app stores de terceros o en sitios dedicados al phishing. Luego, las víctimas son atraídas para descargar la app a través de correos electrónicos de phishing o mensajes de texto. Aunque los usuarios de iOS pueden estar seguros de que cualquier software de la App Store ha sido estrictamente analizado en busca de malware, no están necesariamente a salvo si hacen clic en uno de estos links. En circunstancias extremas, el spyware se ha observado incluso ejecutándose sin interacción humana. Se cree que este es el tipo de malware móvil utilizado por el príncipe heredero saudí Mohammed bin Salman para espiar a Jeff Bezos de Amazon. Los CISO bancarios deben tener en cuenta que si el iPhone del hombre más rico del mundo puede ser hackeado, los altos ejecutivos deben estar adecuadamente preparados.
De hecho, hay una gran variedad de spyware comercial en el mercado clandestino del underground, disfrazado de todo, desde apps de chat hasta descargadores de Zoom. Una variante, MobSTSPY fue descargada más de 100.000 veces por usuarios de 196 países.
Es hora de ser proactivos
El futuro a largo plazo de las amenazas móviles es incierto. Pero lo que podemos decir es que las herramientas y técnicas, una vez que sean propiedad de unos pocos grupos de amenazas avanzadas o de estados-nación, se irán diseminando a las masas de ciberdelincuentes. Esto es una mala noticia para las instituciones financieras, y de hecho para las organizaciones de alto perfil, en todas partes.
Por un lado, los equipos de seguridad deben ofrecer ayuda y orientación siempre que sea posible a los clientes. Concienciar sobre los peligros de los troyanos bancarios móviles y asesorar a los hogares, como no visitar tiendas de apps no oficiales o hacer clic en correos/mensajes no solicitados, es un primer paso vital. Los bancos podrían incluso proporcionar software antivirus (AV) gratuito para los dispositivos de los clientes. La seguridad en estos términos puede ser un factor diferenciador para las entidades, y uno cada vez más importante a medida que las reglas de Open Banking marcan el comienzo de una nueva generación de fintechs en el mercado.
Esta formación y concienciación de los usuarios debe extenderse a los empleados, para reducir al mínimo las posibilidades de infección por spyware. Asegúrese de que saben cómo detectar intentos de phishing con ejercicios de entrenamiento regulares que incluyan simulaciones del mundo real. Los próximos pasos que se den dependerán del apetito de riesgo de su organización. Puede ser que los empleados no puedan acceder a los sistemas corporativos en nada que no sea un dispositivo autorizado por el trabajo. Si ese no es el caso, entonces será necesario elaborar políticas estrictas en torno al uso aceptable, así como restricciones en las descargas y en los sitios que el usuario puede visitar. Estas pueden implementarse mediante herramientas de gestión de dispositivos móviles, que también aseguran que todos los dispositivos estén protegidos con un AV de un proveedor acreditado y que estén actualizados con las últimas versiones de software/OS. La autenticación de doble factor puede reforzar aún más la seguridad al reducir la dependencia de contraseñas fáciles de robar, adivinar o descifrar.
Los altos ejecutivos deben formar parte de este proceso: los atacantes saben que estos son los objetivos de mayor valor, los que más tienen que perder y potencialmente los más propensos a hacer clic en los enlaces maliciosos. Encontrar la manera de inculcarles la importancia de una buena higiene cibernética móvil será una tarea difícil pero esencial.
En todo caso, la crisis del COVID-19 acelerará el cambio hacia el trabajo en el domicilio o en remoto en todo el sector. Si la movilidad es la nueva normalidad, tiene sentido centrarse en la ciberseguridad hoy para prepararse para las amenazas del mañana.
José Battat
Director general de Trend Micro Iberia