En los últimos tiempos, cada vez son más las aplicaciones que los usuarios utilizan a diario en su teléfono celular, tanto para el trabajo como para el ocio diario, generando miles de millones de dólares en la industria tecnológica. Los consumidores utilizan las aplicaciones móviles para comprar, gestionar sus cuentas bancarias, viajar, comer, recibir asistencia sanitaria y mucho más, confiando en la privacidad y la protección de sus datos personales.
Es ante este escenario que, para proteger a todos los usuarios evitando hackeos en las aplicaciones móviles, tanto las empresas como las organizaciones deben tener en cuenta un conjunto mínimo de requisitos para poder garantizar los fundamentos de la ciberseguridad.
La última edición del informe de IBM Cost of a Data Breach for 2023, revela un costo medio de 4.45 millones de dólares por ciberdelitos, lo que supone un aumento del 15 % en los costos de los hackeos de datos en solo tres años. Además, el informe Global Consumer Expectations on Mobile App Security de Appdome, indica que el 41.8% de los consumidores afirman que ellos, un amigo o un familiar han sido víctimas de un ciberataque en una aplicación móvil.
“Proteger a los usuarios de aplicaciones móviles no es sólo una prioridad, sino una necesidad urgente para garantizar la seguridad de los datos corporativos y personales de los usuarios, al tiempo que se proporciona una mayor confianza y lealtad del consumidor hacia la marca”, subraya Chris Roeckl, Chief Product Officer de Appdome. En ese sentido, proponen cuatro tips contra el ciberdelito:
1. Garantizar la integridad del sistema operativo
La seguridad de las aplicaciones móviles empieza por garantizar la seguridad del entorno en el que opera la aplicación. Una violación de la integridad del sistema operativo móvil, como el Jailbreak (iOS) o el Root (Android), hace inseguro el entorno operativo del dispositivo móvil. ¿Qué son el “jailbreaking” y el “root”? Jailbreaking es el proceso de eliminar las restricciones de software impuestas por Apple en los dispositivos iOS, permitiendo la instalación de aplicaciones no autorizadas. Root es la práctica equivalente en los dispositivos Android, que concede acceso privilegiado para modificar el sistema operativo.
Los ciberdelincuentes suelen hacer jailbreak o root a los dispositivos móviles como paso inicial para intentar comprometer la aplicación móvil. Además, pueden atacar la aplicación móvil para encontrar debilidades en la aplicación, los sistemas backend y las API, para montar ataques corporativos a gran escala. En otros casos, se aprovechan de los usuarios de móviles que ya han hecho jailbreak o han rooteado sus dispositivos con fines personales y, de este modo, exponen vulnerabilidades que pueden ser aprovechadas por los ciberdelincuentes para comprometer la seguridad del dispositivo, como robar la identidad del usuario, acceder a secretos corporativos, manipular la geolocalización para cometer fraudes o manipular juegos para obtener ventajas desleales.
2. Cifrar todos los datos sensibles
La mayoría de las aplicaciones móviles generan o almacenan diversos tipos de datos esenciales para su funcionamiento, como claves API, credenciales de usuario, transacciones, historial de eventos, etc.
El experto aclara que, para protegerse contra el robo de datos y credenciales, las organizaciones y los desarrolladores de móviles deben mejorar sus aplicaciones con un cifrado de datos fuerte de cualquier información almacenada en el dispositivo, utilizada en la memoria o transmitida a través de la red. De este modo, todos los datos sensibles de las aplicaciones móviles, como credenciales de usuario, secretos corporativos o transacciones financieras estarán siempre protegidos.
3. Detección y prevención de bots móviles
Detectar la presencia de bots maliciosos e impedir que interactúen con la aplicación o la infraestructura constituye una medida preventiva muy eficaz. Si consiguen infiltrarse en aplicaciones activas, pueden lanzar ataques contra los servidores web de una organización, para interrumpir la red, robar información confidencial o lanzar ataques fraudulentos a gran escala.
“Las organizaciones ya se están protegiendo contra los bots integrando soluciones como MOBILEBot Defense de Appdome. Esta solución identifica, analiza y defiende contra diversas amenazas comunes, como aplicaciones falsas, programas maliciosos, ataques de bots, relleno de credenciales, DDoS (ataques distribuidos de denegación de servicio) y las tomas de control de cuentas (ATO)”, revela Roeckl.
4. Proteger el código base de la aplicación
Otro vector de ataque habitual que explotan los piratas informáticos consiste en introducirse en la aplicación móvil y manipularla mediante ingeniería inversa para aprender cómo está codificada. Los hackers emplean esta técnica para crear versiones maliciosas de la aplicación, troyanos o simplemente robar propiedad intelectual (IP).
Además, los atacantes buscan secretos, símbolos de depuración o cualquier otra vulnerabilidad que pueda facilitar el robo y explotar a usuarios finales desprevenidos.
“Es imperativo que las protecciones funcionen de forma independiente y en toda la aplicación móvil para evitar cualquier punto único de fallo en su postura de seguridad. También es importante emplear métodos únicos para proteger las distintas partes de la aplicación móvil. Este planteamiento no sólo mejora la seguridad, sino que también mitiga el riesgo de fallos en cascada o efecto “dominó””, concluye el experto.