Llegamos a ustedes gracias a:



Conversando con...

Juan Pablo Zuluaga, Gemalto

La seguridad en el dispositivo móvil

[23/05/2016] Hace unos días estuvo de paso por la ciudad Juan Pablo Zuluaga, regional solutions sales manager, Andean Pact & Caribbeans de Gemalto, con quien conversamos sobre la seguridad que se debe de tomar en cuenta en los dispositivos móviles.

Ahora que los celulares son el centro de la vida digital de muchas personas, es natural que las amenazas hayan pasado a este ámbito, y por ello la seguridad también debe atender a las nuevas necesidades que implica este novedoso entorno transaccional.

Juan Pablo Zuluaga, regional solutions sales manager, Andean Pact & Caribbeans de Gemalto.
¿Cuáles son las amenazas móviles más comunes?

Es importante mencionar que hay una tendencia a nivel mundial en donde la estrategia de muchas compañías en diversos sectores está ligada al móvil. De hecho, en el congreso mundial de las telecomunicaciones de este año, una de las conclusiones más importantes es que todo puede ser móvil, el móvil está en el centro de la vida digital de las personas.

También hay una tendencia muy importante a nivel de los consumidores. Ellos quieren mejorar su experiencia de usuario y es ahí donde hay que tener bastante foco. Y así comienzan a salir muchas aplicaciones, incluyendo aplicaciones de servicios financieros móviles y por la criticidad que ello implica, hay que pensar en la seguridad desde el momento uno.

Hay diversos sistemas operativos en el mundo, pero el que más adopción ha tenido es Android y es también el que por sus características de ser un sistema operativo abierto, el que más es atacado. De hecho, en una publicación reciente se estima que más del 98% de los ataques detectados están orientados a Android.

Básicamente, los defraudadores están incluyendo cierto malware a los dispositivos móviles buscando tener oídos dentro del dispositivo para que cuando pongas una clave o información sensible, puedan capturar datos confidenciales para ser usados en el mismo móvil o en canales alternativos. Estos malwares y virus no distan mucho del mundo tradicional de Internet, solo que un dispositivo móvil no tiene todas las protecciones que normalmente puede tener un servidor o una computadora con sus antivirus. Si bien hay antivirus para dispositivos móviles, no vienen con ellos de fábrica; por otro lado, la ingeniería social sigue siendo un tema importante; es decir, se busca en redes sociales y diferentes fuentes información del usuario para luego tratar de hacer temas de suplantación.

Existen instituciones financieras que envían un código al dispositivo móvil para comprobar la identidad del usuario, lo que se denomina SMS OTP, pero hay casos crecientes en la región, inicialmente fuerte en Brasil, en donde los operadores móviles tienen políticas no tan fuertes para hacer cambios en la suscripción. Uno puede llegar con un DNI falso y hacerse pasar por otra persona y pedir la reposición de la línea, y el operador les da una SIM con el mismo número, con lo cual ellos pueden recibir estos SMS OTP y hacer fraude por suplantación de identidad.

Hay otras formas de identificarse, como el uso de técnicas de biometría. El tema biométrico, si bien va avanzando fuertemente, tiene bastante demanda para los dispositivos móviles, y un feature phone o teléfono de gama media o baja no va a tener dispositivos de lector de huella o reconocimiento facial o de voz.

Otro tema es el comercio electrónico que está creciendo fuertemente en América Latina. De acuerdo a datos de los diferentes reguladores de la región se está viendo que cada vez más personas ingresan a estos portales desde el celular. Ahí también hay otra zona de fraude importante, el fraude que se da en el comercio electrónico representa alrededor de entre el 60% a 70% del total de fraudes que existe en todas las transacciones. Y esto es significativo porque si hablamos de comercio electrónico en el Perú, éste tiene una penetración de alrededor del 5%; entonces ese 5% puede representar hasta el 70% del fraude que existe en el sistema financiero. Entonces esto se vuelve un problema latente y hay que tomar medidas para proteger los celulares, las aplicaciones y para autenticar a los usuarios.

Por eso es importante que los bancos y las entidades que manejen información sensible tomen sus medidas desde ya a nivel de seguridad; es decir, buscar que un teléfono no tenga malware o que no tenga algo que esté escuchando las conversaciones, o buscar que se usen firmas de transacción.

¿La seguridad se implementa en la institución o en el dispositivo móvil o en ambos?

La seguridad debe estar tanto en el móvil como en la entidad. Básicamente, tenemos que blindar las debilidades que pueda haber en el celular, e implementar técnicas de monitoreo de fraude del lado de la institución.

Si tienes la aplicación de un banco hay que implementar mecanismos para blindar esa aplicación, evitar que haya código malicioso que se haga pasar por la aplicación del banco o extrayendo información sensible. Existen diferentes mecanismos para blindar estas aplicaciones y evitar ingeniería reversa, para que los aplicativos maliciosos no se hagan pasar por el aplicativo del banco; de hecho, debe haber una identificación mutua, al banco le interesa saber que eres el usuario, pero a ti también te interesa saber que el que te está pidiendo la información es realmente el banco, porque hay sitios que tienen el mismo look and feel de tu entidad financiera que te piden datos que finalmente van hacia un suplantador.

A nivel de las entidades financieras se deben implementar medidas de monitoreo de fraude, de alertas. Si normalmente pagas bienes y servicios que oscilan en un rango de gastos determinados y se presenta un gasto muy superior, hay que entender que esto se encuentra lejos del comportamiento tradicional y saber lo que está pasando. Ahí se debe tener otra interacción con el usuario para validar que ese usuario es quien dice ser.

¿Se blinda todo el dispositivo o solo la aplicación de la institución?

Digamos que hay varios mecanismos, sí hay que considerar el blindaje del dispositivo completo, pero eso es una decisión propia del usuario, de buscar antivirus en su celular; pero lo que está definitivamente en potestad de las entidades financieras es blindar la aplicación y buscar mecanismos seguros para que esa aplicación en particular esté blindada. De hecho, la razón de ser de los bancos es la confianza que brindan, los bancos desde ya tienen que realmente poner atención y dedicar bastantes esfuerzos en la seguridad.

Estamos en una era digital, todo se centra en el móvil y para los bancos es importantísimo crear confianza, abrir más canales de atención a sus usuarios, pero blindando estos canales de atención.