Tecnología

Dejar el desarrollo de la app a un tercero la puede hacer vulnerable

Dentro de las recomendaciones que deben seguir las empresas financieras está en siempre tener el control de la seguridad, sin embargo esto se debe tener desde el desarrollo

mié 29 mayo 2019 06:30 AM

Estas son las contraseñas más usadas de 2021, aprende a generar la más segura — Un especialista de Microsoft revela cuál es el número de caracteres más usado por los hackers a la hora de adivinar contraseñas. (iStock by Getty Images)

Eréndira Reyes

@eresinaeresina

CIUDAD DE MÉXICO (Expansión).- El uso del smartphone para realizar múltiples actividades y procesos ha aumentado el número de aplicaciones financieras y de carteras digitales en el país, lo que aumenta la competitividad de las empresas pequeñas, mejora el acceso a servicios bancarios para los usuarios pero también genera vulnerabilidades de seguridad, sobre todo si el desarrollo de estas apps no está hecho por la misma compañía.

Erik Moreno, director del Centro de Operaciones de Ciberseguridad de Minsait en México, dijo a Expansión que uno de los problemas más usuales de las empresas financieras es que encargan las aplicaciones a empresas de desarrollo de apps ajenas a la compañía, en una suerte de outsourcing. Este esquema es bueno porque se deja a los expertos el desarrollo de hacks y accesibilidad de las apps, pero en paralelo puede hacer más vulnerables sus sistemas de ciberseguridad.

“Se pierde el control de la operación en la seguridad de los productos y es más complicado parchar o generar un sistema de seguridad más seguro”, indicó Moreno. Esto porque al final del día quienes la desarrollaron saben qué es lo que puede estar mal y pueden actuar de inmediato en caso de que exista una alerta de seguridad.

Debido a esta tendencia por tercerizar el desarrollo de apps las tiendas de aplicaciones son cada vez más estrictas a la hora de aprobar una app en su plataforma. Sin embargo “no todo en seguridad puede ser 100% certero, pues siempre se busca algún punto flojo donde vulnerar” señaló Moreno.

Un ejemplo de estas vulnerabilidades fue lo que ocurrió durante 2018 con el Sistema de Pagos Electrónicos Interbancarios (SPEI) que sufrió un ataque masivo que se estimó en pérdidas mayores a los 300 millones de pesos. Una de las fallas que más sobresalió del caso fue la falta de parches de seguridad en algunas de las empresas bancarias. Sin embargo más allá de esto, los especialistas precisan que dejar en manos de terceros el desarrollo de apps, puede entorpecer la reacción de los sistemas de ciberseguridad en caso de una vulnerabilidad.

Incluso por esta misma razón el Banco de México (Banxico) alistó en su momento ciertas sanciones sobre el tema y además inició el desarrollo de un nuevo sistema de pagos al que deberán adherirse las aplicaciones financieras que tengan las entidades bancarias.

“Se iniciaron diversos procesos sancionatorios y se presentaron al Banco de México planes de acciones correctivas de las entidades supervisadas”, señaló el Banco Central en su reporte anual sobre el ejercicio de las atribuciones conferidas por la Ley para la Transparencia y Ordenamiento de los Servicios Financieros, en enero de este año.

Además Banxico adelantó que durante este año se tendrán que hacer mejoras en la red donde interactúan los usuarios y en lo posible se tendrán que desarrollar las aplicaciones y sistemas dentro de las mismas instituciones, con el fin de que éstas puedan dar mejor atención ante a algún ataque.

Miguel Ángel López Mendoza, Jefe de la Oficina de Desarrollo de SPEI, junto a un equipo de expertos, idearon un nuevo sistema que saldrá a finales de este 2019. Y uno de los puntos que más le preocupa al experto de Banxico es el tema de los proveedores.

“Lo que hacemos después de terminar este proyecto es publicar una especificación de protocolo bien detallado para que desarrollen y adapten sus sistemas (las instituciones financieras). Sobre todo los proveedores de bancos serán los que tengan el mayor reto, así que los bancos tendrán que poner un deadline acorde a su propia capacidad” refirió López Mendoza.

Moreno recomendó, que cuanto antes, los bancos tendrán que empezar a desarrollar internamente estos nuevos desarrollos. Pues este tipo de ataques no sólo están centrando sus esfuerzos en entrar a SPEI, sino que se trata de una tendencia que las empresas de ciberseguridad empiezan a vislumbrar con mayor claridad.

Lee: SPEI 2, podría llegar a finales de 2019