La falla de seguridad en 9 aplicaciones bancarias puede haber filtrado la información de 10 millones de usuarios

La mayoría, si no todas, las aplicaciones sensibles a la seguridad utilizan lo que se conoce como conexión TLS para crear un enlace cifrado de forma segura entre sus servidores y su teléfono. Esto asegura que cuando esté, por ejemplo, haciendo sus operaciones bancarias en su teléfono, en realidad se está comunicando con su banco y no con un servidor aleatorio y potencialmente peligroso.

Solo hay un pequeño problema: según un documento presentado el miércoles en la Conferencia Anual de Aplicaciones de Seguridad Informática en Orlando, los investigadores de la Universidad de Birmingham encontraron que nueve aplicaciones bancarias populares no han tomado las precauciones adecuadas al configurar su conexión TLS. Estas aplicaciones tienen una base de usuarios combinada de 10 millones de personas, todas cuyas credenciales de inicio de sesión bancarias podrían haber sido comprometidas si se explotara esta falla.

"Esto es serio, los usuarios confían en que estos bancos pueden hacer sus operaciones de seguridad", dice Chris McMahon Stone, un estudiante de doctorado en seguridad informática de la Universidad de Birmingham, Inverso. "Esta falla ahora está arreglada, la hemos divulgado a todos los bancos involucrados. Pero si un atacante conocía esta vulnerabilidad y dice que un usuario está ejecutando una aplicación desactualizada, sería muy trivial de explotar. El único requisito es que el atacante tenga que estar en la misma red que su víctima, así como una red WiFi pública.

Aquí está la lista de aplicaciones afectadas, por el papel.

Se supone que la conexión TLS debe garantizar que cuando ingrese su información de inicio de sesión en el banco, solo la esté enviando a su banco y a nadie más. Esta precaución de seguridad es un proceso de dos pasos.

Comienza con los bancos u otras entidades que envían un certificado firmado criptográficamente, verificando que realmente son quienes dicen ser. Estas firmas son entregadas por las autoridades de certificación, que son terceros de confianza en este proceso.

Una vez que se envía este certificado (y la aplicación se asegura de que es legítimo), se debe verificar el nombre de host del servidor. Simplemente se trata de verificar el nombre del servidor al que intenta conectarse para asegurarse de que no está estableciendo una conexión con nadie más.

Es este segundo paso donde estos bancos dejaron caer la pelota.

"Algunas de estas aplicaciones que descubrimos comprobaban que el certificado estaba firmado correctamente, pero no estaban verificando el nombre de host correctamente", dice Stone. "Por lo que esperarían cualquier certificado válido para cualquier servidor".

Esto significa que un atacante podría falsificar un certificado y montar un ataque de hombre en el medio. Donde el atacante aloja la conexión entre el banco y el usuario. Esto les daría acceso a todos La información enviada durante esa conexión.

Si bien esta falla se ha corregido, si utiliza alguna de las aplicaciones enumeradas anteriormente, debe asegúrese de que su aplicación esté actualizada para obtener la solución. Stone también recomienda encarecidamente a las personas que realicen sus operaciones bancarias móviles en el hogar, y que tengan su propia red para evitar cualquier posibilidad de un ataque de hombre en el medio.

Mantente a salvo en la web, amigos.