• Tweet

Una firma de seguridad reveló el día de hoy huecos de seguridad en aplicaciones de banca móvil de las empresas financieras Bank of America, USAA, Chase, Wells Fargo y TD Ameritrade, lo cual ha provocando la demanda para que la mayoría de las compañías actualicen las aplicaciones.

"Desde el lunes (1 de noviembre de 2010), hemos estado coordinando y comunicándonos con las instituciones financieras para eliminar las fallas", escribió un investigador de la empresa viaForensics en una entrada en su sitio. "Los hallazgos son resultado de pruebas completadas el 3 de noviembre de 2010. Durante este tiempo, varias de las instituciones han liberado nuevas versiones y en breve, vamos a publicar los resultados actualizados".

La compañía había informado de sus conjeturas al The Wall Street Journal esta mañana. Ayer, viaForensics iba a publicar los problemas presentes en aplicaciones de PayPal para iPhone, las cuales estimulan la acción del pago en línea para proveedores.

En concreto, viaForensics concluyó que: La aplicación de USAA para Android almacena copias de las páginas web visitadas en el teléfono por el usuario; las aplicaciones de TD Ameritrade para iPhone y Android estaban recolectando el nombre de usuario en texto plano en el móvil. Asimismo, la aplicación de Well Fargo almacenaba el nombre de usuario, la contraseña y la cuenta de datos en texto plano en el teléfono. La aplicación de Bank of America salva una pregunta de seguridad (la cual se utiliza si un usuario que accede al sitio desde un dispositivo no reconocido) en texto plano en el teléfono; y finalmente, la aplicación de Chase para iPhone almacena el nombre de usuario en el teléfono si éste elige tal opción, de acuerdo al reporte.

Mientras que, las aplicaciones para iPhone de USAA, Bank of America, Wells Fargo y la aplicación de Vanguard y PayPal para Android, todas pasaron las pruebas de seguridad y se encontró que el tratamiento de datos era de forma segura.

A consecuencia del reporte, Wells Fargo lanzó una actualización para su aplicación de Android el día de ayer, USAA actualizó hoy su aplicación para Android, Las aplicaciones de TD Ameritrade serán reparadas en unos cuantos días, de acuerdo con una nota de periódico. Un portavoz de Chase evitó dar comentarios al respecto a CNET.

Los portavoces de varias instituciones financieras dijeron a los diarios que los supuestos huecos de seguridad, en sí mismos, no pondrían necesariamente en riesgo a los usuarios debido a que hay otras medidas de seguridad en su lugar y que un atacante necesitaría saber el ID y la contraseña del usuario en muchos de los casos para acceder a las cuentas.

Actualización 08:50 a.m. PDT Nov. 5. Andrew Hoog, director de investigación en viaForensics, ofreció esta declaración en respuesta: "Nuestro servicio appWatchdog claramente pone en evidencia los aspectos de seguridad de aplicaciones financieras al momento de probarlas. Desafortunadamente, en el mundo de la seguridad (sobre todo cuando se accede a una cuenta bancaria o se provee el número de tarjeta de crédito), proporcionar seguridad la mayoría de las veces simplemente no es suficiente. Para los proveedores de aplicaciones móviles, no hay atajos para la protección de datos de los clientes. Esto debe diseñarse desde el principio y probarse a fondo después de cualquier cambio en la aplicación o sistema operativo subyacente (por ejemplo en el IOS de iPhone o Android de Google)".