El 97% de los bancos son vulnerables a ataques tanto a su web como aplicación móvil

Software

Cada vez es más habitual realizar transacciones bancarias a través de Internet, bien sea por la web o por la aplicación móvil. La inmensa mayoría de los usuarios utiliza estas plataformas para ver los movimientos, realizar transferencias e incluso otras operaciones más avanzadas, también pagar con el móvil. A esto tenemos que sumar el progresivo cierre de oficinas que nos “obliga” a usar más la banca online. Sin embargo, un reciente estudio sobre los 100 mayores bancos del planeta confirma que el 97% de estos son vulnerables a ataques tanto a su web como aplicación móvil. Os damos todos los datos de este polémico estudio tras el salto.

Los bancos del estudio son los que aparecen en el S&P Global 100. En España tenemos a 5 bancos en ese ranking como el Santander, BBVA, Caixabank, Sabadell y BFA. Esto no quiere decir que estén entre los afectados que señala el estudio, pero sí entre los que se han analizado para llegar a las conclusiones de que el 97% de los bancos son vulnerables a ataques tanto a su web como aplicación móvil.

Seguridad bancos: el 97% vulnerables a ataques web y móvil

De esos 100 bancos se han analizado sus 100 páginas web, 2366 subdominios, 102 aplicaciones web de banca electrónica, 55 aplicaciones móviles y 298 APIs de banca llevando a cabo test de seguridad SSL, tests de seguridad web, test de seguridad de aplicaciones móviles y tests de phishing.

bancos

Sólo 4 entidades consiguen la máxima puntuación en cifrado SSL con un grado A+, ninguna en España. En cuanto a los subdominios, solo 58 de los analizados consiguen la máxima puntuación. Hasta 1408 subdominios tienen vulnerabilidades o problemas de configuración de seguridad.

Curiosamente, de media existen 2 componentes web en cada página bancaria analizada que está desactualizado. Del total, 29 páginas web contienen una vulnerabilidad sin parchear que ya ha sido publicada.

En relación con las aplicaciones móviles de los bancos analizados, el 100% de las mismas cuentan con al menos una vulnerabilidad de riesgo bajo. El 92% cuentan con al menos una vulnerabilidad de riesgo medio. Y el 20% de las aplicaciones cuentan al menos con una vulnerabilidad crítica.

bancos

Finalmente, se han detectado 29 campañas de phishing activas, aunque principalmente afectan a bancos de Estados Unidos. JP Morgan Chase se lleva la palma con 227 campañas en total, 3 de ellas activas. Bank of America ha sido objeto de 179 campañas, pero 8 de ellas siguen activas en estos momentos.

En resumen, siempre nos fijamos en las vulnerabilidades de Windows, en la falta de seguridad de WhatsApp o en el posible uso indebido de los datos por parte de Google, pero pocas veces caemos en la cuenta de que dependemos cada vez más de un sistema bancario que no hace bien los deberes a la hora de estar disponible en Internet.

Escrito por Claudio Valero

Fuente > immuniweb