Se ha hablado mucho acerca de cómo la pandemia ha cerrado o interrumpido muchos aspectos de nuestras vidas. Hasta cierto punto, sin embargo, también nos ha permitido dar un vistazo hacia el futuro, abriendo camino a nuevas oportunidades y cambiando numerosos desarrollos, que ya estaban en marcha, a una velocidad superior. Un ejemplo notable de esto es la acelerada adopción de diversos servicios bancarios y de pago digitales. Las plataformas de trading electrónico, que brindan a prácticamente todo el mundo la oportunidad de hacerse rico o de quebrar (o todo lo demás) casi en un instante, tampoco se han quedado rezagadas.
Dejando de lado otras preocupaciones, es natural que el aumento en el uso de aplicaciones de trading arroje algo de atención desde el lado de la ciberseguridad. Igual de obvio, los traders en línea enfrentan una gran cantidad de amenazas cibernéticas, incluidas las aplicaciones falsas, los ataques de phishing que buscan obtener credenciales de cuentas y posiblemente incluso ataques que explotan vulnerabilidades en el software de trading de su elección.
Las plataformas comerciales fueron objeto de escrutinio en 2017 y 2018, cuando el consultor en seguridad de IOActive, Alejandro Hernández, llevó a cabo una exhaustiva investigación en la cual analizó la seguridad de 16 aplicaciones de escritorio, 34 aplicaciones móviles y 30 sitios web ofrecidos por un total de 40 populares plataformas de trading. Han pasado más de dos años y nos hemos puesto en contacto con Alejandro para conocer su opinión sobre cuán segura puede ser tu experiencia en el mundo del trading.
¡Bienvenido Alejandro! Antes de ahondar en la seguridad de las aplicaciones de trading, ¿cuáles eran tus intereses de investigación?
¡Gracias por la invitación!
Bueno, soy muy versátil en lo que respecta a la investigación en seguridad, y he hecho varias cosas, incluyendo revisión de código, Inteligencia de código abierto (OSINT) y disección de apps de control remoto para automóviles. En los últimos años, me he centrado más en las tecnologías fintech, en particular en aplicaciones de trading de acciones. Eso es interesante. ¿Qué fue lo que te llevó hacia las aplicaciones de trading electrónico?
Se debe principalmente a que he estado en el negocio de valores durante algunos años, por lo que tenía curiosidad por ver qué tan seguras eran estas tecnologías. Supuse que eran súper seguras, pero me demostré que estaba equivocado. Esta es una suposición que normalmente tenemos sobre la tecnología que usamos, hasta que un investigador de seguridad nos dice cuán inseguras pueden llegar a ser.
Eso suena desconcertante. ¿La gente debería preocuparse de que las plataformas trading puedan estar poniendo su dinero o sus datos en riesgo de robo?
Realmente no, para ser honesto. Según mis observaciones, las plataformas en sí no son inseguras de manera que un atacante pueda robar fácilmente su dinero de su cuenta. Realmente no es tan sencillo como en las películas.
Por otro lado, muchas plataformas no son tan seguras como pueden llegar a ser las aplicaciones bancarias. Por ejemplo, cerca de la mitad de las aplicaciones de analicé almacenan datos sin cifrar relacionados al trading. Esto significa que, si un atacante tiene acceso al sistema de archivos de su computadora, por ejemplo, mediante malware, esos datos podrían extraerse fácilmente. Cuando se trata de aplicaciones móviles, es cierto que los sistemas operativos móviles modernos cifran los datos de forma predeterminada, pero si alguien roba su teléfono y logra desbloquearlo y acceder a él, también puede robar los datos. Lo mismo ocurre con las computadoras o las copias de seguridad no cifradas.
Analizó 16 aplicaciones de escritorio, 34 aplicaciones móviles y 30 sitios web, incluidas algunas que son líderes del mercado, y realizó pruebas a través de una diversidad de sistemas operativos y dispositivos. La escala de sus pruebas amplia, por decir lo menos. ¿Fue por un instinto de que encontraría la "veta madre" o simplemente una cuestión de metodología?
Antes de comenzar a analizar las aplicaciones tenía la sensación de que encontraría fallas en las aplicaciones de los brokers más pequeños. Sin embargo, de alguna manera estaba equivocado, ya que también encontré "cosas interesantes" en las aplicaciones de algunos de los brokers más importantes. Sin embargo, tener una metodología estricta basada en listas de verificación me ayudó a asegurarme de probar todos los controles en cada aplicación.
En su investigación afirmó que "las aplicaciones de escritorio son el paquete completo ..." que tienen una mayor superficie de ataque debido al conjunto de funciones más rico. ¿Tiene alguna evidencia de que los riesgos se equilibren debido a que muchas personas migran a aplicaciones móviles y/o debido a que las funciones en aplicaciones móviles son cada vez más ricas? ¿Quizás las personas son menos cautelosas al hacer trading desde plataformas móviles?
No tengo evidencia ni cifras sobre la cantidad de usuarios que pasan de aplicaciones de escritorio a móviles. Sin embargo, la buena noticia es que, en mi opinión, hoy en día los sistemas operativos móviles modernos son bastante seguros, y es más difícil atacar a un dispositivo móvil que a una típica computadora que corre Windows. Las aplicaciones de trading han mejorado significativamente a lo largo de los años, y veo con mucha frecuencia actualizaciones por parte de las brokerages, incluidas las que buscan mejorar la seguridad.
Por otro lado, no he oído hablar de ningún problema relacionado con la seguridad en las plataformas de escritorio en los últimos años. Solo problemas de disponibilidad, pero esto afecta tanto a dispositivos de escritorio como móviles.
¿Cómo respondieron las compañías de brokerage a sus hallazgos? ¿Han arreglado las fallas desde entonces? ¿Diría que las plataformas de trading en general son más seguras ahora que en 2017/2018?
Las compañías más importantes respondieron rápidamente al aviso de seguridad que les enviamos. Creo que es porque están más comprometidos con la protección de sus clientes y cuentan con mayores presupuestos para la ciberseguridad.
Dos años después, he visto implementados más controles de seguridad en plataformas de trading, incluidas políticas más estrictas en cuanto al uso de contraseñas, doble factor de autenticación (2FA) y muchas notificaciones opt-in de elementos operativos, como intentos de inicio de sesión válidos/no válidos, órdenes de compra/venta, retiro/depósito de dinero, etc. Así que sí, las plataformas de trading son más seguras ahora que hace dos años.
Eso suena alentador. Aún así, la gente no debería tomarse la seguridad a la ligera. ¿Cuáles serían los vectores de ataque típicos para los criminales que intentan acceder a las cuentas?
Dado que la mayoría de los traders no habilitan el doble factor de autenticación -pese a que esta opción es cada vez más extendida- para realizar acciones importantes, como vincular nuevas cuentas bancarias, los atacantes pueden adivinar o utilizar fuerza bruta sobre las contraseñas, vender las acciones y transferir el dinero a cuentas bancarias bajo su control.
Recientemente, hubo informes sobre el saqueo de algunas cuentas de Robinhood. Creo que esto se debió a que las víctimas reutilizaron sus contraseñas en varias cuentas y no usaron el doble factor de autenticación.
En realidad, esto nos lleva a otro punto importante: ¿qué puede hacer el trader promedio para mantenerse seguro?
El año pasado di un webinario que también incluía consejos para realizar trading de forma segura. En resumen, la gente debería:
- habilitar el 2FA para operaciones críticas, como vincular nuevas cuentas bancarias
- habilitar FaceID/TouchID en aplicaciones móviles para autenticación
- evitar las redes de Wi-Fi públicas
- usar una contraseña que sea diferente de las contraseñas que utiliza para el correo electrónico y/o aplicaciones bancarias, y asegurarse de que la contraseña sea robusta
- habilitar el cierre de sesión automático después de cierto tiempo de inactividad
- habilitar notificaciones por correo electrónico/SMS
Veamos ahora las prácticas de escritura de código seguro. Es seguro decir que ningún software está libre de vulnerabilidades, pero ¿cómo pueden los desarrolladores reducir las probabilidades de que sus aplicaciones estén plagadas de ellas?
Curiosamente, descubrí que las aplicaciones de trading desarrolladas por una institución financiera sin nombre son menos seguras que las aplicaciones bancarias desarrolladas por otro grupo de desarrolladores dentro de la misma compañía. Creo que es porque hay una falta de comunicación entre los equipos de desarrollo y, en mi opinión, la gente de ciberseguridad debería reunir a esos equipos para mejorar la postura de sobre la seguridad de todos los productos que ofrecen, incluso compartiendo experiencias y consejos de escritura de código seguro, probando software entre equipos, y así.
Además, las tecnologías de trading son desarrolladas parcialmente por personas con sólidos antecedentes financieros; sin embargo, hay una visible falta de capacitación en programación segura.
¿Qué pueden hacer las otras partes involucradas, como la industria financiera y los reguladores, para reducir los riesgos de ciberseguridad de los traders?
Definitivamente, los reguladores y las organizaciones de calificación también deberían participar.
Hay sitios web populares entre los traders en los que a menudo califican las aplicaciones y a las brokerages de acuerdo a la usabilidad, tarifas, servicio al cliente, etc. Pero no consideran la seguridad, aunque deberían.
Los reguladores también deben brindar orientación a las compañías fintech sobre cómo desarrollar tecnologías seguras y también deben proporcionar una lista de verificación de los requisitos mínimos que una plataforma comercial debe tener antes realizar un despliegue masivo. A largo plazo, creo que deberían desempeñar un papel más activo en la auditoría de las brokerages en cuanto al cumplimiento normativo, como el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS).
Gracias por la entrevista. Fue un placer.