8 consejos de la Europol para proteger tu banca móvil
En 1996 abrió sus puertas el primer banco virtual español, Openbank. Ha llovido mucho desde entonces. El número de bancos online se ha multiplicado y a algunos incluso les ha dado tiempo de nacer y de desaparecer durante estas dos décadas, como a Tookam, Uno-e o Bankialink.
La llegada de los smartphones propició una segunda fase en el proceso de digitalización del sector: todos los bancos, físicos u online, lanzaron su propia app con una amplia aceptación (la aplicación de CaixaBank para Android supera las cinco millones de descargas). Pero el sector se ha seguido reinventando y hoy en día ya hay bancos puramente móviles, es decir, entidades cuyos productos solo pueden gestionarse a través de una aplicación.
ImaginBank, lanzado en enero de 2016 de la mano de CaixaBank, fue el primer banco móvil made in Spain. Pero no el único que opera en nuestro país. También están presentes en España el banco paneuropeo sito en Alemania N26, la start-up británica Revolut o el banco maltés Ferratum Bank. Y todo parece indicar que durante 2018 el número de bancos de pequeña pulgada aumentará, con la posible llegada de Orange Bank, proveniente de Francia, y la entrada de MásMóvil en el sector.
Los consejos de la Europol
Consciente del nuevo ecosistema bancario, en el que el smartphone cada vez tiene una relevancia mayor, la Europol nos da ocho consejos para proteger nuestra banca móvil ante los malwares que afectan a los teléfonos:
- Descargar la aplicación oficial de los bancos y asegurarnos cada vez que estamos visitando la página real de la entidad. Desde el comparador de productos financieros HelpMyCash completan el consejo: podemos comprobar que la URL de la página comienza por https:// y que está acompañada de un candado de color verde, lo que nos garantizará que la página es segura.
- Evitar el acceso automático a las páginas y apps bancarias (es decir, no usar el autoguardado).
- No compartir el número de nuestras tarjetas bancarias ni sus códigos pin con nadie.
- Instalar una aplicación de seguridad móvil que nos alerte de cualquier actividad sospechosa.
- Contactar con nuestro banco si perdemos el smartphone o cambiamos de número para que actualicen los datos.
- No divulgar información relativa a una cuenta bancaria por mensaje de texto o correo electrónico.
- Usar siempre una red segura de wifi cuando accedemos a la web del banco o a la aplicación y nunca hacerlo desde una red pública.
- Revisar frecuentemente los movimientos de nuestras cuentas.
En 2016 aumentó la ciberdelincuencia en el sector financiero
El CERTSI, dependiente de los ministerios de Energía e Interior, gestionó 152 incidentes relacionados con el sistema tributario y financiero en 2016. Tal y como señala el Estudio sobre la cibercriminalidad en España de 2016 del Ministerio del Interior:
Asimismo, en el estudio se pone de manifiesto que 723 hombres fueron víctimas de una estafa bancaria y 484 mujeres también. El número de investigados o detenidos por este delito ascendió a 204 en 2016.
Los esfuerzos de la banca por incrementar la seguridad
Es justo señalar que la banca a distancia en general, ya sea únicamente móvil o no, se juega mucho en el terreno de la seguridad, por lo que suele implantar medidas para garantizar la protección de sus sistemas. Un ejemplo es la doble autenticación que obliga al usuario a verificar su identidad dos veces antes de autorizar una operación. Puede combinar, por ejemplo, una contraseña de un solo uso por SMS con una posición de una tarjeta de coordenadas. Entre las medidas de seguridad que incorpora la banca en sus plataformas online podemos destacar la utilización de certificados digitales, la protección mediante cortafuegos, la transmisión de datos cifrados, la realización de test periódicos de intrusión, etc.
No obstante, a veces los esfuerzos no son suficientes. Y es que a medida que la banca se ha digitalizado, también lo han hecho los delincuentes, lo que exige un nivel de seguridad cada vez más alto.
Durante el Chaos Computer Congress celebrado en Hamburgo en diciembre de 2016, Vincent Haupert, estudiante de la Universidad de Erlangen-Nuerbern, dijo haber encontrado junto a dos colegas un puñado de agujeros en las defensas del neobanco alemán N26. Haupert halló numerosas formas de atacar la aplicación del banco, lo que permitiría secuestrar las cuentas corrientes de los usuarios. N26 se puso manos a la obra y solucionó las vulnerabilidades ese mismo mes, añadiendo más medidas de seguridad. Además, el banco señaló que ninguno de sus clientes había sido afectado por los descubrimientos puestos sobre la mesa por Haupert.
Para ayudar a mejorar su seguridad, N26 tiene en marcha el programa Bug bounty que recompensa con dinero en efectivo a los expertos en seguridad que encuentran errores o vulnerabilidades en la entidad e informan de ellos, para repararlos lo antes posible. Según el banco:
A finales de 2016 se realizó un estudio en el que se analizaron las aplicaciones para iOS y Android de 15 bancos norteamericanos (30 apps en total). Las conclusiones, publicadas por Accenture, revelaban que en todas las apps testeadas se había identificado al menos un problema de seguridad. Algunos de los problemas detectados fueron que alrededor del 13 % de las apps de Android evaluadas no estaban usando un certificado de validación adecuado o que el 60 % no tenían el código fuente ofuscado, por lo que podrían ser susceptibles de la ingeniera inversa.
La pereza al escoger el pin de las tarjetas
Pero no toda la responsabilidad recae en los bancos. Nosotros, como usuarios, también debemos ser diligentes. Y parece que no siempre lo somos, sobre todo con las contraseñas que escogemos. El caso de las tarjetas de crédito es paradigmático: tenemos 10.000 posibilidades entre las que elegir para seleccionar un código pin y muchos acabamos optando por los mismos cuatro dígitos. Según un estudio hecho público por DataGenetics, que analizó hace unos años 3,4 millones de tarjetas, el 19 % de los plásticos podían ser hackeados probando únicamente tres combinaciones: 1234, que era el código más popular compartido por el 11 % de las tarjetas, 1111 y 0000.
La seguridad en Internet no es mucho mejor: entre las contraseñas más usadas el pasado año, según un análisis de SplashData, se encuentran 123456, password o qwerty.