¿Necesitas hacer una Consulta?

¿Son seguras las Apps de trading?La tecnología avanza, y más en todo lo relacionado con los negocios. Hay aplicaciones que nos dan la opción de intercambiar herramientas financieras de forma rápida y sencilla, pero ¿son seguras las Apps de trading? Hoy le contamos todo lo que sabemos de la mano de la experiencia de nuestros peritos informáticos forenses.

¿Qué es una aplicaciones de trading?

Aunque es una herramienta muy frecuentemente usada, las personas que no están involucradas en este tipo de actividades es posible que no conozcan de qué se trata. Una app de trading consiste en una versión de una plataforma que nos da nuestro propio broken online. Está diseñada específicamente para intervenir de forma directa desde un teléfono móvil, nuestra tablet o Smartphone.

Plataformas de trading

Las plataformas de trading se han usado durante años desde el escritorio y las webs ofrecidas por los bancos. Estas tenían una visibilidad muy reducida de los instrumentos comerciales que había disponibles.

Hoy en día acceder a los mercados financieros de forma global, es tan fácil como abrirse una cuenta en Facebook. Aquí podemos encontrar todas las empresas cotizadas en las bolsas de todo el mundo, por ejemplo las de Estado Unidos.

Cualquier persona tiene acceso para comprar y vender una enorme gama de herramientas financieras en el mercado secundario: acciones. ETFs, etcétera. También tenemos acceso al mercado de derivados, donde podemos encontrar opciones binarias, contratos por diferencias. Y por último, el mercado de Forex, o también llamado mercado de divisas, donde el movimiento se realiza con bitcoin, ethereum, entre otros.

Opciones que ofrecen las Apps de tradingOpciones que ofrecen la aplicaciones de trading

En la gran mayoría de bancos que disponen de soluciones de inversión y firmas de corretaje en línea, también tienen plataformas para móviles. Estas apps nos dan muchas posibilidades como por ejemplo:

  • Financiación de las cuentas través de transferencias bancarias o tarjetas de crédito.
  • Monitorear las posiciones y el desempeño de estas: número de herramientas financieras que posee y las perdidas y ganancias.
  • Mantiene el registro del capital disponible para la intervención y el poder de compra: los saldos de efectivo y las cuentas margen para el aplacamiento.
  • Mantiene el control de los precios y el rendimiento de las herramientas y los índices.
  • Da la opción de emitir órdenes de venta o compra de herramientas.
  • Recibe noticias y trasmisiones de vídeo de los movimientos y las noticias a tiempo real.
  • Podemos crear alertar para que se ejecuten cuando se alcancen ciertos parámetros en los precios.
  • Es una forma de mantenerse en contacto con la comunidad de traders.

¿Son seguras las Apps de trading?

Las facilidades que ofrecen estas aplicaciones destacan por su rapidez y sencillez, pero traen consigo varios riesgos. Con el avance de la tecnología los hacker siempre suelen ir un paso por delante. Diariamente se desarrollan nuevos modelos inteligentes para poder obtener beneficios, principalmente económicos, de formas fraudulentas.

Los delitos relacionados con este ámbito suelen ser esquemas Ponzi, un tipo de fraude que usa a nuevos inversores para pagar a los antiguos.

Incluso también se han llegado a desarticular células organizadas que se dedicaban a llevar a cabo estafas usando medios como el email, redes sociales y otras herramientas tecnológicas como estas apps. Las estafas que realizan estas células se conocen como Pump and Dump. Esto consiste en comprar acciones baratas para inflar los precios a base de finanzas y declaraciones falsas en el mercado. Una vez el precio se ha elevado lo suficiente, lo único que necesitan es vender las acciones para obtener las ganancias.

Seguridad en los sistemas bancarios y los mercados capitales

En lo referente a la seguridad es esencial señalar la necesidad de reconocer las diferencias entre los sistemas bancarios de los mercados de capitales.

En los sistemas bancarios la información se encuentra centralizada en una única entidad financiera. Existe tan solo un único punto donde se encuentran todos los datos almacenados, lo que hace que sea mucho  débil frente a los ciberataques.

A diferencia de esto, los mercados mundiales se encuentran divididos. Las acciones y otros factores financieros no caen a partir de nada, como por ejemplo un registro de base de datos modificados dentro de una única entidad. Cuando ya han sido emitidos tan solo pueden ser intercambiados de una entidad a otra.

Fallos en los controles de seguridad de las Apps de trading

Vamos a conocer 14 controles de seguridad más comunes, los cuales tan solo representan la punta del iceberg.

  • Dentro del diseño:
    • Sistema de control iOS:
      • Autentificación biométrica: 24% de fallo.
      • Cierre de sesión y bloqueo automático para sesiones inactivas: 25% de fallo.
      • Privacidad: 95% de fallo.
      • Riesgos dentro de los medios sociales: sin fallo.
  • Funcionamiento técnico:
    • Sistema de control iOS:
      • Comunicación encriptado o estenografía: 10% de fallo.
      • Control de sesiones: 40% de fallo.
      • Control y validación de los datos del cliente: 50% de fallo.
    • Sistema de control Android:
      • Detección de roots: 95% de fallo.
      • Modificación de códigos: 30% de fallo.
      • Secretos ocultos en el código: 60% de fallo.
      • Aplicación firmada: sin fallo.
    • Sistemas de control compartidos, iOS y Android.
      • Validación del certificado SSL: 65% de fallo.
      • Datos sensibles localizados en la consola de logs: 65% de fallo.
      • Almacenamiento seguro de datos: 75% de fallo.

Desgraciadamente aquí podemos ver que la ciberseguridad dentro de estas apps, no ha sido un tema prioritario. Estas aplicaciones han sido ignoradas por los investigadores de seguridad, seguramente por su reciente llegada al mercado financiero.

Mejoras en seguridad de las apps de trading

Cerca del 20% de todas las apps de traiding, usan contraseñas de usuario que se envían en textos claros a archivos de configuración XML o a la consola log, sin cifrar. A pesar de esto, es necesario contar con acceso directo físico del dispositivo que se hay usado para entrar a la aplicaciónpara poder extraerlos.

Si nos enfrentáramos a un ciberataque o usuarios malintencionados, estos podrían obtener nuestras contraseñas del trading a través del sistema de archivos y de la consola log con herramientas y conocimientos relativamente básicos. Una vez tengan nuestras contraseñas tendrán libre acceso a nuestras cuentas y llevar a cabo operaciones no autorizadas. Podríamos enfrentarnos a que han vendido acciones, incluso a que hayan transferido todo nuestro dinero a una nueva cuenta de la cual se encargaran de sacar rápidamente todo el dinero para poder eliminarla y no dejar rastro. Este problema viene dado de las llamas contraseñas de texto plano.

Dentro del trading, los datos que son estratégicos y operativos nunca deberían de ser enviados a la consola de logs ni a ningún archivo que no este cifrado. Los valores considerados sensibles son aquellos que poseen:

  • Mejoras en seguridad de las Apps de tradingDatos personales.
  • Saldos.
  • Patrimonio neto o también conocido como el dinero de inversión.
  • Liquidez neta.
  • Numero de posiciones.
  • Listas de seguimientos, también llamadas watchlists.
  • Órdenes de compra venta.
  • Poder adquisitivo.
  • Depósitos realizados.
  • Identificadores de sesión.
  • Contraseñas.
  • URLs.
  • Tokens criptográficos.

Dentro de las aplicaciones controladas por los controles de seguridad que mencionamos anteriormente, cerca del 65% mandaron datos sensibles a logs. El 70% de ellas los almacenaron sin cifrar.

Cuando la información personal cae en manos no deseadas

Llegado el caso, estos datos pueden filtrarse y terminar en manos de un usuario malintencionado. Este tendría la capacidad de obtener toda la información sobre el patrimonio neto, dícese del total del dinero que se haya invertido. También tendrá acceso a la estrategia de inversión. Esto es debido a que la información en las Apps de trading, una vez ya estén en malas manos, ofrecen la visión de las herramientas empleadas por los usuarios. Aparecerán todas las herramientas que estos hayan estado buscando y usando recientemente, los saldos, el numero de posición, el poder adquisitivo, las listas de seguimiento, etcétera.

Pongámonos en la situación de que un inversor con un alto perfil, pierde el teléfono móvil. En el momento en el que puedan acceder a este, la App de trading que este inversor ha estado utilizando, almacena su lista de seguimiento donde se pueden encontrar los inversores potenciales. Si los que se han encontrado dicho teléfono deciden extraer esta lista y llega a manos de alguien que quiere imitar la estrategia de este inversor, este último tendrá la capacidad de comprar acciones antes del posible aumento de precio.

Poniéndonos en el peor de los casos, el dinero invertido puede terminar en manos de personas no deseadas, también podemos llamarlos secuestradores puesto que, en este tipo de casos, es frecuente que estos soliciten un generoso rescate.

Información que se puede extraer de la consola logs

  • Órdenes de compra venta.
  • Información personal, normalmente la que se almacena en archivos de configuración:
    • Inversores potenciales.
    • Compras programadas.
    • Watchlists de favoritos.
    • Tickers: símbolos representativos de las empresas.
    • Símbolos recién buscados, almacenados en bases de datos SQLite.
    • Número de cuenta.
    • Saldos expuestos.

Comunicación insegura en las Apps de trading

La comunicación de estas Apps de traiding se realiza fundamentalmente a través de canales HTTP. Desgraciadamente la mayoría de estos HTTPS no realizan funciones de comprobación en referente a la autenticidad del servidor remoto. Esto quiere decir que no saben si poseen la verificación del certificado SSL. Debido a esto, es posible recibir ataques conocidos como MiTm: Man in the Middle. Estos consisten en espiar y modificar los datos.

Muchos de los ataques MiTm se centran en engañar al usuario para que este instale certificados maliciosos en su dispositivo móvil o tablet.

Hay circunstancias, como podría ser un ataque con acceso a alguna parte de la red, por ejemplo el router de una Wifi pública, daría lugar a que la información se pudiera ver y modificar. Dentro del trading, un ciberdelincuente tiene la capacidad de interceptar y modificar valores, como podrían ser los precios de compra venta, y así hacer que los usuarios realicen sus movimientos sobre esa falsa información.

Queremos dejar claro que las Apps de trading nos dan unas facilidades extraordinarias. Pero, siempre,  hay que ser conscientes de las posibles amenazas a las que nos enfrentamos. Si tiene alguna duda o sospecha de que ha podido sufrir este tipo de problemas, no dude en ponerse en contacto con nuestros peritos informáticos.

 

¿Son seguras las Apps de trading?
vota este post

Sin Comentarios

Puedes publicar el comentario de la primera respuesta.

Deja un Comentario

Please enter your name. Please enter an valid email address. Por favor ingrese un mensaje.