La portada de mañana
Acceder
16 grandes ciudades no están en el sistema VioGén
El Gobierno estudia excluir a los ultraderechistas de la acusación popular
OPINIÓN | 'Este año tampoco', por Antón Losada

Las nuevas aplicaciones de banca móvil tienen nuevos (y graves) problemas de seguridad

Los expertos aseguran que el envío de dinero de móvil a móvil alrededor del mundo, de manera instantánea y low cost, será el gran protagonista de 2017. También lo serán los hackers si no mejoran los estándares de seguridad. La primera gran demostración del Chaos Computer Congress de este año usó de diana el N26, un “banco digital low-cost” exclusivo para dispositivos móviles que ha generado un gran interés entre las aplicaciones financieras y que permite “abrir una cuenta en menos de ocho minutos, retirar dinero en cualquier cajero a nivel mundial y recibir notificaciones push en tiempo real después de cada transacción”.

“N26 dice que puedes abrir una cuenta con ellos en solo ocho minutos”, explica Vincent Haupert en este vídeo. Y añade: “Por lo visto, puedes perderla aún más deprisa”. Según según su CEO Valentin Stalf, la empresa tiene ya 240.000 usuarios en 17 países europeos, incluyendo Alemania, Austria. Francia, Italia, Irlanda, Grecia y España. Inicialmente vinculado al alemán Wirecard Bank, el verano pasado N26 consiguió su licencia para operar en Europa, gracias a la aprobación de la autoridad de supervisión financiera federal Alemana BaFin y el Banco Central Europeo. Y le ha vendido la tecnología a otros bancos; Yomo, la aplicación móvil del grupo alemán Sparkassen, es un clon de N26.

Además, les sobran los recursos. La joven empresa ha conseguido amasar 40 millones de dólares para su proyecto. Entre sus principales inversores está Peter Thiel, el brazo tecnológico del nuevo presidente de EEUU y uno de los grandes inversores de Silicon Valley. Su (otro) mejor amigo es Sam Altman, el jefe de la superaceleradora de startups Y-Combinator. Sería lógico que, con tantos recursos y un código recién estrenado, sus protocolos de seguridad fueran sólidos como el nitruro bórico de wurtzita.

Sin embargo, un estudiante de postgrado de la Universidad of Erlangen-Nuernberg ha encontrado una docena de formas de secuestrar cualquier cuenta en su sistema, con el pin de transferencia y sin mandar un solo correo de phishing. Que sería la manera más fácil, pero su profesor no le dio permiso porque es ilegal.

Efectos segundarios del hackeo de Dropbox

Entre las cosas que sí hizo, hay un detalle que encantará a aquellos que usan las mismas contraseñas para todas sus plataformas. Haupert cogió la base de datos con las 68 millones de cuentas hackeadas a Dropbox y testó todos los nombres y contraseñas contra el login de N26. En tres minutos había localizado a 33.000 usuarios sin que saltara ninguna alarma ni el “sistema antifraude” bloqueara el proceso.

Y hay otro problema de concepto, que comparte con todas las aplicaciones de banca por móvil. N26 no tiene sucursales, ni tarjetas ni cartillas y es internacional a trozos, como el Interrail, por lo que su sistema de autenticación es un componente esencial para su buen funcionamiento. Y la autenticación de dos factores que usa no es buena porque tanto el proceso como la verificación tienen lugar en el mismo dispositivo.

“En el pasado he criticado a los bancos por abandonar la autenticación de dos factores, pero las aplicaciones como N26 tienen el problema conceptual de tener que implementarlo en el mismo dispositivo, lo que desvirtúa el proceso -explica Hauper-. Cualquiera que tenga acceso al teléfono tiene acceso a todo. Especialmente en Android, donde el malware es cada vez más acuciante y es objetivamente predecible que atacará los sistemas de pago por móvil tan pronto como se popularicen”. Cosa que harán rápidamente porque es más cómodo y fácil y porque la burbujeante industria del fintech hará todo lo posible para que no te quede otro remedio.

Los peligros de una vida sin monedas

O tu propio gobierno. Hay países como India que preparan la transición a una divisa enteramente digital con el propósito de evitar el fraude fiscal. ¿Será posible hacer pagos sin exponerse al robo de identidad? El consejo que nos da Haupert es no tener las aplicaciones financieras en el mismo móvil que las demás. “Yo tengo un dispositivo especial con hardware dedicado solo para confirmar pagos online -explica a eldiario.es-. El hardware dedicado es lo más seguro que se puede estar”.

La joven empresa asegura que ha tapado los agujeros gracias al aviso de Haupert, que está de acuerdo aunque indica que le quedan problemas menos graves, aunque también importantes que solucionar. “Los usuarios deberían mantener un sano escepticismo con respecto a los sistemas de pago vanguardistas que venden las nuevas entidades financieras. No es oro todo lo que reluce”.

Esta demostración, preocupante para cualquiera que se haya bajado una aplicación para pagar con el móvil, debería serlo mucho más para los bancos tradicionales, que en este momento están dispuestos a comprar proyectos como N26 a startups sobrefinanciadas para estar en la vanguardia del mercado sin identificar importantes fallos de seguridad que comprometen los ahorros de sus clientes.