Skip to content

Las apps de criptomonedas tienen graves vulnerabilidades de seguridad

7 febrero, 2018

Para los versados en el tema, que el ecosistema de las criptomonedas sea propenso a piratas informáticos no es sorpresa. Esto pasa debido a su límite de mercado mayor de $350,000,000,000 y sus volúmenes diarios superiores a los $10,000,000,000. Otros factores son los precios en rápido aumento, un número creciente de inversores y poca o ninguna regulación. Además, la seguridad no es exactamente una prioridad principal para muchos inversores y criptocomerciantes.

Para complicar aún más las cosas, está el hecho de que muchas apps de criptomonedas tienen vulnerabilidades. Estas apps permiten a los inversionistas y comerciantes almacenar monedas. Lo que vuelve sus vulnerabilidades de seguridad una mina para que los hackers roben fondos de los usuarios.

Un informe de la firma de seguridad High-Tech Bridge es quien señala las fallas de seguridad en las apps. La compañía realizó el informe tras analizar las principales 30 apps de cifrado en la sección Finanzas en Google Play.

Porcentaje de vulnerabilidades en apps de criptomoneda, según High-Tech Bridge

High-Tech Bridge analizó apps dividiéndolas por categorías: con hasta 100,000 instalaciones, entre 100,000 y 500,000 instalaciones y más de 500,000 instalaciones. Lo anterior para cubrir algunos de los títulos más populares disponibles para los usuarios de Android.

Las apps de criptomonedas con más de 500,000 instalaciones, el 77% tiene al menos dos vulnerabilidades de alto riesgo. Aparte, el 94% tiene al menos tres vulnerabilidades de riesgo medio o moderado. Por otra parte, 44% de las apps analizadas tiene contraseñas difíciles de usar o claves API. Cualquier persona consciente de la seguridad te dirá sin pensarlo que esto es una mala práctica.

El panorama no mejora cuando observamos el cifrado de datos, pues la mayoría de esas apps envían datos sin cifrar a través de HTTP. Cerca del 50% de estas apps envía datos débilmente encriptados. Peor aún, el 94% de dichas apps de cifrado confían en SSLv3 o TLS1.0, consideradas por expertos como inseguros debido a vulnerabilidades en su código.

Además, ninguna app analizada por High-Tech Bridge tiene algún tipo de protección contra la ingeniería inversa. Las cosas son bastante similares (es decir, malas) para las otras dos categorías. Es más probable encontrar vulnerabilidades de alto nivel en apps con menos de 500,000 instalaciones. Y la probabilidad de ataques MITM también es mayor.

Qué se puede hacer al respecto de las vulnerabilidades

La CEO y fundadora de High-Tech Bridge, Ilia Kolochenko explica cómo se pueden salvar estas dificultades. Ella dice que para minimizar las vulnerabilidades y debilidades de seguridad en las apps móviles, los desarrolladores deben planificarlas cuidadosamente. También deberán aplicar rigurosamente la seguridad y la privacidad desde las primeras etapas de desarrollo. Las pruebas de seguridad de apps internas y externas también son críticamente importantes y deben realizarse regularmente. Por último, las reglamentaciones (como GDPR) también deben evaluarse y aplicarse debidamente.

Sin embargo, los inversores no parecen estar muy preocupados por los riesgos de seguridad. Es por ello que los desarrolladores carecen de un gran incentivo para solucionar los problemas. Habrá que esperar y ver si los inversores toman en cuenta las sugerencias del informe de High-Tech Bridge.