Mobile banking: até que ponto estamos seguros?

Segundo especialistas, a maioria dos bancos transferiu os mesmos mecanismos de proteção dos ambientes desktop para o móvel, porém, este universo tem infraestrutura tecnológica e modelo arquitetural bastante diferente, exigindo implementações técnicas de segurança variadas

Compartilhar:

Por Alexandre Finelli e Jackson Hoepers

Segundo Pesquisa FEBRABAN de Tecnologia Bancária 2015, 33 milhões de contas bancárias tinham o recurso de mobile banking no ano passado. O uso dos canais digitais no setor segue em consolidação no Brasil, com destaque para a forte expansão registrada no ano anterior pelo mobile banking, que registrou um crescimento de 138%. No entanto, apesar desse aumento significativo de transações financeiras via dispositivos móveis ter repercutido na área de segurança, tudo indica que os padrões adotados ainda deixam a desejar.

Rafael Cividanes, gerente de pré-vendas da Kudelski Security, afirma que as grandes corporações do setor financeiro optaram por implementar os mesmos controles já existentes em ambientes desktop no ambiente móvel, o que não é suficiente. “Se por um lado existia um forte esforço para desenvolvimento e proteção do Internet Banking para desktop, agora os mesmos valores foram replicados para as versões mobile”, explica.

Segundo o especialista, apesar dos controles de segurança serem de certa forma análogos para ambos, o mundo móvel se baseia em infraestrutura tecnológica e modelo arquitetural bastante diferente, exigindo implementações técnicas diversas. “Claro que algumas destas tecnologias dependem de recursos de hardware como, por exemplo, a biometria. Caso o dispositivo móvel não possua o leitor biométrico (hardware), não será possível implementar o controle na camada de software”, pondera.

Roberto Gallo, cientista-chefe e diretor executivo na KRYPTUS, lembra ainda que as aplicações bancárias no ambiente móvel ainda carecem de mecanismos adequados, de suporte a prevenção e monitoramento de fraudes. “Enquanto no mundo desktop temos agentes que permitem um acompanhamento online e integral dos equipamentos de dos usuários, no ambiente móvel este recurso ainda não é amplamente difundido”, explica Gallo. Na opinião dele, a adição deste tipo de mecanismo é importante, pois além de fortalecer a inteligência no backend, pode possuir recursos de proteção ativa, e assim ter melhor tempo de resposta.

Gallo reforça que, conforme mostram diversos estudos, a qualidade geral dos aplicativos é muito longe do ideal. “Alguns bancos têm utilizado tecnologias de ofuscação de código para diminuir a incidência de engenharia reversa por parte de adversário. Trata-se de uma melhoria, porém é apenas um paliativo. Tecnologias e processos de revisão de código, de arquitetura e especial atenção à criptografia devem ser implementadas”, complementa.

O especialista aponta também que a maior parte das plataformas móveis modernas conta com a chamada raiz de confiança em hardware. Se bem empregada, junto de um framework adequado, Gallo explica que esta tecnologia permite um nível de blindagem sem precedentes a tais aplicações, efetivamente impedindo diversos tipos de ataques. “Curiosamente o setor bancário tem sido lento na adoção desta tecnologia tão difundida em outras indústrias, em especial a de proteção de conteúdo”, finaliza.

Conteúdos Relacionados

Security Report | Destaques

Ransomware: 66% das empresas atingidas no Brasil pagaram resgate, alerta pesquisa

A Sophos apresentou, em encontro fechado com jornalistas, a edição de 2025 do estudo “State of Ransomware”, que ressaltou a...
Security Report | Destaques

Incidente cibernético tira do ar portal da Prefeitura de Dourados (MS)

Desde o início dessa semana, o site do governo municipal estava impossibilitado de ser acessado pelos cidadãos devido a uma...
Security Report | Destaques

Q-Day à vista: riscos devem acelerar transição para criptografia pós-quântica?

Embora a computação quântica ainda esteja em fase experimental, adversários já se antecipam ao coletar dados criptografados que poderão ser...
Security Report | Destaques

Tribunal Penal Internacional detecta nova tentativa de ciberataque

Corte responsável por julgar crimes contra a humanidade já havia sido alvo de um ataque cibernético em setembro de 2023,...