Mobile banking: até que ponto estamos seguros?

Segundo especialistas, a maioria dos bancos transferiu os mesmos mecanismos de proteção dos ambientes desktop para o móvel, porém, este universo tem infraestrutura tecnológica e modelo arquitetural bastante diferente, exigindo implementações técnicas de segurança variadas

Compartilhar:

Por Alexandre Finelli e Jackson Hoepers

Segundo Pesquisa FEBRABAN de Tecnologia Bancária 2015, 33 milhões de contas bancárias tinham o recurso de mobile banking no ano passado. O uso dos canais digitais no setor segue em consolidação no Brasil, com destaque para a forte expansão registrada no ano anterior pelo mobile banking, que registrou um crescimento de 138%. No entanto, apesar desse aumento significativo de transações financeiras via dispositivos móveis ter repercutido na área de segurança, tudo indica que os padrões adotados ainda deixam a desejar.

Rafael Cividanes, gerente de pré-vendas da Kudelski Security, afirma que as grandes corporações do setor financeiro optaram por implementar os mesmos controles já existentes em ambientes desktop no ambiente móvel, o que não é suficiente. “Se por um lado existia um forte esforço para desenvolvimento e proteção do Internet Banking para desktop, agora os mesmos valores foram replicados para as versões mobile”, explica.

Segundo o especialista, apesar dos controles de segurança serem de certa forma análogos para ambos, o mundo móvel se baseia em infraestrutura tecnológica e modelo arquitetural bastante diferente, exigindo implementações técnicas diversas. “Claro que algumas destas tecnologias dependem de recursos de hardware como, por exemplo, a biometria. Caso o dispositivo móvel não possua o leitor biométrico (hardware), não será possível implementar o controle na camada de software”, pondera.

Roberto Gallo, cientista-chefe e diretor executivo na KRYPTUS, lembra ainda que as aplicações bancárias no ambiente móvel ainda carecem de mecanismos adequados, de suporte a prevenção e monitoramento de fraudes. “Enquanto no mundo desktop temos agentes que permitem um acompanhamento online e integral dos equipamentos de dos usuários, no ambiente móvel este recurso ainda não é amplamente difundido”, explica Gallo. Na opinião dele, a adição deste tipo de mecanismo é importante, pois além de fortalecer a inteligência no backend, pode possuir recursos de proteção ativa, e assim ter melhor tempo de resposta.

Gallo reforça que, conforme mostram diversos estudos, a qualidade geral dos aplicativos é muito longe do ideal. “Alguns bancos têm utilizado tecnologias de ofuscação de código para diminuir a incidência de engenharia reversa por parte de adversário. Trata-se de uma melhoria, porém é apenas um paliativo. Tecnologias e processos de revisão de código, de arquitetura e especial atenção à criptografia devem ser implementadas”, complementa.

O especialista aponta também que a maior parte das plataformas móveis modernas conta com a chamada raiz de confiança em hardware. Se bem empregada, junto de um framework adequado, Gallo explica que esta tecnologia permite um nível de blindagem sem precedentes a tais aplicações, efetivamente impedindo diversos tipos de ataques. “Curiosamente o setor bancário tem sido lento na adoção desta tecnologia tão difundida em outras indústrias, em especial a de proteção de conteúdo”, finaliza.

Conteúdos Relacionados

Security Report | Destaques

Hackers utilizam WhatsApp para roubar números de telefone, aponta pesquisa

A ESET explica como é o roubo de contas, como configurar a autenticação em duas etapas para se proteger e...
Security Report | Destaques

RSA na visão dos CISOs: Líderes analisam papel da SI e chegada de novas tecnologias

Com presença expressiva de CISOs brasileiros, a RSA Conference trouxe tendências de posicionamento da categoria, bem como as novas estratégias...
Security Report | Destaques

Ypê aposta em tecnologia para automatizar privacidade dos usuários

Empresa contou com a parceria da NovaRed e garantiu uma redução significativa de tempo gasto nas respostas em requerimentos da...
Security Report | Destaques

ATUALIZADO: Linha do tempo destaca ataques mais recentes

Painel de incidentes foi atualizado com os casos envolvendo a Polícia Federal, a Toyota Brasil, o Sistema de Administração Financeira...