Por Alexandre Finelli e Jackson Hoepers
Segundo Pesquisa FEBRABAN de Tecnologia Bancária 2015, 33 milhões de contas bancárias tinham o recurso de mobile banking no ano passado. O uso dos canais digitais no setor segue em consolidação no Brasil, com destaque para a forte expansão registrada no ano anterior pelo mobile banking, que registrou um crescimento de 138%. No entanto, apesar desse aumento significativo de transações financeiras via dispositivos móveis ter repercutido na área de segurança, tudo indica que os padrões adotados ainda deixam a desejar.
Rafael Cividanes, gerente de pré-vendas da Kudelski Security, afirma que as grandes corporações do setor financeiro optaram por implementar os mesmos controles já existentes em ambientes desktop no ambiente móvel, o que não é suficiente. “Se por um lado existia um forte esforço para desenvolvimento e proteção do Internet Banking para desktop, agora os mesmos valores foram replicados para as versões mobile”, explica.
Segundo o especialista, apesar dos controles de segurança serem de certa forma análogos para ambos, o mundo móvel se baseia em infraestrutura tecnológica e modelo arquitetural bastante diferente, exigindo implementações técnicas diversas. “Claro que algumas destas tecnologias dependem de recursos de hardware como, por exemplo, a biometria. Caso o dispositivo móvel não possua o leitor biométrico (hardware), não será possível implementar o controle na camada de software”, pondera.
Roberto Gallo, cientista-chefe e diretor executivo na KRYPTUS, lembra ainda que as aplicações bancárias no ambiente móvel ainda carecem de mecanismos adequados, de suporte a prevenção e monitoramento de fraudes. “Enquanto no mundo desktop temos agentes que permitem um acompanhamento online e integral dos equipamentos de dos usuários, no ambiente móvel este recurso ainda não é amplamente difundido”, explica Gallo. Na opinião dele, a adição deste tipo de mecanismo é importante, pois além de fortalecer a inteligência no backend, pode possuir recursos de proteção ativa, e assim ter melhor tempo de resposta.
Gallo reforça que, conforme mostram diversos estudos, a qualidade geral dos aplicativos é muito longe do ideal. “Alguns bancos têm utilizado tecnologias de ofuscação de código para diminuir a incidência de engenharia reversa por parte de adversário. Trata-se de uma melhoria, porém é apenas um paliativo. Tecnologias e processos de revisão de código, de arquitetura e especial atenção à criptografia devem ser implementadas”, complementa.
O especialista aponta também que a maior parte das plataformas móveis modernas conta com a chamada raiz de confiança em hardware. Se bem empregada, junto de um framework adequado, Gallo explica que esta tecnologia permite um nível de blindagem sem precedentes a tais aplicações, efetivamente impedindo diversos tipos de ataques. “Curiosamente o setor bancário tem sido lento na adoção desta tecnologia tão difundida em outras indústrias, em especial a de proteção de conteúdo”, finaliza.