Mobile banking: até que ponto estamos seguros?

Segundo especialistas, a maioria dos bancos transferiu os mesmos mecanismos de proteção dos ambientes desktop para o móvel, porém, este universo tem infraestrutura tecnológica e modelo arquitetural bastante diferente, exigindo implementações técnicas de segurança variadas

Compartilhar:

Por Alexandre Finelli e Jackson Hoepers

Segundo Pesquisa FEBRABAN de Tecnologia Bancária 2015, 33 milhões de contas bancárias tinham o recurso de mobile banking no ano passado. O uso dos canais digitais no setor segue em consolidação no Brasil, com destaque para a forte expansão registrada no ano anterior pelo mobile banking, que registrou um crescimento de 138%. No entanto, apesar desse aumento significativo de transações financeiras via dispositivos móveis ter repercutido na área de segurança, tudo indica que os padrões adotados ainda deixam a desejar.

Rafael Cividanes, gerente de pré-vendas da Kudelski Security, afirma que as grandes corporações do setor financeiro optaram por implementar os mesmos controles já existentes em ambientes desktop no ambiente móvel, o que não é suficiente. “Se por um lado existia um forte esforço para desenvolvimento e proteção do Internet Banking para desktop, agora os mesmos valores foram replicados para as versões mobile”, explica.

Segundo o especialista, apesar dos controles de segurança serem de certa forma análogos para ambos, o mundo móvel se baseia em infraestrutura tecnológica e modelo arquitetural bastante diferente, exigindo implementações técnicas diversas. “Claro que algumas destas tecnologias dependem de recursos de hardware como, por exemplo, a biometria. Caso o dispositivo móvel não possua o leitor biométrico (hardware), não será possível implementar o controle na camada de software”, pondera.

Roberto Gallo, cientista-chefe e diretor executivo na KRYPTUS, lembra ainda que as aplicações bancárias no ambiente móvel ainda carecem de mecanismos adequados, de suporte a prevenção e monitoramento de fraudes. “Enquanto no mundo desktop temos agentes que permitem um acompanhamento online e integral dos equipamentos de dos usuários, no ambiente móvel este recurso ainda não é amplamente difundido”, explica Gallo. Na opinião dele, a adição deste tipo de mecanismo é importante, pois além de fortalecer a inteligência no backend, pode possuir recursos de proteção ativa, e assim ter melhor tempo de resposta.

Gallo reforça que, conforme mostram diversos estudos, a qualidade geral dos aplicativos é muito longe do ideal. “Alguns bancos têm utilizado tecnologias de ofuscação de código para diminuir a incidência de engenharia reversa por parte de adversário. Trata-se de uma melhoria, porém é apenas um paliativo. Tecnologias e processos de revisão de código, de arquitetura e especial atenção à criptografia devem ser implementadas”, complementa.

O especialista aponta também que a maior parte das plataformas móveis modernas conta com a chamada raiz de confiança em hardware. Se bem empregada, junto de um framework adequado, Gallo explica que esta tecnologia permite um nível de blindagem sem precedentes a tais aplicações, efetivamente impedindo diversos tipos de ataques. “Curiosamente o setor bancário tem sido lento na adoção desta tecnologia tão difundida em outras indústrias, em especial a de proteção de conteúdo”, finaliza.

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Destaques

“O maior inimigo da Segurança é a conveniência”, diz presidente da Genetec

Na visão de Pierre Racz, controles desajustados de Cibersegurança e de Segurança Corporativa podem ser burlados se a fricção com...
Security Report | Destaques

Hackers do bem: esse profissional já conquistou espaço nos times de SI?

Diante do aumento e sofisticação de ataques cibernéticos, a demanda por especialistas que atuam para encontrar vulnerabilidades e auxiliar os...
Security Report | Destaques

Crise com software espião reabre discussões sobre Ciberespionagem no Brasil

Desde a última semana, as autoridades federais têm movido processos e ações de investigação com vistas a entender a extensão...
Security Report | Destaques

ATUALIZADO: Linha do tempo destaca ataques mais recentes

Painel de incidentes foi atualizado com os casos envolvendo o Esporte Clube Vitória, a Assembleia Legislativa de Roraima, os serviços...