El usuario argentino tiene en promedio en su teléfono celular unas 9,6 aplicaciones, según datos del MMA Mobile Report 2017, publicado por la Asociación de Marketing Móvil en agosto de este año. Sólo un 46% cuenta con más de diez apps y en el 79% de los casos, son gratuitas. Si bien Argentina lidera en desinstalaciones de este tipo de contenidos a nivel mundial -54% de las descargadas se eliminan, como admitió a Convergencia la empresa de atribución publicitaria Appsflyer-, la mayor amenaza que existe hoy para el usuario masivo es el desconocimiento y falta de educación sobre apps maliciosas.

El universo de las aplicaciones consta de 2 millones en Apple Store, y 3 millones en Google Play, a lo que debe sumarse las alrededor de 3.300 que se agregan cada día a ambas tiendas. Android corre con los mayores riesgos, por un mayor parque de dispositivos disponibles (entre 83% y 84% de los terminales a nivel mundial utilizan este sistema operativo) y los menores controles sobre las apps que se suben. Como expuso Sebastián Stranieri, CEO de VU Security, “el punto importante es poner foco al rating que tiene la app antes de descargarla. Apple tiene una persona por cada app que se suma a la tienda, dedicado a revisarla. En cambio, Google lo hace de manera automática. Vemos que a medida que crece la descarga de apps más masivas, los usuarios malintencionados están subiendo apps que emulan juegos, o con herramientas de hacking que sustraen información del móvil”.

A las apps de código malicioso se suma como preocupación central en términos de seguridad móvil la “democratización del acceso al dinero digital”, como calificó Stranieri al impacto de las medidas del Banco Central de la República Argentina (BCRA), a mediados de 2016, para dinamizar la banca móvil. Con la creación de la billetera virtual Todo Pago PEI (que permite pagar compras online y enviar y recibir dinero desde el celular directamente desde una app) y del medio de pago Débito Inmediato DEBIN (habilita el cobro de bienes y servicios mediante el débito “en línea”, independientemente de LINK y Banelco), se generó un esquema descentralizado, que para el ejecutivo de VU Security, traerá aparejadas prácticas de fraude. “Los bancos y las cadenas de retail abren interfaces de comunicación, que no dependen de Prisma o de Red Link. Hay menos intermediación. La fiebre del fintech genera medios descentralizados que atienden segmentos no atractivos para los bancos, y la mayoría usa la plataforma móvil”, comentó.

Según el reporte de MMA citado arriba, el 31% de los usuarios de Internet móvil efectúa compras desde el terminal, lo que implica un 7% de aumento frente al mismo estudio de 2016. En paralelo, el Estudio Anual de CertiSur sobre Seguridad de Internet afirma que el 68% usa los datos móviles de su Smartphone para efectuar pagos, y que el 46% incluso estaría dispuesto a realizar compras en comercios con sus celulares como terminal de pago.

Frente a esta mayor incursión del usuario en transacciones desde el celular, los bancos están recurriendo en especial a herramientas de machine learning que aprendan sobre el comportamiento usual del cliente y detecten así anormalidades que puedan implicar una actividad fraudulenta. Pero estos esfuerzos de prevención no se ven a nivel de las empresas: Camilo Gutiérrez, jefe del Laboratorio de Investigación de ESET Latinoamérica, alertó a Convergencia que sólo un 10% de las compañías de la región tiene una estrategia de seguridad pensando en los dispositivos móviles. Prevalece aún el foco en servidores y PCs.

Efecto “wanna cry” e IoT

El ataque de ransomware de mayo de 2017 puso en alerta a propios y extraños sobre amenazas a la seguridad en el terreno desktop, pero ya se habla en la dimensión del IoT del “Ramsomware de las Cosas (RoT)”, o la posibilidad de infectar dispositivos del hogar para la obtención de datos de su dueño.

Para el caso específico de IoT, la firma Unisys desarrolló un capítulo específico en su Unisys Security Index, que reveló que un 83% de los encuestados en Argentina aceptaría tener un dispositivo para alerta de seguridad o salud, pero el 69% mostró preocupación sobre robo de identidad, y 74% sobre fraude bancario. Leonardo Carissimi, director de Soluciones de Seguridad de Unisys en Latinoamérica, expresó que los dispositivos IoT son aceptados por los usuarios, por las funcionalidades que ofrecen, pero ya existe una preocupación por la privacidad.