Documentos de Académico
Documentos de Profesional
Documentos de Cultura
(2019–2020)
Página 2 / Año 2019
Indice [Febrero]
METODOLOGÍA
Acerca de DeepSecurity[1]
En DeepSecurity, creemos en el compromiso de lograr un entorno
digital más seguro para el Perú y todos sus ciudadanos. En ese
sentido, nuestro laboratorio viene contribuyendo con auditorias,
soluciones y recomendaciones que fortalecen la prevención,
detección y respuesta ante las amenazas diarias en el mundo
ciberseguridad. Nuestra finalidad es contribuir con la transformación
digital, innovación disruptiva, reforzar la privacidad y la confianza en
las plataformas virtuales. Propagando alianzas estratégicas que
permiten maximizar la seguridad de nuestros clientes,
organizaciones y público en general.
Introducción[2]
El presente documento plasma una auditoria pasiva a las 12 aplicaciones
móviles bancarias más utilizadas en el Perú que sirven para realizar
transferencias y pagos de servicios básicos, para definir el nivel de
ciberseguridad, DeepSecurity realizó un análisis pasivo bajo basado en
OWASP Top Ten Mobile, método que identifica los principales riesgos de
seguridad que afectan en la actualidad a las aplicaciones móviles y cuya
detección y mitigación deben ser una prioridad. Entre los hallazgos más
interesantes que reveló la investigación de DeepSecurity, ha sido identificar
que el 100% de las aplicaciones bancarias peruanas más utilizadas, son
vulnerables a una de las categorías del OWASP Top Ten Mobile.
80%
70%
60%
50%
40%
30%
20%
10%
0%
y
hy
e
alit
n
sag
ion
tio
rap
on
age
on
mU
ica
cat
ng
ati
og
lity
cti
tor
eri
un
riz
nti
ypt
un
for
ua
g
S
mm
ine
tho
rin
the
sF
eQ
Cr
ta
lat
ng
pe
Da
Au
Co
ou
Au
rP
od
en
eE
am
ne
ure
ure
pe
ure
re
tC
fici
eT
tra
ecu
pro
ver
sec
lien
sec
sec
suf
od
Ex
Re
Ins
- Im
- In
- In
- In
- In
-C
-C
0-
-
-
M1
M6
M7
M9
M2
M1
M5
M8
M3
M4
Serie 1
Recomendaciones[4]
Ante las falencias de forma local en los dispositivos
ciberseguridad en las aplicaciones móviles y la ofuscación de código
móviles bancarias del Perú, fuente de sus aplicaciones celulares
DeepSecurity recomienda realizar para proteger como está diseñado
evaluaciones periódicas de Hacking su funcionamiento. También se
Ético para fortalecer las aconseja de forma obligatoria,
infraestructuras tecnológicas de los implementar políticas de
bancos peruanos y mantener a los “Certificate Pinning”, es decir,
clientes y su información de forma mejorar el concepto para reforzar
segura. las medidas de protección al
momento de aceptar como válido
Para concluir, el equipo de un Certificado Digital de una
investigadores de DeepSecurity, conexión segura, utilizado como
sugiere que todas las entidades contramedida en la suplantación de
bancarias evaluadas deben mejorar la “Autoridad de Certificación” o
sus políticas de cifrado de “Certification Authority” (en idioma
información que se almacena de inglés).
Conclusiones[5]
En conclusión, la calificación general que DeepSecurity asigna con respecto a
la ciberseguridad de las aplicaciones móviles bancarias más usadas del Perú es
Medio. Es importante mencionar que esta investigación ha sido realizada con
fines informativos y teniendo como prioridad el aseguramiento de los usuarios
de la banca peruana. Asimismo, los consultores de DeepSecurity han utilizado
sus propios dispositivos y cuentas de usuario para los análisis.
Investigación Técnica:
Mauricio Urizar, Camilo Galdos, Avel Navarro, Darwin Algarin
Creativo:
Elysa Garcia
Diseño:
Alexander Radicy
Sobre DeepSecurity
DeepSecurity publica artículos originales, informes y publicaciones periódicas que proporcionan información
para las empresas, el sector público y sociedad en general. Nuestro objetivo es aprovechar la investigación y la
experiencia de toda nuestra organización de servicios profesionales para avanzar en el desarrollo sobre un
amplio espectro de temas de interés para ejecutivos y líderes del gobierno.
Sobre esta publicación, no debe utilizarse como base para cualquier decisión o acción que pueda afectar su
negocio. Antes de tomar cualquier decisión o tomar cualquier medida que pueda afectar su negocio, debe
consultar a un profesor calificado.
La información obtenido durante la encuesta se tomó "tal cual". Deepsecurity no serán responsable de ninguna
pérdida sufrida por cualquier persona que tome esta publicación para basar sus decisiones.
Copyright © 2020 Deep Security del Perú SAC. Todos los derechos reservados.
www.deepsecurity.pe