Seguridad de «fintech»: consejos luego del incidente en Ualá

El incidente que tuvieron clientes de la empresas financiera argentina Ualá a fines de febrero, renovó la preocupación en torno a la seguridad de las operaciones en estas compañías apalancadas en las tecnologías de la información y la comunicación (TIC), también conocidas como «fintech».

¿Hubo o no una vulnerabilidad tecnológica en los sistemas de Ualá? ¿Cuáles son los riesgos que enfrentan los usuarios al invertir en una fintech? ¿Qué deben hacer los clientes para operar con seguridad en fintech?

Me comuniqué con la empresa involucrada y con especialistas en seguridad informática, quienes aconsejaron una serie de medidas para tener en cuenta al momento de transaccionar con estas plataformas financieras en Internet.

El escándalo se inició cuando «Nacho» Juárez Vila escribió en su cuenta de Twitter: «Me acabo de dar cuenta que literalmente me afanaron $18.500 de mi cuenta de Ualá». «Esto es gravísimo y quiero mi dinero de vuelta urgente», agregó.

ME ACABO DE DAR CUENTA QUE LITERALMENTE ME AFANARON $18.500 DE MI CUENTA DE @uala_arg. NO CONOZCO A JAVIER GUANTAY NI FUI YO QUIEN REALIZO ESA TRANSFERENCIA.
ESTO ES GRAVÍSIMO @pbarbieri Y QUIERO MI DINERO DE VUELTA URGENTE. pic.twitter.com/fT42apC347

— Nacho Juárez Vila (@NachoJuarezV) February 26, 2022

Luego de este tuit, otros usuarios de la red social comenzaron a compartir que habían vivido situaciones similares en los últimos días.

A medida que los usuarios publicaban su reclamo en Twitter, el fundador de Ualá, Pierpaolo Barbieri, sostuvo que las estafas pudieron concretarse porque los delincuentes adivinaron los códigos de acceso a la cuenta «por ser muy obvios», como fechas de cumpleaños o combinaciones como 0000.

También afirmó que podrían tratarse casos de «phishing», en los que el estafador se hace pasar por el banco para conseguir acceso a la cuenta.

La respuesta de Ualá

Desde Ualá me informaron que «como es de público conocimiento, toda la industria financiera en este último tiempo está registrando una cantidad importante de casos de fraude».

«No estamos exentos -reconocieron- a estas maniobras y estamos siguiendo uno a uno los 68 casos reportados durante el fin de semana largo, los cuales fueron atendidos de inmediato».

«No se trata de una vulnerabilidad en el sistema de Ualá. Ya están activos todos los protocolos correspondientes y como siempre, nuestra prioridad es la atención a los usuarios», aseguraron desde la compañía.

«Del mismo modo, seguimos trabajando en iniciativas de educación financiera como Aula Ualá para seguir educando», apuntaron desde la fintech.

Recomendaciones sobre seguridad en «fintech»

Cristian Borghello, director de Segu-Info, una de las principales comunidades de habla hispana sobre seguridad de la información; y Juan Martín Heguiabehere, director del programa de seguridad informática de la Fundación Sadosky, me compartieron las siguientes recomendaciones:

Para Borghello, «dejando de lado el caso de phishing», una aplicación bancaria y financiera debería tener las siguientes condiciones:

• “Login” (acceso) con al menos dos datos «secretos» (por ejemplo un usuario y clave). Se puede agregar un tercero semipúblico como DNI/CUIT pero no debería formar parte del proceso normal de seguridad.
• Múltiple factor de autenticación (MFA). Esto es a través de dos métodos distintos, por ejemplo una clave y un token adicional. «No sirve el uso dos claves. En el siglo XXI el uso de MFA no es una opción», advirtió Borghello.
• No usar nunca el SMS (mensaje corto de texto) como factor de MFA, porque «es un método que se ha probado inseguro en todo el mundo», dijo el especialista. El token debería ser enviado/generado en una aplicación del móvil o ser enviado por WhatsApp o Telegram.
• Considerar agregar factores biométricos en el método anterior.
• Bloqueo ante múltiples intentos de login para evitar ataques de fuerza bruta.
• Registro de toda la actividad del usuario y aviso en tiempo real (por mail o en la aplicación) de las mismas.
• Uso de cifrado seguro en todas las bases de datos y en el medio de transporte. «Es difícil para un usuario verificar este tipo de control, pero las auditorías deberían contemplarlo», dijo Borghello.
• Atención permanente de los posibles casos que se refieran a un incidente de seguridad y respaldo a las víctimas.
• Reporte a las autoridades (fuerzas del orden y Banco Central de la República Argentina) de los incidentes para su investigación posterior.

Heguiabehere sumó otros recaudos para los clientes, que deberían ser ya habituales:

• No entrar en enlaces («links») que vienen por correo electrónico.
• Tener el sistema operativo lo más actualizado posible, incluso en el smartphone.
• No instalar aplicaciones que no vengan de Play Store o Apple Store según el caso, y no instalar aplicaciones superfluas en general.
• Consultar por las políticas de seguridad de las empresas en las que se quiere invertir.

Puedes leer más sobre este tema en la nota propia publicada en iProfesional aquí.