Cuando se trabaja con dinero en línea, es importante asegurarse de que todos sus datos estén seguros, incluso cuando se habla de una criptomoneda digital como Bitcoin. A principios de este mes, Naked Security tuvo una artículo sobre un error en la aplicación Coinbase para teléfonos inteligentes y tabletas con Android que causó un poco de susto en algunas personas.
Bryan Stern, un investigador de seguridad, hizo público el conocimiento sobre la falla en la forma en que la aplicación maneja las conexiones SSL en su GitHub blog el 27 de junio de 2014. Antes de esa publicación, había ido y venido con Coinbase, quien dijo que la falla no era realmente grave. Stern escribió:
Con una conexión SSL comprometida, un atacante podría obtener el control total de la cuenta de un usuario al robar su token de acceso. Un atacante también podría interceptar una solicitud para enviar bitcoins y cambiar tanto la cantidad como la dirección de destino.
Mientras que la aplicación de Android de Coinbase de hecho verifica TLS certificado presentado cuando se conecta a un servidor Coinbase y se asegura de que esté firmado por una Autoridad de Certificación (CA) reconocida, Stern no cree que esto sea suficiente. Otras aplicaciones financieras que usan clientes HTTPS generalmente toman medidas adicionales para verificar por distintos modos las TLS certificados, agregando otra capa de seguridad.
Andreas Antonopoulos y otros de Bitcoin han auditado de forma independiente la seguridad y la solvencia de Coinbase, y la aplicación ahora está disponible para usuarios de todo el mundo. Coinbase ha estado tratando de cruzar la línea entre seguridad y conveniencia para los usuarios, y algunos piensan que están haciendo un buen trabajo con la peligrosa tarea.
Todo esto lleva a una pregunta: ¿son seguras todas las aplicaciones financieras? En enero de este año, Ariel Sánchez de IOActive examinó 40 aplicaciones bancarias de iOS diferentes. La investigación encontró que alrededor del 40% de las aplicaciones conectadas a través de HTTPS sin validar los certificados en absoluto. Como saben, este es un gran riesgo de seguridad en Internet moderno.
Y volviendo a Coinbase, todavía hay otras preocupaciones que no están estrictamente relacionadas con SSL /TLS. Uno de los mayores problemas es que Coinbase guarda las claves privadas y no se las da al usuario. "Lo que aprendí de tener monedas en Mtgox: si usted, y usted solo, no posee las claves privadas, no posee las monedas", dijo Introshine en línea según un artículo en CryptoCoinsNews.
Aquí hay algunos consejos de seguridad a tener en cuenta antes de instalar uno en su dispositivo móvil.
- No use aplicaciones móviles para transacciones financieras a menos que sepa que son completamente seguras
- Use una computadora de escritorio o portátil protegida con un navegador convencional para realizar sus operaciones bancarias
- Si utiliza aplicaciones de banca móvil, asegúrese de conectarse con una VPN para mayor seguridad y tranquilidad.
Seguir los consejos anteriores le ayudará a mantenerse a salvo. Si bien Coinbase y otros piensan en la seguridad cuando lanzan aplicaciones móviles, es importante asegurarse de tomar las medidas necesarias para proteger sus datos financieros en línea.
