Las plataformas de trading son vulnerables a ataques de hackers

Las plataformas de trading de acciones como AvaTrade y IQOption no están protegiendo datos sensibles como las contraseñas, señala un informe que saca a la luz las significativas vulnerabilidades de sus software.

La compañía de ciberseguridad IOActive descubrió que muchas apps para computadoras de escritorio, redes y dispositivos móviles que se usan para negociar acciones a menudo son mucho menos seguras que las aplicaciones de los bancos comerciales, lo que abre la puerta a que los ciberdelincuentes intercepten los datos y las comunicaciones. IOActive examinó 16 apps para desktops, 34 para dispositivos móviles y 30 sitios web durante el año pasado.

Alejandro Hernandez, consultor en seguridad de IOActive, piensa dar a conocer estas fallas en el congreso de ciberseguridad Black Hat que se llevará a cabo esta semana en Las Vegas. Dijo que la investigación sólo encontró la "punta del iceberg" en términos de vulnerabilidades de las plataformas de trading.

"Si esto sucediera en las aplicaciones de los bancos, sería inaceptable", dijo comparando el nivel de seguridad con el que ofrecían las apps bancarias hace seis u ocho años.

IOActive detectó que las contraseñas se guardaban no encriptadas en una quinta parte de las aplicaciones para desktops y dispositivos móviles incluyendo AvaTrade, IQOption, y Markets.com. Una vez que consigue una contraseña, el hacker podría hacerse pasar por un usuario.

En un cuarto de los casos, los usuarios no podían usar la protección de la autenticación de doble factor, como en el envío de un código por mensaje de texto.

Casi dos tercios de las aplicaciones para desktops, incluyendo las de Charles Schwab y Interactive Brokers, sólo encriptaban parcialmente las comunicaciones. Interactive Brokers dijo que una actualización de su software con fecha mayo de 2018 por default encripta toda la información sensible. Los clientes siempre tuvieron la oportunidad de encriptar todo el tráfico y que la encriptación está predeterminada en los mercados donde lo exige la regulación, aseguró la compañía.

Unas 13 apps para desktops y dispositivos móviles guardaban sin encriptar datos relacionados con las operaciones compraventa de acciones, incluyendo la app de TD Ameritrade y su plataforma Thinkorswim y la app móvil Robinhood, según IOActive. TD Ameritrade afirmó que ya hizo avances para resolver los problemas mencionados en el informe, mientras que Robinhood explicó que usa "las mejores prácticas" en lo que se refiere al almacenamiento de determinados datos en dispositivos móviles para reducir los tiempos de carga.

Los hackers podrían aprovechar esas vulnerabilidades para montar tres tipos de ataques: robo, incluyendo a algunas apps que pueden transferir saldos a una cuenta bancaria nueva; espionaje, haciéndose de detalles sobre una estrategia de trading o sobre el patrimonio de los usuarios, y causar caos a mayor escala alterando los precios de las acciones que muestran las apps.

Para interceptar datos, los hackers tendrían que estar en la misma red, por ejemplo, dentro de una compañía o en una red WiFi pública. Pero podrían primero usar software malicioso para entrar a una red desde lejos.