24 de junio de 2022
Directores
Orlando Cadavid Correa
Evelio Giraldo Ospina

Graves problemas en las aplicaciones para bolsa de valores

11 de octubre de 2017
11 de octubre de 2017

Bogotá, 11 de octubre de 2017. Los días de gritos en los pisos de remates de NYSE, NASDAQ y otras bolsas de todo el mundo han desaparecido. Con el advenimiento de plataformas de trading electrónico y redes, el intercambio de instrumentos financieros ahora es más fácil y más rápido que nunca; pero esto viene con riesgos inherentes.

Desde un principio, los chicos malos también se han unido a la fiesta de Wall Street, desarrollando modelos inteligentes para obtener ganancias por medio fraudulentos. Sus esfuerzos han incluido todo, desde la creación de firmas de corretaje ficticias que terminaron siendo esquemas de Ponzi [1] hasta células organizadas que realizan estafas de Pump and Dump[2] (Pump: comprar acciones baratas e inflar el precio a través de finanzas falsas y declaraciones engañosas al mercado a través de spam por email, medios sociales y otros medios tecnológicos; Dump: una vez que el precio es alto, vender las acciones y recoger la ganancia).

Cuando se trata de seguridad, vale la pena señalar cómo se diferencian los sistemas bancarios de los mercados de capitales. En los sistemas bancarios, la información está centralizada en una única entidad financiera; hay un punto único de fallo en lugar de muchos, lo que los hace más vulnerables a ciberataques. [3] En cambio, los mercados mundiales están distribuidos; registros de quién posee qué, quién vendió y compró qué, y a quién, no se almacenan en un solo lugar, sino en muchos. Al igual que la materia y la energía, el número de acciones y otros instrumentos financieros no pueden crearse a partir de la nada (por ejemplo, un registro de base de datos modificado dentro de una sola entidad financiera). Una vez emitidos los instrumentos financieros, estos sólo pueden ser intercambiados de una entidad a otra dejando trazas de dicha transacción. Dicho esto, la información valiosa, así como la superficie y los vectores de ataque en entornos de bolsas y mercados de valores son ligeramente diferentes que en los sistemas bancarios.

Durante varios años he utilizado las plataformas de trading de escritorio y web ofrecidas por los bancos de mi país, México, con una visibilidad limitada de los instrumentos comerciales disponibles. Hoy en día, acceder a los mercados financieros mundiales es tan fácil como abrir una cuenta de Facebook a través de empresas de corretaje en línea. Así fue como obtuve acceso al mercado financiero global, en el que están incluidas las empresas cotizadas en las bolsas de Estados Unidos y de todo el mundo. Cualquier persona puede comprar y vender una amplia gama de instrumentos financieros en el mercado secundario (acciones, ETFs, etc.), mercado de derivados (opciones, opciones binarias, contratos por diferencias, etc.), mercados de divisas – también conocido como Forex – o los mercados avant-garde de las criptomonedas (bitcoin, ethereum, etc.).

La mayoría de los bancos con soluciones de inversión y las firmas de corretaje en línea ofrecen plataformas móviles para operar. Estas aplicaciones permiten hacer muchas cosas como:

  • Financiar su cuenta a través de transferencias bancarias o tarjeta de crédito
  • Mantener un registro del capital disponible para invertir y del poder de compra (saldos de efectivo y cuentas margen para apalancamiento)
  • Monitorear sus posiciones (número de instrumentos financieros que posee) y su desempeño (ganancias o pérdidas)
  • Monitorear precios y rendimientos de instrumentos o índices
  • Emitir órdenes de compra o venta de instrumentos
  • Crear alertas o disparadores para ser ejecutados cuando se alcancen ciertos umbrales de precios
  • Recibir noticias y transmisiones de video de noticiarios en tiempo real
  • Mantenerse en contacto con la comunidad de traders a través de redes sociales y chats

Sin importar si eres un especulador, un trader intra-día muy activo, o simplemente alguien a quien le gusta seguir la estrategia de comprar y retener valor a largo plazo, cada elemento de la lista anterior debe mantenerse en secreto y sólo debe ser conocido por su dueño.

Hace cuatro meses, mientras usaba mi aplicación de trading, me pregunté, “con la enorme cantidad de dinero que se intercambia en las bolsas de valores, ¿qué tan seguras son estas aplicaciones móviles?” Así que ahí estaba, un minuto después, iniciando esta investigación para exponer los problemas de seguridad y privacidad en algunas de estas apps móviles.

Antes de pasar a los resultados, me gustaría compartir una moraleja interesante y polémica que encontré al final de esta investigación:

“La aplicación desarrollada por una firma de corretaje que sufrió un robo de datos hace varios años demostró ser la más segura”. Como dice el viejo refrán: “ahogado el niño, a tapar el pozo”.

Alcance

Mi análisis comprendió de las últimas versiones de 21 aplicaciones de trading móvil más utilizadas y conocidas disponibles en Apple Store y Google Play. Las pruebas se centraron puramente en las aplicaciones móviles; plataformas de escritorio y web no se incluyeron en este estudio. Sin embargo, descubrí algunas vulnerabilidades de seguridad en los servidores del back-end, pero no las incluí en este artículo.

Probé los siguientes 14 controles de seguridad, los cuales representan sólo la punta del iceberg en comparación con una lista de controles de seguridad más exhaustiva para aplicaciones móviles, la cual podría dar una mejor fotografía del estado actual de la seguridad de estas aplicaciones. Vale la pena señalar que no pude probar todos los controles en algunas de las apps, ya sea porque una característica no estaba implementada (por ejemplo, chats sociales) o porque no era técnicamente factible (por ejemplo, SSL pinning implementado que no permitiría la manipulación de datos) o simplemente porque no pude crear una cuenta para pruebas.