Filtran código fuente de app móvil de importantes bancos de México

De acuerdo con una información de “Bank Security” una cuenta de Twitter enfocada en cubrir noticias de ciberseguridad dentro del mundo de las finanzas globales, un agente consiguió acceder al código fuente del sistema de Nova Solutions y lo publicó en un repositorio público. De esta manera se comprometerían las aplicaciones móviles del Banco Nacional de México (Citibanamex con casi 1.5 billones de pesos), Banco Sabadell México (casi 100.000 millones de pesos) y BanCoppel (80.812 millones de pesos)

The source code of @novasolutionsys has been published on a public repo.

Among the contents there are the mobile application source codes of Mexican banks like:
– @Citibanamex
– @BancoSabadellMX
– @BanCoppel

The data was allegedly taken from a misconfigured SonarQube instance. pic.twitter.com/yn48OrtWFI

— Bank Security (@Bank_Security) August 18, 2020

Aparentemente, la filtración se produjo debido a una “instancia de SonarQube mal configurada”. Esto en pocas palabras significa que al momento de evaluar el código fuente (SonarQube sirve específicamente para esto) una falla de implementación permitió a los hackers conseguir más información de lo que debería estar disponible al público.

Nada que temer

Conocer el código fuente de una aplicación de este tipo podría permitir a algún grupo de hackers o scammers intentar clonar la app movil de estos bancos. Sin embargo, aunque quisieran emular el comportamiento de la misma, no podrían ya que las llaves de cifrado de información y otros aspectos claves de seguridad, críticos para una correcta comunicación con la plataforma bancaria, no fueron revelados en la filtración. El equipo de Nova Solutions compartió rápidamente una comunicación oficial calmando las inquietudes de los usuarios, haciendo las siguientes aclaratorias:

• Estos códigos no afectan la seguridad de los usuarios de dichas plataformas, ya que no contienen información de los mismos, ni credenciales para realizar transacciones. • La compañía trabaja bajo los estándares de seguridad dictados por las buenas prácticas del sector tecnológico-financiero. • Tras las gestiones realizadas por Nova Solutions Systems, la información referida ha sido ya eliminada de la red.

Por su parte, Banco Sabadell también hizo un llamado a la calma confirmando que los datos de los clientes se encuentran a salvo. Este tipo de filtraciones siempre causan nerviosismo y preocupación entre los ciudadanos, aún cuando las instituciones aseguren que no hay nada que temer. Para este tipo de personas, siempre es recomendable utilizar los portales de internet directamente o realizar transacciones en las oficinas físicas aunque esto sea temporalmente difícil por la situación del COVID-19. Sin embargo, tal vez sea mas seguro si estas personas dejaran de depender de bancos, gobiernos y proveedores de servicios y se convirtieran en titulares y dueños absolutos de sus fondos a través de una wallet de criptomonedas corriendo sobre una blockchain auditable en tiempo real… Pero esto es solo una idea que ronda la cabeza de los soñadores entusiastas de criptomonedas.