Las aplicaciones desprotegidas pueden hacer que la información de los titulares de pólizas y de las aseguradoras sea vulnerable a los piratas informáticos.
Los consumidores se están moviendo cada vez más hacia los canales digitales para manejar las tareas diarias, comprar productos y disfrutar del entretenimiento. Estas tendencias también se extienden a los seguros. Los consumidores aumentaron su uso de aplicaciones móviles de seguros e insurtech en un 26 % en 2021 año tras año, según JD Power . Y para aquellos que usaron aplicaciones móviles para seguros, sus puntajes de satisfacción del cliente fueron significativamente más altos en todas las medidas que aquellos que usaron canales tradicionales.
Riesgos de las aplicaciones móviles
Pero el movimiento hacia el uso de aplicaciones móviles para seguros significa que mucha información muy valiosa termina concentrada en ellas: información médica, números de cuenta, direcciones y más. Este tipo de información es mucho más valiosa en el mercado negro que los números de tarjetas de crédito, porque las tarjetas de crédito se pueden cancelar. Este tipo de información de identificación personal es en gran parte permanente y los delincuentes pueden usarla para fraudes y otros tipos de esquemas.
Por lo tanto, no debería sorprender que los ciberdelincuentes ya estén apuntando a las aseguradoras y las aplicaciones móviles.
Los piratas informáticos pudieron acceder a las cuentas de State Farm en 2019 a través de un ataque de relleno de credenciales. Y en 2021, el Departamento de Servicios Financieros de Nueva York multó a varias aseguradoras con millones de dólares por infracciones e incumplimiento.
Y más allá de las multas, si hay evidencia de que las aseguradoras fueron negligentes al proteger sus aplicaciones, los ataques cibernéticos exitosos pueden dar lugar a demandas colectivas. Por lo tanto, definitivamente es del interés de todos, desde las aseguradoras y las insurtechs, hasta los desarrolladores y consumidores por contrato, que las aplicaciones móviles de seguros sean seguras.
Las aplicaciones móviles pueden ser atacadas de infinitas formas. Sin embargo, la mayoría de los ataques se dividen en seis tipos principales. Si las aseguradoras y las insurtechs se protegen contra ellos, habrán logrado un progreso significativo para proteger sus aplicaciones contra la gran mayoría de los ataques.
Robo de información personal del titular de la póliza de la aplicación: el estado civil, los nombres completos, la licencia de conducir, la fecha de nacimiento y, a veces, incluso los números de seguro social se almacenan en las aplicaciones de seguros. Incluso puede encontrar información detallada del vehículo, como un número de placa o VIN. Todos estos datos son oro para un intento de fraude cibernético.
Para proteger estos datos, deben estar encriptados en la aplicación usando AES 256 o un estándar similarmente fuerte. Y el cifrado no debe detenerse en los datos. También debe cubrir los datos utilizados por las interfaces de programación de aplicaciones (API) para comunicarse con los sistemas y servidores de back-end. Si las direcciones URL, los tokens, las contraseñas y otros secretos no están encriptados, los ciberdelincuentes pueden obtenerlos fácilmente para obtener acceso a los sistemas centrales de una aseguradora.
Ataques a la información de ubicación: las aplicaciones de seguros e insurtech rastrean los datos de geolocalización por una variedad de razones, como monitorear el comportamiento de conducción de los asegurados para identificar a los conductores seguros y ofrecerles descuentos, o para activar y desactivar la cobertura según la ubicación física.
Al hacer jailbreak (iOS) o rootear (Android) un dispositivo, los piratas informáticos pueden otorgarse privilegios más amplios que les permitan controlar el sistema operativo y acceder a la información de geolocalización. Las aplicaciones deberían poder detectar cuándo el dispositivo en el que se ejecutan está rooteado o liberado y luego se apaga para evitar que funcione en un entorno inseguro.
Superposiciones y registradores de teclas: el malware sofisticado puede engañar a los usuarios, presentando una pantalla falsa o transparente sobre una aplicación de seguros, lo que hace que los usuarios piensen que están ingresando datos en una fuente confiable, cuando en realidad están trabajando con el malware. De esta forma, el malware puede robar datos, apoderarse de cuentas y ejecutar todo tipo de actos malévolos. Los keyloggers funcionan de manera similar, aunque se ejecutan en segundo plano, rastreando cada entrada clave que un usuario hace en cualquier aplicación. Las aplicaciones móviles deben detectar este tipo de ataques para que dejen de funcionar cuando estén en vigor para proteger al usuario.
Interceptación de datos de transacciones: muchas aplicaciones de insurtech, como Lemonade y Metromile , permiten a los asegurados pagar la cobertura según lo requieran, agregando más cobertura a medida que avanzan. Esta capacidad también abre estas aplicaciones a los ataques a la información de pago. Para proteger los datos de pago, todos los datos, ya sea que se almacenen en el dispositivo o se transmitan a un servicio de pago de back-end, se deben cifrar mediante un estándar sólido para cumplir con el estándar de la industria de tarjetas de pago (PCI). Si se descubre que una aseguradora no cumple con PCI, pueden resultar multas severas e incluso la pérdida de la capacidad de aceptar tarjetas de crédito como pago.
Abuso de herramientas de análisis estáticas y dinámicas: los desarrolladores de software confían en estas herramientas críticas para la depuración y otras tareas importantes durante el proceso de creación de software, pero los ciberdelincuentes también pueden abusar de ellas para trazar la lógica interna de una aplicación móvil. Esta información les permite crear ataques sofisticados, altamente dirigidos y extremadamente efectivos tanto en la aplicación como en los servicios de back-end. También pueden desarrollar troyanos que engañan al usuario haciéndoles creer que están trabajando con algo real, mientras que el malware compromete subrepticiamente otras aplicaciones, roba datos y realiza otras actividades dañinas.
La ofuscación del código binario, así como de las bibliotecas nativas y no nativas, ayudará a prevenir la ingeniería inversa, y el blindaje adicional con protecciones contra la depuración, la manipulación y la inversión fortalecerá aún más las defensas.
Ataques a la red: muchas aplicaciones móviles, incluidas las de compañías de seguros y de insurtech, se comunican mediante HTTP y TLS 1.1, que no son protocolos seguros. Permiten a los ciberdelincuentes perpetrar ataques de tipo “man-in-the-middle” (MitM) en los datos mientras se transmiten, lo que les permite robarlos e incluso cambiarlos a mitad de camino. Para protegerse contra los ataques de MitM, los desarrolladores deben implementar TLS (seguridad de la capa de transporte) 1.3, cumplimiento de la versión de TLS, validación de certificados seguros y detección de proxy malicioso.
Las aseguradoras y las insurtechs tienen una gran oportunidad de crecimiento y de mejorar la satisfacción del cliente con las aplicaciones móviles. Pero estas aplicaciones deben ser seguras, porque de lo contrario, es solo cuestión de tiempo antes de que los ciberdelincuentes las ataquen con éxito, dañando a los asegurados, comprometiendo potencialmente los sistemas de back-end de la aseguradora y tal vez incluso resultando en noticias negativas. La protección contra estas seis amenazas contribuirá en gran medida a garantizar la seguridad de todos y establecer una base para el crecimiento digital.
Por: Karen Hsu, Directora de marketing de Appdome.