Una gran cantidad de clientes del Banco Estado se alertó hoy 26 de junio, al circular por las redes sociales una advertencia de Hackeo a su plataforma, en la cual su aplicación móvil redirigía de manera continua a la Play Store de Google para actualizarla, mientras solicitaba las credenciales. Este aviso no solo preocupó a una gran cantidad de chilenos, sino que también asustó a varios cuando vieron que el sitio del Banco se cayó durante esta tarde.
Si bien, Banco Estado confirmó durante la tarde que no existió un ataque a su aplicación y que los rumores circulados eran falsos, no quita que los clientes vieran la doble autentificación del banco y los saldos erróneos. Sumándose la caída de la web del mismo, es normal que los usuarios estén atentos, pues muchos ataques cibernéticos de Phishing (clonación de sitios para robo de información) ocupan esta misma metodología: piden los datos personales de ingreso para luego redirigir al login del sitio oficial sin sospecha.
¿Qué pasó hoy?
En el aspecto técnico, la APP móvil del Banco Estado es un Webview, una aplicación que permite cargar y mostrar contenido del sitio directamente, por lo que se conecta al sistema del mismo sitio del banco para intercambiar datos y mostrarte lo solicitado por pantalla. Normalmente, los bancos tienen los sistemas Web y aplicaciones móviles separadas para evitar un colapso de sistema, integrando las mismas bases de datos en actualizaciones por mensajería en servicios web para que la información del cliente siempre sea persistente.
Al estar en Webview, no está creada de forma nativa (no desarrollada específicamente para el mismo sistema), por lo que al hacer la comunicación debe hacer la validación mediante un sitio que haga una re-dirección. Siguiendo con el problema, al recibir una gran cantidad de peticiones, más la de verificación de los mismos clientes para ver si sus cuentas fueran comprometidas, terminaron colapsando los servidores, mostrando errores en los saldos de cuentas y/o no poder ingresar a ellas.
Claramente, la re-dirección puede asustar como se explicó anteriormente, pero seguramente para abaratar costos al banco fue realizada de esa manera. Ahora bien, no se descarta que esto pueda ser provocado por un Bug de la misma actualización, la cual hace ruta con los servidores en Estados Unidos y no los pone en relación de confianza.
Finalmente, este incidente habla bastante bien del conocimiento en seguridad informática del común de la gente en nuestro país, porque demuestra que la mayoría puede estar alerta ante un posible ataque. Sin embargo, esto también nos muestra que los ambientes de homologación cierto banco no está preparado, sobre todo cuando es sabido que existe la posibilidad de colapso en un mismo fin de mes.
Lamentablemente, deberemos esperar a que el mismo Banco Estado repare este lío en una próxima actualización.