error al insertar registro: Field 'timeunix' doesn't have a default value

Asociaci贸n de Internautas

Logo 1

Aplicaciones bancarias m贸viles: ING Direct, Bankia, Santander y La Caixa suspenden


Todo lo necesario est谩 disponible en nuestros dispositivos m贸viles, nuestras cuentas de correo electr贸nico, redes sociales, comunicaciones y por supuesto nuestras transacciones financieras est谩n al alcance de nuestros tel茅fonos inteligentes 驴pero son seguras las APPs bancarias de nuestras entidades financieras? Para averiguarlo he realizado un test donde comprobamos el nivel de seguridad de distintas entidades financieras y los resultados obtenidos indican que aprueban el BBVA Wallet y BBVA Banca y suspenden Santander, La Caixa, Banbia e ING Direct





El an谩lisis de investigaci贸n realizado sobre las aplicaciones bancarias se realizaron teniendo en cuenta los siguientes puntos durante la auditoria:

  • Modificaci贸n de la aplicaci贸n y comprobar su posible instalaci贸n y funcionamiento.

  • Comportamiento anti malware, captura pantalla durante su funcionamiento.

  • Comportamiento anti malware, captura teclado y claves.

  • APP testean si el dispositivo son root.


Las APP Android auditadas pertenecen a las entidades financieras y para sistema Android:

  • BBVA Banca y BBVA Wallet

  • Santander

  • La Caixa

  • Bankia

  • ING


Alteraci贸n de la APP, primera prueba del an谩lisis: Se intenta modificar/alterar de forma ?b谩sica? las APPs, a帽adir una nueva firma y tener la aplicaci贸n dos veces instalada con el c贸digo original, para comprobar si un malware puede alterar el control natural de la aplicaci贸n financiera. Los resultados son los siguientes:


BBVA Banca y BBVA Wallet, permite la modificaci贸n y alteraci贸n de la firma, se puede instalar, pero sin embargo la aplicaci贸n no es funcional y genera error. Valoraci贸n; Seguridad buena.

Santander, permite la modificaci贸n y alteraci贸n de la firma, permite su instalaci贸n y la aplicaci贸n es funcional. Valoraci贸n; Seguridad mala.

La Caixa, no permite realizar la modificaci贸n, comprueba su edici贸n. Valoraci贸n; Seguridad muy buena.

Bankia, permite la modificaci贸n y alteraci贸n de la firma, permite su instalaci贸n y la aplicaci贸n es funcional. Valoraci贸n; Seguridad mala.

ING, permite la modificaci贸n y alteraci贸n de la firma, permite su instalaci贸n y la aplicaci贸n es funcional. Valoraci贸n; Seguridad mala.




Capturar pantalla durante el logueo de claves bancarias, segunda prueba del an谩lisis: La segunda prueba en simple, se testean que APPs permiten realizar una captura de la pantalla o grabar la pantalla durante la actividad de un usuario, durante el proceso de logueo y durante su interactividad de la banca online, el prop贸sito es comprobar si un malware o un troyano pueden capturar nuestras credenciales o durante nuestra actividad bancaria. Los resultados son los siguientes:


BBVA Banca y BBVA Wallet, permiti贸 en algunos casos la captura de la pantalla, ocurri贸 en un 50% de las veces en la APP de Banca durante el logueo y actividad, sin embargo en BBVA Wallet no permiti贸 ninguna vez. Valoraci贸n; Seguridad media en Banca, Seguridad Buena en Wallet.

Santander, permite la captura de pantalla y actividad. Valoraci贸n; Seguridad mala.

La Caixa, permite realizar capturas del logueo. Valoraci贸n; Seguridad media.

Bankia, permite realizar capturas del logueo, pero no durante la actividad. Valoraci贸n; Seguridad media.

ING, permite la captura de pantalla y actividad. Valoraci贸n; Seguridad mala.



Capturar toda actividad del teclado durante el logueo de claves bancarias y actividad, tercera prueba del an谩lisis: El siguiente an谩lisis en m谩s f谩cil para el auditor pero m谩s complicado para los programadores de las APPs bancarias ya que ser铆a programar un sistema que detecte un keylogger (captura teclado) en el dispositivo o comprobar los procesos activos del dispositivo y ver rutinas maliciosas, cosa muy compleja, el prop贸sito es comprobar si un malware o un troyano puede capturar nuestras credenciales o nuestra actividad. Los resultados es son los siguientes:


BBVA Banca y BBVA Wallet, permite capturar toda la actividad, Valoraci贸n; Seguridad mala.

Santander, permite capturar toda la actividad, Valoraci贸n; Seguridad mala.

La Caixa, permite capturar toda la actividad, Valoraci贸n; Seguridad mala.

Bankia, permite capturar toda la actividad, Valoraci贸n; Seguridad mala.

ING, permite capturar toda la actividad, Valoraci贸n; Seguridad mala.



Comprobar si la APP testea si el dispositivo esta rooteado (root ? s煤per usuario), cuarta prueba del an谩lisis: La prueba consiste durante la instalaci贸n del aplicativo o interactividad de las funciones bancarias nos alerta o bloquea alguna acci贸n bancaria. Algunos aplicativos con gesti贸n financiera no permiten la instalaci贸n en dispositivos rooteado al ser sensibles de ser atacados por malware o programas esp铆as, aunque en realidad en un dispositivo rooteado la funcionalidad de un cortafuegos es posible al ser super usuario y otras funciones de seguridad, aunque seria para usuarios con mas experiencia. Un ejemplo de testeo de rooteo es la APP de Apuestas y Loter铆as del Estado, donde no permite la instalaci贸n de la aplicaci贸n en dispositivos roteados por seguridad. Los resultados son los siguientes:


BBVA Banca y BBVA Wallet, BBVA Banca permite instalaci贸n y alerta del rooteo del dispositivo, BBVA Wallet permite su instalaci贸n, alertando que la funci贸n NFC de pago no est谩 permitida en en pagos, Valoraci贸n; Banca Seguridad media. Wallet Seguridad Alta.

Santander, permite instalaci贸n, no alerta y permite todas las funciones, Valoraci贸n; Seguridad media.

La Caixa, permite instalaci贸n, no alerta y permite todas las funciones, Valoraci贸n; Seguridad media.

Bankia, permite instalaci贸n, no alerta y permite todas las funciones, Valoraci贸n; Seguridad media.

ING, permite instalaci贸n, no alerta y permite todas las funciones, Valoraci贸n; Seguridad media.



Resumen final de las APPs auditadas:

BBVA Wallet, Seguridad: -1 / + 3 (aprueba)

BBVA Banca, Seguridad: - 2 / + 2 (media)

La Caixa, Seguridad: -3 / + 1 (suspende)

Bankia, Seguridad: - 3 / + 1 (suspende)

Santander, Seguridad: -4 (suspende)

ING, Seguridad: - 4 (suspende)

Como podemos comprobar en un an谩lisis simple, a煤n queda mucho trabajo por realizar en medidas de prevenci贸n y seguridad en las aplicaciones bancarias para terminales m贸viles. Afortunadamente algunas entidades financieras realizan un seguimientos de los problemas de seguridad reportados por los propios clientes en la pasarela Google Play Store,.Jos茅 Mar铆a Luque.