Cómo los atacantes comprometen el software bancario desde adentro
Los ciberataques ya no solo apuntan a los usuarios finales: ahora los hackers buscan vulnerar el software bancario durante su desarrollo. Neobancos y entidades tradicionales enfrentan riesgos crecientes en sus cadenas de suministro y entornos móviles.
Mientras la transformación digital redefine el negocio bancario, una amenaza silenciosa crece en paralelo: los ataques a la cadena de suministro de software, especialmente en el desarrollo de aplicaciones móviles. Tanto bancos tradicionales como neobancos enfrentan un escenario donde el código externo, las dependencias de terceros y la falta de visibilidad en los entornos de desarrollo se han convertido en vectores críticos para los atacantes.
Durante 2024 y lo que va de 2025, el sector financiero ha sido uno de los más atacados a nivel global. Según el IBM X-Force Threat Intelligence Index, los ataques por malware que comprometen bibliotecas o entornos de desarrollo ya representan el 14% de los incidentes dirigidos a entidades financieras. A esto se suman las crecientes amenazas a través de APIs vulnerables, técnicas de ingeniería social sobre desarrolladores, y campañas dirigidas a los dispositivos móviles de los clientes finales.
Software bancario: ¿qué tan segura es la app?
En la experiencia de usuario, la app bancaria es la puerta de entrada a todo el ecosistema financiero. Pero en términos de seguridad, es también uno de los puntos más críticos. Esto se acentúa en América Latina, donde el uso de apps móviles para operaciones bancarias crece exponencialmente, pero no siempre va acompañado de prácticas de desarrollo seguro.
Las aplicaciones móviles bancarias suelen utilizar múltiples librerías de terceros para funciones como escaneo de documentos, autenticación biométrica, geolocalización o notificaciones push. El problema es que muchas de estas librerías pueden estar desactualizadas, mal auditadas o incluso contener código malicioso intencionalmente inyectado. Un caso emblemático fue el backdoor encontrado en XZ Utils en 2024, que afectó herramientas ampliamente utilizadas en entornos Linux. Si bien no impactó directamente en apps móviles, dejó en evidencia la fragilidad de confiar ciegamente en componentes open source.
La falta de visibilidad sobre la procedencia y seguridad de las dependencias puede abrir puertas al robo de credenciales, la interceptación de datos sensibles o incluso la toma de control de dispositivos móviles. Para los atacantes, comprometer una app bancaria es mucho más rentable que vulnerar directamente una infraestructura centralizada.
Bancos tradicionales vs. neobancos: riesgos distintos, mismo problema
Los bancos tradicionales suelen tener procesos más robustos y capas de validación interna más estrictas, pero también arrastran deuda técnica. Muchas veces conviven sistemas legacy con nuevas integraciones móviles, lo que dificulta tener una arquitectura segura de punta a punta.
Los neobancos, en cambio, suelen apostar por la velocidad de desarrollo y la iteración rápida. Su foco en el go-to-market puede llevar a que prioricen experiencia de usuario y funcionalidades innovadoras por sobre controles de seguridad profundos. Esto los hace especialmente vulnerables a ataques dirigidos durante etapas tempranas del desarrollo.
En ambos modelos, un factor común es la dificultad para asegurar toda la cadena de suministro del software. Las apps no se construyen en silos: dependen de APIs, SDKs, librerías, herramientas de CI/CD y múltiples servicios en la nube. Cualquier eslabón débil puede comprometer la integridad del producto final.
DDoS, malware y phishing: el nuevo cóctel digital
Los ciberataques actuales combinan múltiples técnicas. A los ya clásicos ataques DDoS, que aumentaron un 43% contra entidades bancarias en el segundo trimestre de 2025 (según Cloudflare), se suman malware embebido en actualizaciones de apps, phishing altamente personalizado y campañas diseñadas para explotar fallas en APIs expuestas.
Una estrategia creciente es atacar a los propios desarrolladores, comprometiendo sus cuentas o entornos locales para introducir código malicioso que luego se propague aguas abajo en la app. Este tipo de ataque, conocido como «supply chain poisoning», ya fue identificado en varias campañas durante 2024 por firmas como Checkmarx y Kaspersky.
El costo de un descuido
El informe “Cost of a Data Breach 2024” de IBM estimó que las entidades financieras pierden en promedio 5,9 millones de dólares por incidente de seguridad. A esto se suma el impacto reputacional, la fuga de clientes, las sanciones regulatorias y la caída en la confianza digital. En un entorno donde la banca compite por brindar la mejor experiencia omnicanal, la seguridad dejó de ser solo un requerimiento técnico para convertirse en una ventaja competitiva.
¿Qué pueden hacer las instituciones financieras?
La respuesta no es sencilla, pero sí urgente. Incorporar prácticas DevSecOps desde el diseño mismo de las apps es un paso ineludible. Auditar exhaustivamente las dependencias externas, generar SBOMs (Software Bill of Materials) y adoptar estándares como SLSA son parte de las recomendaciones clave.
También es fundamental implementar controles de seguridad sobre las APIs, monitoreo de comportamiento de usuarios, autenticación multifactor fuerte y, sobre todo, establecer mecanismos de respuesta temprana ante eventos sospechosos.
Desde el punto de vista organizacional, es necesario que la ciberseguridad no quede relegada a un equipo aislado, sino que se integre como cultura transversal en todo el ciclo de vida del producto digital. Y esto implica formar a desarrolladores, testers, líderes de producto y hasta áreas comerciales en buenas prácticas de seguridad.
Leer más
- El 20% de las PyMEs de América Latina deja su ciberseguridad en manos inexpertas
- Kaspersky advierte sobre IA en WhatsApp: riesgo de privacidad por acceso automático de Gemini a tus mensajes
- Kaspersky implementa nuevos beneficios en su Programa de Socios
