Un tuit de la cuenta Bank Security informó el martes 18 de agosto que el código fuente de la empresa mexicana Nova Solutions Systems fue publicado en un repositorio público. Entre el contenido se encuentran el código fuente de las aplicaciones móviles de los bancos Citibanamex, Sabadell y BanCoppel. 

La información, que estuvo pública aproximadamente 24 horas, se encontraba en una herramienta llamada SonarQube. Esta herramienta sirve para revisar la calidad y seguridad del código. 

De acuerdo con Hiram Camarillo, socio y director de Seguridad y Privacidad de la información en Seekurity, los archivos fueron descargados por un usuario de Twitter @antiproprietary, antes @deletescape y baneado por la plataforma por hacer públicos 20GB de información interna de la compañía Intel. 

El usuario que subió la información cerró el repositorio donde estaba el código fuente. Pero ya hay personas interesadas en descargar el código para entenderlo y saber cómo funciona. Esos son los riesgos a los que se enfrentan las entidades bancarias

 dijo Hiram Camarillo en entrevista a EL CEO

Camarillo ejemplifica que Apple nunca ha lanzado su código fuente de las apps , todo lo contrario a Android, que lanza su código fuente de su sistema operativo para que alguien más lo tome, lo entienda y lo mejore. 

“Apple no lo lanza porque es algo muy riesgoso, porque pueden entender cómo funcionan sus aplicaciones o teléfonos y eso los puede llevar a encontrar vulnerabilidades muy grandes. Ellos dicen, hacemos las actividades, cierran el código y nunca lo compartimos”, comentó Camarillo. 

¿Los usuarios de las apps corren riesgo?

Hasta el momento no es responsabilidad de los bancos lo sucedido, debido a que no hay información de los usuarios expuesta o secuestrada.

Se comprometió información de las aplicaciones más no de los usuarios. Nadie habla de la información de los usuarios

Lo que debería hacer la empresa, según Camarillo, es auditar el código, hacer pruebas a ese código y mejorarlo, es decir, asegurarlo. En caso de que detectaran algún riesgo que pudiera impactar a la información de los usuarios de las apps, tendrían que trabajar para diminuir el riesgo. 

En el caso de Citibanamex, el banco comentó a EL CEO que “en ningún momento se vulneraron los sistemas del banco ni comprometido la información de los clientes y de la institución”.

¿Qué contenían los códigos fuente?

El código fuente, por el nombre de las carpetas, se puede determinar que se trata de aplicaciones de iOS y Android. Además, algunos archivos contienen Tokens de Firebase y  contraseñas inseguras, de acuerdo con el análisis realizado por Camarillo. 

 

Nova Solutions respondió a EL CEO que los códigos no afectan la seguridad de los usuarios de dichas plataformas, ya que no contienen información de los mismos, ni credenciales para realizar transacciones. 

También mencionaron, mediante un comunicado, que la información ya fue eliminada de la red. Aunque,  mencionaron que  las medidas se derivarán de un análisis forense más amplio que les vaya a llevar un poco más de tiempo.

Por ahora “todos los esfuerzos han estado centrados en asegurar que no haya afectaciones a los clientes”, dijo la empresa. 

Banco Sabadell respondió a EL CEO, mediante un correo electrónico, que la filtración no ha afectado la seguridad ni datos de los clientes. 

Nuestra aplicación y página web continúan operando sin inconvenientes y el equipo técnico del banco ya se encuentra trabajando con urgencia para establecer próximas acciones preventivas y continuar protegiendo a nuestros clientes

 Banco Sabadell

El CEO buscó la postura de BanCoppel sobre el tema, pero hasta la publicación del texto no se obtuvo respuesta.