La seguridad bancaria ya no depende únicamente de blindar el acceso del usuario final. Expertos en ciberseguridad alertan sobre una amenaza silenciosa que se infiltra en las etapas previas al lanzamiento de las aplicaciones: el desarrollo, la integración de librerías y la automatización del despliegue. Estos procesos, muchas veces invisibles para técnicos y clientes, se han convertido en el nuevo blanco de los atacantes.
Según especialistas de Red Hat, el recorrido de una app bancaria incluye múltiples actores y fases técnicas que pueden ser intervenidas sin dejar rastros visibles. Un script automatizado malicioso, por ejemplo, puede inyectar código peligroso justo antes del lanzamiento, sin que los controles tradicionales lo detecten. Esta manipulación puede ocurrir incluso en el código fuente o en herramientas de compilación.
La presión por reducir el “time to market” llevó a muchas entidades financieras a adoptar procesos automatizados que aceleran la construcción y entrega de apps. Sin embargo, esta eficiencia también amplía la superficie de ataque. Cada nuevo módulo, plugin o librería externa representa una posible puerta de entrada para los ciberdelincuentes.
La contaminación del software en la fase de construcción es una de las formas más difíciles de detectar. El producto final puede parecer funcional y seguro, pero incluir componentes maliciosos que comprometan datos sensibles, redirijan operaciones o vulneren la integridad del sistema. La firma digital de objetos de software y la trazabilidad de versiones se vuelven claves para evitar estas intrusiones.
Los bancos tradicionales, con sistemas heredados, y los neobancos, con desarrollos ágiles, enfrentan riesgos distintos pero complementarios. Mientras unos arrastran deuda técnica, otros priorizan la velocidad por sobre la seguridad profunda. En ambos casos, la falta de controles en la cadena de suministro digital puede derivar en ataques invisibles que afecten la confianza del usuario.
La solución no está solo en reforzar el perímetro, sino en adoptar prácticas DevSecOps desde el inicio del desarrollo. Esto implica auditar librerías externas, monitorear scripts de automatización, verificar la integridad del software y formar a todos los actores del ciclo de vida digital en buenas prácticas de seguridad. La confianza, en la era digital, se construye desde la primera línea de código.
Redacción Diario Inclusión
