"¿Por qué no puedo obtener el cupón?"
Una historia real de un ataque automatizado a una app de compras
"Claramente puse una alarma, pero en cuanto inicié sesión, ¿ya estaba cerrada?"
Consultas similares comenzaron a llegar repetidamente al centro de atención al cliente de una app de compras. Incluían cupones de descuento por orden de llegada, puntos exclusivos de comercio en vivo y eventos de cantidad limitada. Curiosamente, solo unos pocos usuarios tenían éxito de forma constante, mientras que la mayoría siempre iba un paso por detrás.
Al principio, pensé que se trataba simplemente de un aumento repentino del tráfico. El servidor iba lento debido al alto tráfico durante el evento.
Pero algo fallaba.
Siempre a la misma hora, siempre con cuentas similares, siempre a velocidades que los humanos no podían manejar.
Fue entonces cuando el equipo de operaciones se dio cuenta: "Esto no es solo un problema de tráfico".
¿Por qué las apps de compras son tan lucrativas para los atacantes?
Las apps de compras no son solo apps de contenido. • Cupones de descuento
• Puntos
• Información de pago
• Información de envío
• Datos de transacciones del vendedor
Todos estos datos están directamente relacionados con el valor monetario real.
Por lo tanto, desde la perspectiva de un atacante, una aplicación de compras exitosa es un objetivo que genera ingresos inmediatos. Entre estos, los primeros en ser atacados fueron recursos monetarios como descuentos, cupones y puntos.
Métodos de ataque reales
El problema se reveló por completo tras el análisis de registros.
Patrones de ataque confirmados
• Recopilación masiva de cupones mediante clics automatizados y macros
• Llamadas anormales y repetidas al botón de participación en eventos
• Modificación de la aplicación para eludir la lógica de deducción de puntos
A simple vista, parecía ser un usuario legítimo de la aplicación, pero en realidad, se utilizaban simultáneamente una herramienta automatizada y una aplicación modificada.
¿Dónde estaba la vulnerabilidad de seguridad?
Esta aplicación de compras tenía un solo problema:
"No podíamos distinguir entre el comportamiento normal y anormal del usuario".
• El servidor solo recibía solicitudes.
• La aplicación confiaba en el entorno de ejecución.
• No existía un estándar para distinguir la automatización de la modificación. Aquí es donde la seguridad de las aplicaciones se volvió necesaria.
LIAPP: La primera línea de defensa contra ataques a recursos monetarios
Detección de ataques automatizados de entrada y basados en scripts
LIAPP no solo analiza lo que el usuario introdujo, sino también cómo lo hizo. • Intervalo de toque
• Velocidad de entrada
• Ciclo de repetición
• Patrón de llamada de evento
Los ritmos de entrada que los humanos no pueden alcanzar se revelan como ataques automatizados.
Se empezaron a detectar cuentas automatizadas de clics y macros mediante este método.
Detección de falsificación y manipulación de aplicaciones
Algunos atacantes fueron más sofisticados.
• Reempaquetaron aplicaciones legítimas,
• modificaron la lógica de deducción de puntos,
• y participaron en eventos como usuarios legítimos.
La detección de falsificación y manipulación de LIAPP identifica la ejecución de aplicaciones manipuladas basándose en cambios en el
• código
• recursos
• y la estructura de la aplicación.
Las aplicaciones manipuladas que se dirigían a cupones y puntos ya no podían entrar en el flujo normal.
"Los cupones no eran el único problema."
¿Por qué surgieron LISS y LIKEY?
A medida que avanzaba la investigación, surgió otra verdad:
Los atacantes no solo atacan cupones.
LISS – Detección de herramientas de soporte remoto
Se detectó manipulación de pantalla mediante aplicaciones de soporte remoto en algunas cuentas de operaciones y vendedores. Gracias a LISS:
• Detectamos herramientas de soporte y control remoto
• Bloqueamos los riesgos de manipulación externa de cuentas críticas.
LIKEY – Protección de la información de cuenta y entrada
Otra debilidad era la sección de entrada de inicio de sesión.
Al implementar el teclado seguro de LIKEY,
• Neutralizamos el robo de información mediante keyloggers
• Y reforzamos la protección de las cuentas de administrador y vendedor.
¿Qué cambió tras la implementación?
Los cambios se produjeron más rápido de lo esperado tras la implementación de la seguridad.
• Normalizamos la distribución de cupones y puntos
• Modificamos de forma natural la distribución de cuentas relacionadas con eventos
• Redujimos las quejas de los clientes
• Redujimos la carga de respuesta del equipo operativo
El cambio más importante fue el siguiente:
Pasamos de centrarnos únicamente en el servidor cuando surgía un problema a centrarnos tanto en el entorno de ejecución de la aplicación como en el comportamiento del usuario.
Lecciones de este caso
El mayor error en la seguridad de las apps de compras es este: "Bloquear el servidor".
Sin embargo, los ataques reales se originan en la app, imitando el comportamiento del usuario y robando recursos financieros discretamente.
Entonces, ¿qué se necesita?
• Automatización y detección de falsificaciones → LIAPP
• Detección de manipulación externa → LISS
• Protección de la información de entrada → LIKEY
Al dividir claramente las funciones, la seguridad se vuelve menos compleja y más efectiva.
#SeguridadDeAppsDeCompras#SeguridadMóvil#UsoAbusivoDeCupones#SeguridadDeEventos#DetecciónDeMacros#AtaquesAutomatizados#FalsificaciónDeApps#SeguridadRASP#SeguridadDeComercioElectrónico#SeguridadDeAppsDeVendedores#ProtecciónDeCuentas#SeguridadDeFintech#SeguridadDeAppsMóviles#CasosDeSeguridad#TendenciasDeSeguridad#LIAPP#LISS#LIKEY
