Evaluación de vulnerabilidades informáticas en códigos QR de la aplicación de Banca Móvil “Wallink”

Abstract

El crecimiento de la banca financiera en Ecuador se ha evidenciado en la digitalización de sus servicios, lo que conlleva nuevos desafíos en ciberseguridad. Las aplicaciones de banca móvil utilizan diversos métodos de autenticación, como códigos QR, que pueden presentar vulnerabilidades que deben ser descubiertas para evitar ser explotadas por delincuentes cibernéticos. Esta investigación tuvo como objetivo evaluar la seguridad de los códigos QR en la aplicación de banca móvil "Wallink" aplicando la metodología de pruebas de seguridad del estándar SP 800-115 del Instituto Nacional de Estándares y Tecnología. Se generaron 672 códigos QR durante seis días para decodificarlos y analizar patrones y cifrado, además de realizar análisis estático y dinámico de la aplicación. Los resultados revelaron un prefijo constante "PHIQR" seguido de 48 caracteres, lo que podría representar una vulnerabilidad por reducción de entropía inicial. Se determinó una probabilidad del 95.17% de que los códigos utilicen sustitución polialfabética. El análisis estático obtuvo un puntaje de riesgo medio (46/100), identificando vulnerabilidades como el "exploit Janus" y permisos considerados excesivos. El análisis dinámico mostró una configuración adecuada de protocolos TLS/SSL, pero prácticas de almacenamiento inapropiadas. Estos hallazgos permitieron medir el nivel de riesgo en 2,83/5, determinando un riesgo medio para el uso de códigos QR. La evaluación de riesgos subraya la importancia de fortalecer la seguridad mediante algoritmos de cifrado más robustos y mejores prácticas de desarrollo seguro.