Blog

Por qué las apps móviles WebView son peligrosas para la banca

Las "apps" bancarias que se ejecutan en entornos de navegador exponen credenciales sin que los equipos lo noten. Este artículo explora ejemplos de ataques a apps móviles WebView.

Nov 21, 2025 • 4 min read

Simon Wijckmans Founder & CEO

Imagen de portada sobre por qué las apps móviles WebView son peligrosas para la banca

¿Qué son las apps móviles WebView y cómo funcionan?

Las apps WebView son aplicaciones web que se comportan como apps móviles, pero en realidad se ejecutan en un entorno de navegador instalado en el dispositivo del usuario. Este es un vector de ataque oculto, especialmente para el robo de credenciales en apps bancarias WebView.

Una app móvil WebView se confunde frecuentemente con una Progressive Web Application (PWA); sin embargo, son ligeramente diferentes.

Ambas se utilizan principalmente para simplificar el soporte multiplataforma. En lugar de desarrollar esencialmente la misma funcionalidad en múltiples infraestructuras de front-end, ahora puede hacerse en una sola. También son más ligeras de ejecutar y actualizar.

¿Por qué las apps bancarias son un objetivo principal para el robo de credenciales?

Las apps bancarias construidas como WebViews son un blanco fácil porque dan acceso directo al dinero. Una vez que la sesión es secuestrada (o las credenciales son robadas), los atacantes pueden moverse rápido. El camino desde el ataque hasta el botín es mucho más corto que con otros tipos de ataques.

¿Cuáles son los 2 tipos de robo de credenciales en PWAs bancarias?

Hay 2 formas en que se produce el robo de credenciales bancarias en apps WebView. En ambos casos, los atacantes aprovechan la infraestructura basada en navegador sobre la que están construidas las WebViews. Ya sea atacando apps bancarias PWA reales inyectando scripts maliciosos (= ataques del lado del cliente), o creando apps bancarias falsas (= phishing).

Ataques del lado del cliente en WebViews reales

Dado que WebView se ejecuta en un entorno de navegador en el teléfono, está sujeto tanto a las ventajas como a las desventajas de los ataques de navegador. Estos entornos de navegador también se denominan el "cliente" del usuario; de ahí, ataques del lado del cliente.

El tipo más destacado de ataques del lado del cliente son los ataques a la cadena de suministro web. Aquí es donde las herramientas de terceros que se ejecutan en el entorno del navegador (como herramientas de marketing, píxeles de seguimiento, etc.) son comprometidas. Luego modifican o añaden funcionalidad al script para interceptar tráfico, copiar campos de formulario enviados y todo tipo de otros ataques.

Todos estos ataques del lado del cliente son posibles en WebViews.

WebViews falsas utilizadas en ataques de phishing

¿Qué es mejor que intentar comprometer una app bancaria real? Construir una falsa. Aquí los atacantes crean copias de WebViews bancarias con funcionalidad mínima. Luego, en ataques de phishing, manipulan socialmente a los usuarios para que descarguen esas apps maliciosas. En cuanto inician sesión, los atacantes han capturado las credenciales, y a menudo incluso el 2FA.

Ejemplos de robo de credenciales en WebViews bancarias

OTP Bank (2023)

A finales de 2023, un ataque de phishing tuvo como objetivo con éxito a OTP Bank (Hungría). Las víctimas recibieron un SMS con un enlace a un sitio web falso que imitaba a OTP Bank. La página instaba a los usuarios a instalar una app, en este caso una WebView.

En cuanto los usuarios intentaron iniciar sesión, los atacantes habían robado con éxito sus credenciales y códigos 2FA.

TBC Bank (2023-2024)

TBC Bank en Georgia sufrió un ataque desde finales de 2023 hasta 2024. En este ataque, los usuarios fueron atacados mediante llamadas de voz y anuncios en redes sociales. También aquí, una página de destino con una instalación falsa de PWA instó a los usuarios a descargar la app maliciosa. Todas las credenciales fueron capturadas y utilizadas por los atacantes.

Lee sobre los ataques a OTP Bank y TBC Bank aquí.

British Airways (2018)

En el ataque del lado del cliente más notorio hasta la fecha, su app móvil también estuvo involucrada. Se interceptaron 429.612 transacciones de clientes, la mayoría de las cuales tuvieron sus credenciales bancarias robadas. La app de BA también era una WebView, salvo por un service worker (y un manifiesto instalable), lo que significaba que técnicamente no era instalable ni tenía capacidad offline como una WebView completa. Pero a todos los efectos prácticos, era una WebView.

Escribimos la historia completa en el micrositio baways.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Back to top

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Una app móvil WebView es una aplicación web que se ejecuta en un entorno de navegador dentro de un dispositivo móvil, comportándose como una app nativa pero construida para simplificar el soporte multiplataforma. A diferencia de las PWA, las apps WebView no requieren service workers completos ni capacidades offline, aunque comparten la infraestructura basada en navegador.

Porque estas apps se ejecutan en entornos de navegador, pueden ser vulnerables a ataques que roban credenciales rápidamente. Los atacantes prefieren las apps bancarias por el acceso directo a cuentas financieras, y una vez que las credenciales están comprometidas, pueden actuar con rapidez.

Monitoriza y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Reservar una demo

Comenzar gratis

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitorización de scripts y análisis de seguridad

Cómo Bloquear Agentes de Prueba de Tarjetas con IA

Los agentes de IA de prueba de tarjetas sondean flujos de pago con navegadores reales. Aprende las señales del navegador que los exponen antes de completar una transacción.

Plataforma de seguridad cside clasificando múltiples conexiones de agentes de IA — detección de agentes a nivel de navegador y gestión de confianza

Cómo elegir una solución de detección de agentes de IA

Guía de cinco pasos para CISOs que evalúan soluciones de detección de agentes de IA: arquitectura, clasificación, perfiles de proveedores y metodología de POC.

Portada del blog de cside mostrando una interfaz de navegador que filtra el tráfico de bots y agentes de IA en rutas de confianza y bloqueadas

Mejores Plataformas de Gestión de Confianza de Bots y Agentes Comparadas (2026)

Forrester define la categoría. cside, DataDome, HUMAN Security, Kasada y Arkose Labs comparadas en capa de detección, intención y cobertura agéntica.

escudo de seguridad de cside monitorizando la ruta del cursor del navegador — detección de agentes de IA en la capa del navegador

Cómo Bloquear OpenAI Operator en Tu Sitio Web

OpenAI Operator navega tu sitio como un usuario real. Aprende a detectarlo y bloquearlo con señales de capa de navegador y cuándo no bloquearlo.

DBSC frente a huella digital del dispositivo: lo que la seguridad de sesión de Chrome no cubre

DBSC de Chrome frena el reenvío de cookies robadas, pero es solo Chrome, posterior al login y sin identidad de dispositivo. Mira el fraude que deja.

Detectar y bloquear Perplexity Shopper en tu sitio web — blog de cside

Cómo bloquear Perplexity Shopper en tu sitio web

Perplexity Shopper navega y compra en tiendas online en nombre de usuarios Pro. Aprende a detectar sus señales en el navegador y gobernar el tráfico.

Ilustración de una petición a la API de Claude y una respuesta devuelta que pertenece a otro usuario, marcada como «la respuesta no coincide con la petición», entre los logotipos de Anthropic y cside

Cuando una API de IA devuelve la respuesta de otro usuario: cachés compartidas y filtraciones entre clientes

Una incidencia de la API de Claude parece haber devuelto respuestas de otros usuarios. Por qué las cachés compartidas provocan fugas entre clientes.

Un token de acceso OAuth 2.0 en el centro de un diagrama que conecta un dispositivo legítimo con el dispositivo de un atacante

MFA no falló, falló el modelo de confianza: phishing por código de dispositivo y robo de tokens OAuth (Kali365)

Kali365 abusa de la concesión de autorización de dispositivo de OAuth 2.0 para robar tokens de Microsoft 365 tras MFA. Análisis técnico del flujo, FOCI y detección.

Una ventana de navegador que se disuelve en un flujo de partículas de luz azul sobre un fondo oscuro

La IA está comprimiendo el ciclo de los exploits: el zero-day desarrollado con IA de Google y qué significa para los navegadores

Google detectó un zero-day que cree desarrollado con IA. El cambio real no es el phishing, sino lo rápido que los exploits llegan al navegador.

Tokens de sesión atravesando una barrera de seguridad del navegador hacia señales de huella digital del dispositivo

La sesión del navegador ya es un plano de control de seguridad. Los atacantes lo sabían desde hace años.

La propuesta DBSC de Google valida un cambio claro: las sesiones del navegador necesitan validación del dispositivo después del login.