El 97% de las aplicaciones móviles que usan los usuarios tienen portillos de seguridad informática que facilitan la fuga de los datos de ubicación, contactos, calendario y de información privada de los usuarios.
Un estudio de Hewlett Packard Enterprises analizó 36.000 aplicaciones para sistemas operativos móviles Android de Google e iOS de Apple, perteneciente a 27 categorías que incluyen libros, estilos de vida, noticias, viajes, juegos y clima.
El reporte indica que entre el 2013 (cuando se analizaron solo 2.000 apps) y el 2015 la situación de vulnerabilidad de las apps se mantuvo, pues en ambos años el mismo porcentaje de apps tenían problemas en alguno de los 10 controles de protección básicos de información que deben mantener.
Los hallazgos del estudio fueron:
1. Acceso a datos de ubicación del usuario: El 52% de las apps tiene acceso a la información de geolocalización de los usuarios, porcentaje que se eleva en el caso de las aplicaciones de educación al 70%. HPE advirtió que en esta categoría se incluyen apps dirigidas a menores de edad.
2. Acceso a sus contactos: El 12% de las aplicaciones tiene acceso a la información de los contactos familiares, de amistades, profesionales y de negocios que tiene cada persona usuaria. Las apps que tenían más acceso a los datos de contactos eran las de redes sociales (41%) y de finanzas (20%).
3. Acceso a calendario: El 16% de las apps también ingresa al calendario del usuario y tiene acceso a la información de actividades, reuniones, eventos y agenda personal, profesional y de negocios. El reporte encontró que el 42% de las apps de juegos móviles y el 52% de las apps de clima podían visualizar la información del calendario.
"Una configuración deficiente e insegura podría transmitir una significativa cantidad de datos muy específicos y potencialmente sensibles para los usuarios", se insisten en el informe.
Precisamente hace un año un informe de IBM y de Ponemon Institute reveló descuidos de parte de las grandes empresas con sus apps.
VEA TAMBIÉN Las apps que usted tiene en su móvil ¿son seguras?
Más problemas
Según el reporte de HPE más del 85% de las aplicaciones presentaban inseguridad en el almacenamiento de la información, problemas de violación de privacidad y fuga de información.
Cerca del 80% de las apps mostraron debilidades de seguridad a la hora de desplegarlas o a la hora de usarlas.
El reporte llamó la atención sobre las deficiencias de configuración que ponen en riesgo los datos de los usuarios. Las apps que presentaron más debilidades fueron las de salud y ejercicios (65%), médicas (53%) y de manejo de finanzas personales (44%).
Los componentes de una app que pueden dejar expuestos datos de los usuarios ante terceros incluyen archivos temporales, registros del sistema, direcciones electrónicas, el registro del usuario y la introducción de sus claves cuando se ingresa a la app, así como las transmisiones no cifradas de datos a servidores.
El reporte también advierte que los mensajes a los usuarios pueden incluir credenciales de cuenta, información de identificación personal y otros datos sensibles que pueden ser captados por terceros.
Particularmente riesgoso —se indica— es el caso de apps de Android que tienen almacenamiento externo, donde se guardan datos en tarjetas SD de los dispositivos por ejemplo. El problema es que este tipo de almacenamiento no está diseñado para datos de uso sensible o de alta integridad.
El informe indica que desde enero anterior los dispositivos con sistema operativo Android carecen de capacidad para aplicar los permisos específicos de la app para archivos que están almacenados en algún repositorio externo. Tal situación crearía la oportunidad para que un tercero tenga acceso y los utilice.
VEA TAMBIÉN 80% de los trabajadores usa apps no aprobados en su empresa
Qué hacer
El reporte de HPE resalta los beneficios de las apps para las empresas y para los usuarios, pero también llama la atención sobre la responsabilidad de los desarrolladores para cumplir con los estándares de seguridad y protección de la información.
Ante los riesgos existentes la firma recomienda:
- A las empresas: identificar los filtros de datos que puede tener la app; realizar diagnósticos de las apps antes y después de su uso (registros, directorio de datos, almacenamiento, y acrhivos, etc.); revisar la interacción con otros actores; y revisar la validación y transferencia de datos, especialmente de información confidencial y sensible, como las contraseñas; entre otras medidas.
- A los consumidores: elegir sus apps con cuidado y estar alertas cuando se le pide acceso a información personal que no es indispensable para el funcionamiento de la aplicación; tener cuidado respecto a los permisos que otorga (como el acceso a los contactos); revisar y actualizar periodicamente la configuración de privacidad del dispositivo; y usar contraseñas únicas y específicas para cada cuenta y app (no use las mismas claves en todas las apps).