Son muchas las apps que exponen nuestros datos vulnerables. Se trata de fallos de seguridad que asumen los desarrolladores pero que sin embargo, somos los usuarios quienes pagan las consecuencias.
Miles de APPs exponen nuestros datos vulnerables
Siempre que hablamos de seguridad solemos hablar de una serie de consejos básicos para evitar que, por nuestra culpa, podamos poner en peligro nuestros datos o nuestra seguridad. Sin embargo, los fallos de seguridad no siempre son culpa nuestra. Sino que en ocasiones estos son culpa de los propios desarrolladores, quienes cometen errores graves al programar las aplicaciones. Como el nuevo fallo de seguridad que afecta a miles de aplicaciones para Android y iOS y que ha estado filtrando datos vulnerables de sus usuarios.
Hace algunas horas, varios investigadores de seguridad han encontrado miles de bases de datos de Firebase desprotegidas; que están poniendo en peligro más de 100 millones de registros de usuarios en todo el mundo. Firebase es un servicio backend que ofrece Google a los desarrolladores de aplicaciones para llevar una base de datos en la nube de todos los usuarios en formato JSON.
Aunque los servidores de Google son seguros, son los propios desarrolladores quienes deben proteger estas bases de datos para evitar accesos no autorizados. Sin embargo, miles de desarrolladores que utilizan Firebase en sus apps se han olvidado de esto. Por lo que están exponiendo cientos de gigabytes de todo tipo de datos de los usuarios de sus apps. Desde credenciales en texto plano sin cifrar; hasta datos bancarios pasando por identificadores de Android o coordenadas GPS. Entre otra mucha información.
Todas las APPs son vulnerables
Estos investigadores de seguridad han analizado 2.7 millones de apps y han detectado un total de 2.446 apps de Android y 600 apps de iOS vulnerables. Aplicaciones que manejan bases de datos con más de 100 millones de registros que están al alcance de cualquiera sin ninguna medida de seguridad. Como un firewall o un sistema de autenticación.
Los expertos de seguridad han podido contar que, solo en Android, las apps vulnerables suman más de 620 millones de descargas. Las aplicaciones afectadas por estas vulnerabilidades son de todo tipo; aplicaciones de telefonía, servicios postales, apps de compañías de viaje, servicios financieros, apps de criptomonedas, etc. Desde luego la información que mueven apps como las bancarias o las de criptomonedas es información muy sensible. Información que, por desgracia, puede estar fácilmente al alcance de cualquiera.
Los usuarios no podemos hacer nada por evitar que esto ocurra. Ya que se trata de un problema de seguridad por parte de los propios desarrolladores. Los investigadores de seguridad ya han reportado a estos desarrolladores el fallo y se espera que todos, o al menos la mayoría de ellos, lo solucionen en poco tiempo.
Cómo saber cuales son las apps más intrusivas con nuestros datos
Facebook sin duda es una de las aplicaciones más intrusivas y que tiene acceso a los datos vulnerables. Sin embargo, no solo esta app tiene acceso a nuestros datos, si no que terceras compañías también pueden acceder a ellos a través de dicha red social. La opción de “Iniciar sesión a través de Facebook” es la puerta por la que escapan todo tipo de datos personales. Hasta meses o años después de haber utilizado las aplicaciones o páginas web.
Configurar nuestras opciones de privacidad
Es tan fácil como acceder a la sección de Configuración de Aplicaciones en Facebook. Muestra una lista de todas las aplicaciones que se han utilizado para iniciar sesión. Por defecto cada aplicación tiene permiso al perfil público del usuario: Nombre y apellidos, foto de perfil, rango de edad, sexo y un apartado denominado como “otra información pública”.
Además de estos datos, las aplicaciones pueden solicitar acceso a otra información como la lista de amigos, fecha de nacimiento, historial académico, ciudad de origen, ciudad actual y dirección de correo electrónico, entre otros datos. Aunque muchas aplicaciones exigen una gran cantidad de datos para poder conectarse con Facebook; más tarde se puede desactivar el acceso a esa información adicional, dejando únicamente activado el acceso al perfil público.
Otra opción, si ya no se utiliza la aplicación, es eliminar por completo el acceso. No obstante, la empresa responsable mantendrá toda la información que ha obtenido hasta ahora, y Facebook recomienda contactar directamente con los desarrolladores de aplicaciones para eliminarla definitivamente.
Pueden perjudicar a tus contactos
Otra de las opciones dentro de la Configuración de Aplicaciones hace referencia a “Aplicaciones que otros usan”. Algunas aplicaciones acceden no solo a los datos del usuario que se la descarga. Sino a la información de todas las personas en su lista de amigos. Es una de las técnicas que utilizó Cambridge Analytica para conseguir crear un perfil sociológico de más de 50 millones de personas con una aplicación que solo descargaron 2.000 o 3.000 usuarios. Con pinchar en el botón “Editar” y desmarcar las distintas opciones se puede desactivar completamente esta característica.
Más allá de los datos personales que las aplicaciones usan; también los anunciantes acceden a datos que Facebook proporciona para dirigir anuncios personalizados. Conviene revisar también las Preferencias de Anuncios para estar al tanto. Y si procede, desactivar datos personales que los anunciantes pueden utilizar. Como el estado civil, la educación o la empresa actual de nuestro perfil.
La Configuración de Aplicaciones; así como las preferencias de anuncios y las opciones de privacidad son tres apartados con los que todo usuario de Facebook debería familiarizarse. Para que, dentro de lo posible, nuestros datos sigan siendo nuestros.
Formación Relacionada:
La ciberseguridad demanda profesionales. Es un área que se ha convertido no solo en prioridad; sino además en una de las principales preocupaciones para cada organización. Las amenazas y ciberataques permanentes y cada vez más frecuentes, han hecho de las vulnerabilidades del sector el peor enemigo.
La necesidad inmediata del sector es contar con profesionales capacitados en las áreas de Ciberseguridad que cuiden de nuestros datos vulnerables.
Con este Máster en Dirección y Gestión de la Ciberseguridad aprenderá a formular estrategias de Ciberseguridad y realizar consultoría a nivel estratégico. La dirección de este máster es gestionada por el ilustre don Fernando Dávara.
Fuentes:
https://www.redeszone.net/2018/06/21/apps-android-ios-exponen-datos-usuarios/
https://noticiasseguridad.com/seguridad-movil/miles-de-apps-para-android-y-ios-estan-exponiendo-datos-de-sus-usuarios-como-contrasenas-ubicaciones-y-ids/
