seguridad movil

Abres una aplicación para leer la noticias, el correo electrónico o una red social y, en muchas ocasiones, te pide un usuario (que puede ser tu correo electrónico) y una contraseña. Tienes que identificarte para acceder a titulares de prensa personalizados en base a tus preferencias, a la bandeja de entrada donde llegan tus emails o, en definitiva, a tu cuenta personal y, supuestamente, intransferible.

Supuestamente, sí. Un equipo de investigadores de la Universidad de Darmstadt (Alemania) y el Instituto Fraunhofer para la Seguridad en las Tecnologías de la Información ha analizado 750.000 aplicaciones para Android y iOS y ha descubierto que sus desarrolladores no se toman la seguridad de este importante paso del proceso (el ‘login’ o autenticación) tan en serio como deberían.

Estos expertos aseguran que entre las apps analizadas se cuentan algunas muy populares – aunque no han dado nombres concretos – y que las vulnerabilidades se han detectado en todo tipo de aplicaciones, desde juegos hasta mensajería instantánea, pasando por redes sociales, servicios financieros o incluso software vinculado con la salud.

Según los hallazgos de este grupo de académicos, muchos programadores están gestionando de forma inadecuada o negligente la información necesaria para este login, dejando nombres de usuario, direcciones de correo o contraseñas al alcance de terceros con dudosas intenciones. Durante sus análisis, han encontrado hasta 56 millones de conjuntos de datos desprotegidos.

“Los desarrolladores de apps utilizan bases de datos en la Nube para almacenar la información de los usuarios, pero aparentemente ignoran los consejos de seguridad que ofrecen los proveedores de almacenamiento”, afirma el profesor Eric Bodden, autor principal del estudio, en referencia a los servicios cloud que ofrecen gigantes como Facebook (Parse) o Amazon (AWS).

Alojar en la Nube de terceros los datos con que se registra el usuario facilita la tarea a los desarrolladores (por ejemplo, a la hora de sincronizar servicios web y aplicaciones para distintos sistemas operativos), pero es una decisión que no deben tomar a la ligera. La seguridad de nuestros datos está en juego.

Información desprotegida. ¿Por qué hay tanta?

Los proveedores de cloud ofrecen diferentes mecanismos de seguridad para determinar que un usuario es quien dice ser cuando consulta las bases de datos: cuanto más sensible sea la información que vaya a manejar, más altas las barreras. Bodden explica que “la forma más débil de autenticación, pensada para identificar más que para proteger los datos, consiste en un sencillo ‘API token’, un número que forma parte del código de la aplicación”.

Utilizando herramientas apropiadas, un atacante podría extraer fácilmente esos ‘tokens’ y acceder a los datos, leerlos o incluso manipularlos. Las formas de hacer daño o sacar rédito son infinitas para alguien sin escrúpulos: desde vender correos y contraseñas en el mercado negro hasta chantajear a los dueños de los datos, propagar malware o convertir los móviles de cientos de usuarios en soldados de un ejército de ‘bots’.

Para evitarlo, los desarrolladores deberían implementar en sus apps medidas más sofisticadas, precisamente lo que recomiendan Facebook, Amazon y los demás proveedores de cloud. Los investigadores de Darmstadt y Fraunhofer recomiendan emplear “un esquema de control de accesos” que, sin embargo, brilla por su ausencia en la mayoría de las 750.000 aplicaciones que han analizado.

“Nuestras averiguaciones y la naturaleza del problema indican que una enorme cantidad de información relacionada con las apps se encuentra desprotegida, abierta a la suplantación de identidad o incluso a ser manipulada”, sentencia Bodden. “Con ayuda de Amazon y Facebook, hemos informado a los desarrolladores. Son ellos los que tienen que tomar medidas porque han subestimado el peligro”.