Las aplicaciones deportivas que registran cada detalle del entrenamiento, del calendario y de los parámetros fisiológicos se han convertido en una herramienta casi profesional al alcance de deportistas amateurs. Los gimnasios y centros deportivos no son ajenos a esta tendencia y cada vez más están proporcionando a sus socios apoyo tecnológico en forma de apps y programas. Con algunos riesgos imprevistos.
El mes pasado un desarrollador español lanzó la voz de alarma sobre una vulnerabilidad presente en aplicaciones móviles para gimnasios que pone en riesgo información personal y datos médicos de los clientes de más 1.600 establecimientos. La investigación del experto en hacking ético y ciberseguridad Deepak Daswani señala que las vulnerabilidades en el diseño de ciertas aplicaciones permitirían suplantar la identidad de los socios y obtener así las contraseñas almacenadas. El fallo afecta a 16 países, incluido España.
Daswani, que ha trabajado entre otros organismos para el Instituto Nacional de Ciberseguridad (Incibe), hizo públicas sus averiguaciones durante una conferencia en Mundo Hacker Day que se celebró el pasado mes en Madrid. Además advirtió que los hackers podrían acceder a documentos PDF personalizados para cada miembros de cada gimnasio en los que se encuentran sus datos y su calendario de clases, así como informes de salud que en los que constan parámetros como el índice de masa corporal, información metabólica o porcentajes de masa ósea y muscular.
Además de dispositivos móviles esta herramienta es accesible mediante un navegador en PC o en los espacios físicos habilitados en los propios centros. Según Daswani, un criminal podría usurpar la identidad de un socio sin demasiados problemas si se está compartiendo una misma red Wifi o si el hacker se halla en dichos espacios habilitados. Una vez dentro, se pueden consultar todas las actividades y añadir o eliminar clases, además de acceder a dichos datos.
Problema por resolver
Los hallazgos que ha hecho públicos el especialista canario revelan que la brecha de seguridad afecta, potencialmente, a millones de personas, dado el número de gimnasios que utilizan una misma aplicación, que ha sido desarrollada por una firma española, según indica la Agencia Efe. No obstante, Daswani aclara que lo más preocupante es que a través de esta vulnerabilidad se puede acceder incluso a la huella dactilar de los usuarios, presente también en el sistema. En cualquier caso, el analista también señaló que no debería ser complicado resolver este problema ya que el resto de la aplicación sí presenta garantías de seguridad, de forma que los desarrolladores ya trabajan para solventar la brecha.
No es la primera vez que las aplicaciones de seguimiento deportivo causan problemas por la cantidad de información personal que almacenan y vuelcan en la red. Los responsables de la aplicación de seguimiento Strava publicaron el pasado año un mapa con toda la actividad registrada por sus usuarios, que desveló accidentalmente la posición de bases militares secretas. Dedicar un tiempo a la verificación de permisos en las aplicaciones y a la administración de contraseñas y cuidado de la información pública es aconsejable para tener un cierto control sobre la información pública de cada uno.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
También te puede interesar
Panda Antivirus Gratis
Soporte Técnico GRATUITO
