Apps filtran datos confidenciales
- Muchas aplicaciones populares de Android filtran datos confidenciales, dejando a millones de consumidores en riesgo.
- Las aplicaciones Android podrían estar revelando tus secretos: Un estudio de la consultora móvil NowSecure reveló que el 70% de las 250 aplicaciones más populares tienen fugas de información sensible, como nombres de usuario y correos electrónicos.
Chicago, EE.UU. 12 junio, 2019. La mayoría de nosotros operamos bajo el supuesto de que las aplicaciones de nuestros teléfonos son seguras y que podemos usarlas para realizar las tareas para las que fueron diseñadas sin ponernos en riesgo. Una nueva investigación realizada por la empresa de seguridad de aplicaciones móviles NowSecure sugiere que ese no es el caso.
La compañía probó las 250 aplicaciones Android más populares disponibles en la tienda Google Play Store y descubrió que el 70% de ellas sufrían vulnerabilidades que podían dejar expuestos los datos confidenciales de los usuarios. Los hallazgos sugieren que millones de usuarios de Android podrían estar en riesgo.
Los resultados muestran que las vulnerabilidades están muy extendidas en casi todas las categorías de aplicaciones. Sin embargo, las aplicaciones del retail de ventas online son las que se encuentran entre las más vulnerables. El 92% de todas las aplicaciones de venta al por menor en línea y más de cuatro de cada cinco aplicaciones de tiendas físicas están filtrando activamente información confidencial de los clientes, según NowSecure. Lo preocupante es que una de cada seis aplicaciones sufre de lo que la compañía de seguridad clasifica como vulnerabilidades de «alto riesgo».
Una de esas aplicaciones que se descubrió que filtraba información de los clientes pertenecía a Kohl’s, una de las principales tiendas por departamentos de Estados Unidos. La prueba de NowSecure de la aplicación Kohl’s, realizada en el cuarto trimestre de 2018, encontró 17 vulnerabilidades y riesgos de privacidad en el servicio. Los investigadores descubrieron que la aplicación transfería datos sensibles en texto plano, lo que abría la posibilidad de que un atacante pudiera identificar y rastrear a un usuario o interceptar su información personal. Desde entonces, Kohl’s ha reparado las vulnerabilidades y ya no se cree que esté exponiendo los datos de los usuarios.
Se descubrió que BuyVia, una popular aplicación de compras en línea que tenía más de un millón de descargas, tenía 15 vulnerabilidades. Se descubrió que estaba filtrando información de identificación personal que podía ser interceptada por alguien con malas intensiones y utilizarla en ataques de phishing. La aplicación BuyVia ya no está disponible en Google Play Store.
Fuera del retail, la categoría viajes ocupó el segundo lugar en cuanto a la tasa de vulnerabilidad. NowSecure descubrió que dos de cada tres aplicaciones de viajes (67%) están filtrando información de los clientes. Porque las aplicaciones de viaje pueden contener una amplia gama de información sensible, incluyendo información sobre pasaportes, métodos de pago y formas de identificación. Una app en la categoría que NowSecure reveló que tiene problemas fue AirAsia. La aplicación para la aerolínea internacional de bajo costo con sede en Malasia presentó 11 vulnerabilidades, entre ellas una que la hacía altamente susceptible a ataques del tipo MITM (man-in-the-middle – «ataque de intermediario») que permitirían a un actor malicioso interceptar la información de los usuarios. NowSecure advirtió que la información altamente confidencial podría ser expuesta por estas fallas de seguridad. Más de un millón de personas han instalado la aplicación AirAsia en sus dispositivos y podrían estar en riesgo.
¿Quién lo está observando?
Con la llegada de la GDPR (General Data Protection Regulation) y las configuraciones de privacidad, usted supondría que tendría más control sobre sus datos que nunca. Pero a pesar del conocido mensaje del sitio que pregunta si está dispuesto a aceptar cookies, muchos no se dan cuenta de lo que esto implica – y puede ser difícil hacer un seguimiento de los datos que usted ha dado.
Una nueva herramienta de vpnMentor, expertos en seguridad en línea, resalta los datos que diferentes sitios web importantes tienen sobre usted, tal y como se enumeran en sus políticas de privacidad. Con más de 7.200 millones de cuentas en todos los servicios estudiados, incluyendo plataformas como Google, Facebook, Amazon y Tinder, ¿cuántos conocen los detalles más precisos de las políticas de privacidad que muchos aceptan automáticamente?
Sus datos, pero con las reglas de ellos
Aunque es poco probable que sorprenda que los sitios a los que te usted se ha suscrito se queden con los datos que les ha entregado, para muchos sitios esto no es todo lo que rastrean. Dado que Facebook e Instagram son que encabezan la lista, aparentemente rastreando todo lo que pueden sobre sus usuarios, ¿es hora de que pensemos dos veces sobre lo que estamos aceptando dentro de los términos y condiciones? Algunos de los detalles sorprendentes que se han rastreado incluyen:
- Ubicación – De los 21 servicios del estudio, 18 siguieron la ubicación actual de los usuarios en todo momento cuando se utilizó la aplicación. Algunos de ellos, como Tinder, continúan haciendo un seguimiento incluso cuando la aplicación no está en uso, mientras que Facebook e Instagram no sólo hacen un seguimiento de la ubicación de los usuarios, sino que también de la ubicación de empresas y personas cercanas, además de guardar la dirección de la casa de los usuarios y las ubicaciones más visitadas.
- Sus mensajes – ¿Piensa que nadie verá nunca sus mensajes privados? Piénsalo de nuevo. Tanto Facebook, LinkedIn como Instagram utilizan la información que comparte en sus servicios de mensajería para obtener más información sobre usted, mientras que Twitter y Spotify declaran abiertamente que tienen acceso a cualquier mensaje que envíe en sus plataformas.
- Información de dispositivos – aparentemente inofensiva, pero muchos servicios y aplicaciones rastrean más información de su dispositivo de lo que parece necesario. Facebook e Instagram, por ejemplo, rastrean el nivel de la batería, la intensidad de la señal, los puntos Wi-Fi cercanos y las antenas de telefonía, los nombres de aplicaciones y archivos de su dispositivo y mucho más. Mientras tanto, Google y Amazon Alexa conservan las grabaciones de voz de las búsquedas, y Apple Music realiza un seguimiento confuso de las llamadas telefónicas realizadas y los correos electrónicos enviados y recibidos en los dispositivos en los que se utiliza el servicio.
¿No tiene un perfil?
Además, incluso si no tiene una cuenta con estos servicios, esto no impedirá que tus movimientos en línea sean rastreados. Google realiza un seguimiento de su actividad en sitios de terceros que utilizan funciones de Google como los avisos, mientras que los socios de Facebook (8,4 millones de sitios en toda la web) envían datos tanto de ellos como de Instagram recopilados a través de herramientas empresariales de Facebook como el botón «Me gusta», independientemente de que tenga o no una cuenta de Facebook o de que haya iniciado sesión.
Y para aquellos de nosotros que hemos tomado la acción de configurar la opción «No rastrear» ofrecida por algunos navegadores, que fue creada para detener los sitios que rastrean su información, esto tampoco le ayudará. Casi ningún sitio importante responde a la configuración dada, en lugar de ello continúa siguiéndole la pista a pesar de todo. De hecho, no sólo se trata de sitios de terceros de los que estas empresas almacenan sus datos, sino que Facebook también guarda todos los datos que otros proporcionan sobre usted, incluso si suben su información de contacto sin su permiso.
El experto en seguridad en Internet Gaya Polat, de VPNmentor, dijo «la cantidad de datos que se mantienen en línea sobre los usuarios debería hacerlos desconfiar del uso que se hace de sus datos personales. Aunque la mayoría de este uso de datos es benigno o necesario para que los servicios funcionen, saber qué compañías tienen qué datos sobre usted es la única manera de rastrear su privacidad y cuán seguro usted realmente se encuentra».
«Recomendamos que debe leer siempre la política de privacidad para asegurarse de que sabe lo que está aceptando al registrarse, pero esperamos que este proyecto le dé una idea de lo que implica todo esto», concluyó Polat.