En varias ocasiones os hemos informado de diferentes fallos de seguridad de aplicaciones, o posibles robos de datos privados a través de las mismas. Sin embargo ¿es algo habitual? ¿Debemos temer todo aquello que instalamos en nuestro terminal? Según la siguiente infografía de la firma de seguridad Veracode, existen cuatro niveles potenciales de riesgo. Algo que no debe alarmar a los usuarios que utilicen aplicaciones oficiales y procedentes de desarrolladores conocidos instaladas desde los mercados de aplicaciones principales.
Las cuatro capas o niveles a los que hace referencia la infografía son: el nivel de las aplicaciones: existen apps contaminadas con malware o fallos de seguridad que pueden ser utilizados por terceros como un agujero para acceder a nuestra información. A nivel de hardware o componentes: los atacantes utilizan fallos de memoria para modificar los permisos y conseguir acceso completo al terminal. El nivel de red: como ya hemos informado en caso de WhatsApp, la conexión a redes Wi-Fi públicas puede suponer una puerta de acceso para personas con los suficientes conocimientos informáticos. Finalmente encontramos el nivel de riesgo del sistema operativo: los cabos sueltos en las modificaciones de los sistemas operativos como el conocido Jailbreak de iPhone o las ROM precocinadas en Android también pueden suponer un punto de acceso para hackers y personas extremadamente curiosas.
En la infografía también se recogen algunos casos conocidos relacionados con aplicaciones que han supuesto el robo de información o la infección de nuestro terminal con virus indeseados. Concretamente, informa de una falsa versión de Instagram que circuló por diferentes páginas de Internet y que, en realidad, era una aplicación infectada. Algo que, según dice, es una técnica habitual para extender programas maliciosos que roben información. Por eso se recomienda descargar e instalar sólo aplicaciones que provengan de los mercados oficiales de aplicaciones. También se indica un caso del que pudimos informaros en Tuexperto.com sobre el envío, sin permiso previo, de la agenda de contactos a los servidores de algunas redes sociales como Path. Algo que no se tardó en solucionar introduciendo el permiso necesario mediante una actualización.
También se comenta la importancia de las bibliotecas de anuncios que suelen insertarse en las aplicaciones gratuitas como sistema de monetización. Concretamente, en un estudio que analizó 100.000 aplicaciones, más de la mitad contaban con estas bibliotecas de anuncios, y 297 de ellas capaces de hacer funcionar programas de forma remota. Ese acceso remoto es lo que puede poner en peligro la privacidad de nuestros terminales. Para protegernos de ello hay que tener en cuenta los permisos que implica la instalación de ciertas aplicaciones, rechazando aquellas que parezcan abusivos.
Muchos de estos problemas fueron conocidos gracias a una demanda colectiva en contra de 18 compañías, muchas de ellas conocidas, que recogían información privada como la agenda de contactos u otros datos sin ningún permiso ni aviso previo. Entre ellos se encuentran redes sociales como Facebook, Instagram, LinkedIn, Foursquare, etc. como ya os informamos en Tuexperto.com. Sin embargo, según comenta la infografía, a día de hoy no hay casos conocidos donde se haya usado los datos adquiridos para fines ajenos a la propia aplicación. De hecho, el problema principal y directo que supone el robo de información privada es la distribución de publicidad. Y es que la información vale dinero. Dinero que sistemas de publicidad están dispuestos a pagar para llegar a más personas por los medios que sea. Y no tanto para hacer algún tipo de daño con esa información.
Como se recomienda desde Veracode, lo ideal es encontrar el equilibrio entre privacidad y funcionalidad, evitando aquellas aplicaciones cuyos permisos se extralimiten de sus funciones, no provengan de un mercado oficial, envíen datos privados sin motivo aparente o aquellas que no nos permitan modificar las opciones de privacidad. Aún así, hay quien ha tomado medidas, como la Comisión Federal de Comercio, quien ha propuesto ampliar el Acta de Protección de Privacidad en Internet a las aplicaciones que permitan a los niños jugar a juegos online, participar en redes sociales o recibir publicidad de forma personalizada.