La Información de Identificación Personal (PII), datos financieros,
información médica, credenciales de cuentas, propiedad intelectual: todos
estos tipos de datos sensibles tienen en común la necesidad de un control
estricto sobre quién puede acceder a ellos, independientemente de si
pertenecen a usted o a su organización.
Y, claro, puede que esté siguiendo las mejores prácticas, pero ¿qué pasa con
las aplicaciones que usted o sus empleados usan? Con la creciente dependencia
de los dispositivos móviles en las actividades diarias, tanto profesionales
como personales, y especialmente con muchas empresas que optan por una
política BYOD (trae tu propio dispositivo), es fundamental saber cómo estas
aplicaciones podrían comprometer su privacidad y datos corporativos sensibles.
Nunca ha habido tanto en juego. Solo en 2024, más de 1.700 millones de
personas vieron comprometidos sus datos personales, un asombroso
aumento del 312%
respecto a los 419 millones de 2023, lo que provocó una
pérdida financiera total estimada de 280.000 millones de dólares. A medida que los dispositivos móviles se convierten en la principal puerta
de entrada a los servicios digitales, también representan una creciente
superficie de ataque para la fuga y las filtraciones de datos.
El equipo de investigación en Zimperium, realizó un análisis exhaustivo de
aplicaciones móviles para comprender el alcance y la gravedad de estos
riesgos.
Analizaron 54.648 aplicaciones
de trabajo (9.078 para Android y 45.570 para iOS) de las tiendas de
aplicaciones oficiales. Los hallazgos son alarmantes y resaltan la necesidad
crucial de una verificación exhaustiva de las aplicaciones en entornos
empresariales.
Entendiendo las Fugas de Datos en Aplicaciones Móviles
Las fugas y filtraciones de datos ocurren cuando un agente no deseado
obtiene acceso a datos confidenciales.
Si bien estos términos pueden usarse indistintamente en muchos casos,
generalmente se dice que
las fugas de datos ocurren cuando información confidencial se expone
involuntariamente al público, ya sea en tránsito, en reposo o en uso.
A diferencia de las filtraciones de datos, que suelen ser resultado de
intentos de intrusión externa,
las fugas de datos a menudo se deben a negligencia, prácticas de seguridad
deficientes o procesos inadecuados de gestión de datos dentro de las propias
aplicaciones.
Servicios en la nube: Un arma de doble filo
La integración en la nube se ha vuelto omnipresente en el desarrollo de
aplicaciones móviles, y el 62% de las aplicaciones analizadas utilizan algún
tipo de API o SDK en la nube. Si bien los servicios en la nube ofrecen
escalabilidad y comodidad, también presentan riesgos significativos si se
implementan incorrectamente:
-
Se detectaron 103 aplicaciones de Android que utilizaban almacenamiento
en la nube desprotegido o mal configurado, y 4 de ellas se encontraban
entre las 1.000 más populares de la Play Store.
En algunos casos, los índices de archivos y directorios son visibles para
todo el mundo, mientras que en otros, se podía acceder al contenido completo
de los repositorios sin credenciales. Existen sistemas que escanean
continuamente los directorios de los proveedores de la nube para encontrar
estos repositorios desprotegidos y robar los datos, que luego pueden
venderse, utilizarse para el robo de identidad, para chantajes o campañas de
pesca submarina, y para una infinidad de otros fines nefastos. -
Diez aplicaciones de Android contenían credenciales expuestas a los
servicios en la nube de AWS, lo que abrió la puerta a atacantes para acceder a datos empresariales
confidenciales. Estas credenciales podían utilizarse tanto para leer los
datos como, en el peor de los casos, para escribir en ellos, creando
registros falsos o eliminándolos/encriptándolos y exigiendo un rescate sin
necesidad de ejecutar un ataque de ransomware tradicional. Las credenciales
en la nube codificadas de forma rígida hacen que los datos sean vulnerables
a filtraciones y manipulaciones.
Las consecuencias de las configuraciones incorrectas en la nube pueden ser
devastadoras. En un incidente reciente, uno de los fabricantes de automóviles
más grandes del mundo sufrió una filtración masiva de datos que afectó a
aproximadamente 260.000 clientes debido a un entorno de nube mal configurado.
Este incidente demuestra cómo incluso las grandes corporaciones con
importantes recursos de seguridad pueden ser víctimas de descuidos básicos de
seguridad en la nube.
Debilidades criptográficas: Socavando las bases de la seguridad.
El cifrado de datos confidenciales es fundamental. Los datos sin cifrar o con
un cifrado deficiente pueden explotarse de dos maneras.
-
En tránsito: mediante un ataque de intermediario, por ejemplo, un atacante
puede ver los datos que entran y salen de los servidores. -
En reposo: un atacante puede obtener permisos de lectura para un repositorio
de datos; sin embargo, los datos correctamente cifrados son prácticamente
inútiles para el atacante.
Los datos correctamente cifrados son inútiles para los atacantes, incluso si
se interceptan en tránsito o se obtienen de un almacenamiento en la nube
pirateado.
La investigación reveló que el 88% de todas las aplicaciones y el 43% de
las 100 principales utilizan uno o más métodos criptográficos que no siguen
las mejores prácticas.
En algunos casos, se presentan fallas criptográficas de alta gravedad como:
- Claves criptográficas mediante hardcoding
- Uso de algoritmos obsoletos como MD2
-
Generadores de números aleatorios inseguros (que potencialmente pueden
explotarse para romper el cifrado) - Reutilización de las mismas claves criptográficas
Estas vulnerabilidades crean oportunidades para que los atacantes intercepten,
descifren y exploten datos confidenciales, lo que podría conducir al acceso no
autorizado a los sistemas e información empresarial.
Los peligros ocultos del almacenamiento local de datos
El análisis de 54.648 aplicaciones de trabajo reveló patrones alarmantes en la
gestión de datos confidenciales en dispositivos por parte de las aplicaciones
móviles. Estos hallazgos resaltan los riesgos que existen incluso en las
aplicaciones de las tiendas oficiales:
-
El 6% de las 100 principales aplicaciones de Android escriben información
personal identificable (PII) en el registro de depuración la consola.
Esta práctica permite que otras aplicaciones con permisos de registro
accedan a datos confidenciales, creando una exposición innecesaria para los
datos del usuario. Los registros de la consola están diseñados para la
depuración, no para almacenar información confidencial; sin embargo, muchos
desarrolladores no eliminan ni protegen adecuadamente estas declaraciones de
registro en las versiones de producción. -
El 4% de las 100 principales aplicaciones de Android escriben PII en un
almacenamiento externo de datos, donde otras aplicaciones pueden acceder a ella o extraerla fácilmente si
un dispositivo se ve comprometido. Todas las aplicaciones tienen acceso al
almacenamiento externo por defecto, diseñado para ampliar la memoria del
dispositivo y permitir que compartan información. Sin embargo, esta
capacidad de compartir se convierte en una desventaja cuando se trata de
información confidencial. -
Quizás lo más preocupante es que
el 91% de las aplicaciones de Android almacenan información personal
identificable (PII) en el almacenamiento local de datos.
Aunque el almacenamiento local no se comparte entre aplicaciones, los datos
permanecen allí en caso de que un atacante acceda al dispositivo. Si bien
este problema es menos frecuente en iOS, aún aparece en algunas
aplicaciones, lo que genera importantes problemas de privacidad y seguridad.
Estos datos suelen incluir: - Credenciales de usuario
- Tokens de autenticación
- Información personal
- Datos comerciales
Transmisión de datos: fuga silenciosa de datos
-
La investigación reveló que el 31% de todas las aplicaciones y el 37% de
las 100 principales envían información personal identificable (PII) a
servidores remotos, a menudo sin el cifrado adecuado.
Esta transmisión de datos se produce en segundo plano y los usuarios no
suelen saber qué información se envía ni adónde se dirige. -
Aún más preocupante, varias aplicaciones, incluida una de Android entre las
50 principales (que abordaron en
una entrada anterior del blog), que pueden exfiltrar secretamente datos de usuarios a servidores
remotos.
Vulnerabilidades y filtraciones: la tormenta perfecta
La combinación de prácticas deficientes de almacenamiento local y la
transmisión de datos insegura crea las condiciones perfectas para las
vulneraciones de datos. El análisis reveló que
el 62% de las 100 principales aplicaciones de Android presentan algún tipo
de vulnerabilidad, lo que aumenta la posibilidad de un ataque que provoque una vulneración de
datos. Entre los problemas figuran:
Problemas de gravedad media
- Escuchas de acciones del teclado que podrían utilizarse para el keylogging
- Exposición de contraseñas en texto plano en interfaces de usuario
Problemas de gravedad alta
-
Vulnerabilidades de actividad implícita que podrían permitir a los atacantes
obtener el contenido de los archivos a los que una aplicación tiene acceso.
Si esta u otras aplicaciones han estado escribiendo información personal
identificable (PII) u otra información del usuario en archivos locales, esto
podría provocar una filtración de datos. -
Problemas con los permisos de datos del proveedor de contenido que pueden
divulgar contenido a aplicaciones maliciosas en el mismo dispositivo. Este
es un mecanismo integrado en las aplicaciones de Android para que las
aplicaciones compartan datos, pero la configuración incorrecta de los
permisos podría transmitir los datos del usuario a una aplicación maliciosa
que posteriormente los exfiltra.
El impacto empresarial
Para todo tipo de organizaciones, estas vulnerabilidades criptográficas y en
la nube representan riesgos significativos:
-
Exposición de datos: Un almacenamiento en la nube mal configurado
puede provocar la exposición inmediata de datos corporativos confidenciales. -
Incumplimiento de las normas: Las prácticas de cifrado deficientes
pueden resultar en infracciones de normativas como el RGPD o estándares como
HIPAA o MASVS. -
Impacto financiero: El coste medio de una filtración de datos es de
4,88 millones de dólares por incidente, siendo la vulneración de
credenciales y la configuración incorrecta de la nube los vectores de ataque
iniciales más frecuentes.
Fuente:
Zimperium I y II