Apps filtran datos confidenciales

Apps filtran datos confidenciales

Comparte este contenido:

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp
Share on email
Email
  • Muchas aplicaciones populares de Android filtran datos confidenciales, dejando a millones de consumidores en riesgo.
  • Las aplicaciones Android podrían estar revelando tus secretos: Un estudio de la consultora móvil NowSecure reveló que el 70% de las 250 aplicaciones más populares tienen fugas de información sensible, como nombres de usuario y correos electrónicos.
  • Multan a La Liga de Fútbol de España por utilizar la aplicación oficial para espiar a los usuario.

Chicago, EE.UU. 12 junio, 2019. La mayoría de nosotros operamos bajo el supuesto de que las aplicaciones de nuestros teléfonos son seguras y que podemos usarlas para realizar las tareas para las que fueron diseñadas sin ponernos en riesgo. Una nueva investigación realizada por la empresa de seguridad de aplicaciones móviles NowSecure sugiere que ese no es el caso. La compañía probó las 250 aplicaciones Android más populares disponibles en la tienda Google Play Store y descubrió que el 70% de ellas sufrían vulnerabilidades que podían dejar expuestos los datos confidenciales de los usuarios. Los hallazgos sugieren que millones de usuarios de Android podrían estar en riesgo.

Los resultados muestran que las vulnerabilidades están muy extendidas en casi todas las categorías de aplicaciones. Sin embargo, las aplicaciones del retail de ventas online son las que se encuentran entre las más vulnerables. El 92% de todas las aplicaciones de venta al por menor en línea y más de cuatro de cada cinco aplicaciones de tiendas físicas están filtrando activamente información confidencial de los clientes, según NowSecure. Lo preocupante es que una de cada seis aplicaciones sufre de lo que la compañía de seguridad clasifica como vulnerabilidades de “alto riesgo”.

Una de esas aplicaciones que se descubrió que filtraba información de los clientes pertenecía a Kohl’s, una de las principales tiendas por departamentos de Estados Unidos. La prueba de NowSecure de la aplicación Kohl’s, realizada en el cuarto trimestre de 2018, encontró 17 vulnerabilidades y riesgos de privacidad en el servicio. Los investigadores descubrieron que la aplicación transfería datos sensibles en texto plano, lo que abría la posibilidad de que un atacante pudiera identificar y rastrear a un usuario o interceptar su información personal. Desde entonces, Kohl’s ha reparado las vulnerabilidades y ya no se cree que esté exponiendo los datos de los usuarios.

Se descubrió que BuyVia, una popular aplicación de compras en línea que tenía más de un millón de descargas, tenía 15 vulnerabilidades. Se descubrió que estaba filtrando información de identificación personal que podía ser interceptada por alguien con malas intensiones y utilizarla en ataques de phishing. La aplicación BuyVia ya no está disponible en Google Play Store.

Fuera del retail, la categoría viajes ocupó el segundo lugar en cuanto a la tasa de vulnerabilidad. NowSecure descubrió que dos de cada tres aplicaciones de viajes (67%) están filtrando información de los clientes. Porque las aplicaciones de viaje pueden contener una amplia gama de información sensible, incluyendo información sobre pasaportes, métodos de pago y formas de identificación. Una app en la categoría que NowSecure reveló que tiene problemas fue AirAsia. La aplicación para la aerolínea internacional de bajo costo con sede en Malasia presentó 11 vulnerabilidades, entre ellas una que la hacía altamente susceptible a ataques del tipo MITM (man-in-the-middle – “ataque de intermediario”) que permitirían a un actor malicioso interceptar la información de los usuarios. NowSecure advirtió que la información altamente confidencial podría ser expuesta por estas fallas de seguridad. Más de un millón de personas han instalado la aplicación AirAsia en sus dispositivos y podrían estar en riesgo.

¿Quién lo está observando?

Con la llegada de la GDPR (General Data Protection Regulation) y las configuraciones de privacidad, usted supondría que tendría más control sobre sus datos que nunca. Pero a pesar del conocido mensaje del sitio que pregunta si está dispuesto a aceptar cookies, muchos no se dan cuenta de lo que esto implica – y puede ser difícil hacer un seguimiento de los datos que usted ha dado.

Una nueva herramienta de vpnMentor, expertos en seguridad en línea, resalta los datos que diferentes sitios web importantes tienen sobre usted, tal y como se enumeran en sus políticas de privacidad. Con más de 7.200 millones de cuentas en todos los servicios estudiados, incluyendo plataformas como Google, Facebook, Amazon y Tinder, ¿cuántos conocen los detalles más precisos de las políticas de privacidad que muchos aceptan automáticamente?

Sus datos, pero con las reglas de ellos

Aunque es poco probable que sorprenda que los sitios a los que te usted se ha suscrito se queden con los datos que les ha entregado, para muchos sitios esto no es todo lo que rastrean. Dado que Facebook e Instagram son que encabezan la lista, aparentemente rastreando todo lo que pueden sobre sus usuarios, ¿es hora de que pensemos dos veces sobre lo que estamos aceptando dentro de los términos y condiciones? Algunos de los detalles sorprendentes que se han rastreado incluyen:

  • Ubicación – De los 21 servicios del estudio, 18 siguieron la ubicación actual de los usuarios en todo momento cuando se utilizó la aplicación. Algunos de ellos, como Tinder, continúan haciendo un seguimiento incluso cuando la aplicación no está en uso, mientras que Facebook e Instagram no sólo hacen un seguimiento de la ubicación de los usuarios, sino que también de la ubicación de empresas y personas cercanas, además de guardar la dirección de la casa de los usuarios y las ubicaciones más visitadas.
  • Sus mensajes – ¿Piensa que nadie verá nunca sus mensajes privados? Piénsalo de nuevo. Tanto Facebook, LinkedIn como Instagram utilizan la información que comparte en sus servicios de mensajería para obtener más información sobre usted, mientras que Twitter y Spotify declaran abiertamente que tienen acceso a cualquier mensaje que envíe en sus plataformas.
  • Información de dispositivos – aparentemente inofensiva, pero muchos servicios y aplicaciones rastrean más información de su dispositivo de lo que parece necesario. Facebook e Instagram, por ejemplo, rastrean el nivel de la batería, la intensidad de la señal, los puntos Wi-Fi cercanos y las antenas de telefonía, los nombres de aplicaciones y archivos de su dispositivo y mucho más. Mientras tanto, Google y Amazon Alexa conservan las grabaciones de voz de las búsquedas, y Apple Music realiza un seguimiento confuso de las llamadas telefónicas realizadas y los correos electrónicos enviados y recibidos en los dispositivos en los que se utiliza el servicio.

¿No tiene un perfil?

Además, incluso si no tiene una cuenta con estos servicios, esto no impedirá que tus movimientos en línea sean rastreados. Google realiza un seguimiento de su actividad en sitios de terceros que utilizan funciones de Google como los avisos, mientras que los socios de Facebook (8,4 millones de sitios en toda la web) envían datos tanto de ellos como de Instagram recopilados a través de herramientas empresariales de Facebook como el botón “Me gusta”, independientemente de que tenga o no una cuenta de Facebook o de que haya iniciado sesión.

Y para aquellos de nosotros que hemos tomado la acción de configurar la opción “No rastrear” ofrecida por algunos navegadores, que fue creada para detener los sitios que rastrean su información, esto tampoco le ayudará. Casi ningún sitio importante responde a la configuración dada, en lugar de ello continúa siguiéndole la pista a pesar de todo. De hecho, no sólo se trata de sitios de terceros de los que estas empresas almacenan sus datos, sino que Facebook también guarda todos los datos que otros proporcionan sobre usted, incluso si suben su información de contacto sin su permiso.

El experto en seguridad en Internet Gaya Polat, de VPNmentor, dijo “la cantidad de datos que se mantienen en línea sobre los usuarios debería hacerlos desconfiar del uso que se hace de sus datos personales. Aunque la mayoría de este uso de datos es benigno o necesario para que los servicios funcionen, saber qué compañías tienen qué datos sobre usted es la única manera de rastrear su privacidad y cuán seguro usted realmente se encuentra”.

“Recomendamos que debe leer siempre la política de privacidad para asegurarse de que sabe lo que está aceptando al registrarse, pero esperamos que este proyecto le dé una idea de lo que implica todo esto”, concluyó Polat.

Multan a La Liga de Fútbol de España por utilizar la aplicación oficial para espiar a los usuarios

La Liga Nacional de Fútbol Profesional (LFP) de España, más conocida como LaLiga, fue multada con 250.000 euros por la Agencia Española de Protección de Datos (AEPD) por utilizar, a través de su aplicación oficial, el micrófono y la geolocalización del equipo de los usuarios para detectar transmisiones ilegales de los partidos. ESET Latinoamérica, compañía especializada en detección proactiva de amenazas, analiza el caso en el que los usuarios que descargaron la aplicación pueden operar como espías de LaLiga.

Al instalar la aplicación, la misma solicita permisos para acceder al micrófono y al sistema de geolocalización. De esta manera, cuando el usuario está en un lugar público, como puede ser un bar o un café, el micrófono del teléfono móvil se activa y es utilizado para analizar el sonido ambiente del entorno, el cual es contrastado con la base de datos para determinar si el audio corresponde a un partido cuyos derechos de reproducción son propiedad de LaLiga. Además del micrófono, la aplicación utiliza el sistema de geolocalización del equipo para ubicar el local desde el que se retransmite el partido y comprobar si se trata de un cliente. En caso de que no lo sea y que la emisión del partido sea ilegal, la entidad propietaria de los derechos de reproducción de los partidos ha llegado a enviar inspectores a los bares para comprobar que sean abonados.

ESET - Multan a La Liga de Futbol de Espana por espiar a los usuarios

Sin embargo, para la AEPD la forma en que LaLiga informa a los usuarios acerca de esta funcionalidad no ha sido clara. Por otra parte, la función que permite hacer un registro sonoro del entorno donde se encuentra el usuario es algo que la AEPD entiende como una recopilación de datos personales, lo cual obliga a LaLiga a comunicar esto al usuario al momento de instalar la aplicación y también en el instante en que se llevará adelante el proceso de recolección de datos, según publica eldiario.es.

La Agencia considera que la liga también ha incumplido con el artículo 7.3 del Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés), el cual indica que se debe facilitar al usuario una opción para que cuando así lo desee pueda retirar su consentimiento para que sus datos personales se utilicen de esta forma.

Desde LaLiga están en desacuerdo con los argumentos expuestos por la AEPD y consideran que no han incurrido en ninguna falta. En este sentido, aseguraron a eldiario.es que la tecnología que emplea la aplicación está diseñada para utilizar solamente un espectro de la frecuencia sonora en la que es imposible reconocer la voz humana. Asimismo, el dispositivo transforma esa porción de la frecuencia en un código alfanumérico que se contrasta con un código original de la señal de emisión. Todo esto se realiza en menos de un segundo, sin que la señal que registra el micrófono se grabe y/o almacene, por lo que no existe tratamiento de datos personales.

Desde el organismo propietario de los derechos del fútbol de España agregan también que para que la función del micrófono esté activa, el usuario debe demostrar su consentimiento de manera explícita y en dos ocasiones, y que aquellos que no presten el consentimiento aun así podrán utilizar la aplicación sin limitación.

“El desarrollo de la tecnología provee a las empresas de herramientas para enfrentar problemas que pueden afectarlas, como en este caso la piratería. Sin embargo, siempre debe mantenerse el equilibrio. Por un lado, se debe garantizar la privacidad de los usuarios a la hora de implementar nuevas características en las aplicaciones y productos; mientras que por otra parte los usuarios debemos ser conscientes de las posibilidades que ofrece la tecnología y estar atentos a lo que instalamos en nuestros dispositivos”, opina el jefe del laboratorio de ESET Latinoamérica, Camilo Gutiérrez. En este sentido, “una rápida auditoria de los permisos que piden las aplicaciones nos puede dar una idea de funcionalidades adicionales que tiene la aplicación”, agregó.

La investigación comenzó hace aproximadamente un año atrás y recién ahora la AEPD emitió su veredicto, según explica El Confidencial. A su vez, el medio afirma que esta funcionalidad será retirada de la aplicación oficial previo al inicio de la próxima temporada, aunque desde LaLiga aseguran que esto no tiene que ver con la sanción, sino a que vence el contrato con el proveedor y no renovarán dado que era algo experimental al igual que otras herramientas que utilizan para combatir la piratería.

“En un momento donde toda la tecnología está cada vez más interconectada, el cuidado de la información de los usuarios es cada vez más importante; y es precisamente a partir de conocer cómo funciona la tecnología que parte el cuidado, así como las posibilidades que ofrece y poder decidir qué estamos dispuestos a ceder a cambio de esa aplicación o servicio”, añadió Gutiérrez.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Infoweek Newsletter
Seminarium - CIG Salud
Banner 300x250 - montblanc - boligrafo-meisterstuck-diamond-de-la-linea-platinum-le-grand
Banner 250x250 - IFX

Eventos

diciembre 2020
abril 2021
mayo 2021
¡No hay eventos!
Banner FonoIP - telefonia para teletrabajo
Kimsa - desarrollo de software
Banner 300 - DuckDuckGo
Banner-Ubic8-300-Pallavicini
Banner Beurer BC85
BannerPropertyPartners300-buenas