BACKGROUND IMAGE: iSTOCK/GETTY IMAGES

Este contenido es parte de Guía Esencial: Guía esencial de colaboración y movilidad empresarial
Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

¿Es la recolección de datos de las aplicaciones móviles una mayor amenaza que el malware móvil?

Un informe encontró que si bien el malware móvil recibe más atención, la recopilación de datos que hacen las apps móviles plantea un mayor riesgo.

A medida que los cada vez más poderosos teléfonos inteligentes y otros dispositivos móviles se han infiltrado en los entornos empresariales en los últimos años, los profesionales de seguridad a menudo han temido el correspondiente aumento en el malware móvil, similar a lo que fue presenciado en el paisaje de PC hace más de una década. Pero, de acuerdo con un informe reciente, esas preocupaciones en gran parte no se han realizado, ya que la recopilación de datos que hacen las aplicaciones móviles presenta un riesgo mucho mayor para las empresas y usuarios.

El informe sobre la reputación de las aplicaciones móviles, publicado este mes por el proveedor de análisis de aplicaciones Appthority, detalló la recogida generalizada de datos por las actuales top 100 aplicaciones gratuitas y las 100 mejores aplicaciones de pago, tanto en las plataformas móviles Android como iOS. Appthority recogió los datos para el reporte mediante la ejecución de análisis de aplicaciones estática, dinámica y de comportamiento contra todas las 400 aplicaciones en un entorno de prueba.

Entre las aplicaciones gratuitas de Android, 88% de las top 100 aplicaciones disponibles en la tienda Google Play recopila datos de los identificadores únicos de dispositivos (UDID) o IMEI, mientras que 82% realiza algún tipo de rastreo de la ubicación y 30% accede a las libretas de direcciones de los usuarios. Aunque Apple a menudo promociona iOS como una alternativa a Android más segura y orientada a la privacidad, las estadísticas de Appthority no son mucho más halagadoras para la plataforma. Más de la mitad de las principales 100 aplicaciones gratuitas en la App Store se dedican al mismo rastreo de UDID y ubicación, y el 26% también accede a las libretas de direcciones de los usuarios.

Incluso cuando los usuarios pagan por aplicaciones, la empresa encontró que la recopilación de datos aún estaba muy extendida. De las 100 mejores aplicaciones pagadas de Android, por ejemplo, 65% aún utilizaba detalles UDID, 49% recolectaba datos de ubicación y 14% accedía a las libretas de direcciones. Por el lado de iOS, el 28% utilizaba UDIDs, 24% recolectaba datos de localización y 8% accedía a las libretas de direcciones.

En comparación, de las 400 aplicaciones analizadas, Appthority no encontró un solo caso de malware móvil. Solo 0.4% de todas las aplicaciones en entornos empresariales contienen malware, señaló la empresa, ya que Apple mantiene un estricto proceso manual de revisión de seguridad para todas las aplicaciones que entran en la App Store de iOS y Google emplea una variedad de tácticas para revisar las aplicaciones de Google Play en busca de malware.

"Todo el mundo sabe acerca del malware móvil", dijo el presidente de Appthority, Domingo Guerra, en una entrevista, "pero no todo el mundo sabe acerca de estos temas”.

Riesgos de la recolección de datos

Guerra dijo que la recolección de datos de las aplicaciones móviles expone a las empresas y usuarios a una serie de riesgos que pueden no ser evidentes inicialmente. Por ejemplo, si un usuario sincroniza su cuenta de Outlook corporativa con un teléfono inteligente personal, ese dispositivo puede ahora tener acceso a una extensa libreta de direcciones que contiene los datos de contacto para una variedad de figuras importantes en el negocio. Si una aplicación que recopila información de la libreta de direcciones se ve comprometida, los atacantes podrían tener la información necesaria para enviar spam a los teléfonos de oficina de esos contactos, reunir detalles de acceso telefónico para llamadas confidenciales de la empresa, leer los archivos adjuntos en un calendario y más.

La mayoría de las organizaciones que no pertenecen al gobierno no se preocupan demasiado por los datos de rastreo de la localización, dijo Guerra, aunque si los atacantes pueden deducir la ubicación de los ejecutivos clave, pueden utilizar potencialmente esa información para predecir las fusiones o adquisiciones con base en las visitas a las empresas pertinentes. Guerra también señaló el famoso incidente en el que un soldado estadounidense compartió una foto en Twitter de sí mismo llegando a una base en Irak. La imagen incluye detalles de la ubicación a través de geotagging, dijo, lo que llevó a los insurgentes a lanzar un ataque con morteros en la ubicación exacta y a la destrucción de los helicópteros en la base.

Y si bien este comportamiento de las aplicaciones móviles es por sí mismo un motivo de preocupación, Guerra dijo que el destino final de gran parte de los datos recogidos plantea un riesgo igualmente grande: redes de anuncios. El reporte encontró que entre las aplicaciones gratuitas, 71% en la plataforma Android y 32% en iOS permitían a redes de anuncios recoger datos. Incluso entre las aplicaciones de pago, 38% en Android y 16% en iOS transferían datos a las redes de anuncios, y en tales casos, Guerra dijo que un usuario podía incluso no estar consciente de tales prácticas de recolección de datos fuera de una política de privacidad publicada en el sitio web de un desarrollador.

La prevalencia de las redes de publicidad móvil plantea múltiples riesgos, según Guerra. Los propios atacantes pueden hacerse pasar por redes de anuncios y recoger datos del usuario directamente, comprometer el kit de desarrollo de software de una red de publicidad e infiltrarse en una aplicación, o simplemente apuntar a la potencialmente vasta recolección de datos que se almacena en docenas de redes de anuncios en todo el mundo.

"Por lo tanto, desde la perspectiva de un desarrollador, cuantos más datos guardemos, más nos volvemos un objetivo, y ese es sin duda el caso de las redes de publicidad", dijo Guerra. "Ahora eso está agravado por el hecho de que la mayoría de aplicaciones que tienen una red de publicidad tienen más de una, por lo que incluso los propios desarrolladores podrían no saber dónde van a acabar todos estos datos. Desde la perspectiva de un atacante, ni siquiera se trata de encontrar la red de anuncios más populares de la red –se trata de encontrar la red de anuncios más débil, la cual todavía va a tener una gran cantidad de datos“.

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close