Una visión actual de las vulnerabilidades en aplicaciones móviles
Ciudad de México, abril 2020 – En cuestión de semanas, el mundo ha tenido que reinventarse. Ahora las reuniones de negocios son virtuales, las familias se comunican a través de videollamadas y los amigos organizan fiestas en aplicaciones. Por supuesto, las populares herramientas de mensajería instantánea como Facebook Messenger, WhatsApp o Telegram también ofrecen videollamadas. ¿Pero, qué tan seguro se encuentra el usuario?
Debido al COVID-19 y al aislamiento social en todo el mundo, la descarga y el uso de aplicaciones ha aumentado en las últimas semanas. Sin embargo, esto ha traído profundas preocupaciones a las empresas. Recientemente se ha demostrado que las aplicaciones de videoconferencia y entretenimiento, que son las más descargadas por los usuarios, tienen varias brechas de seguridad.
Vulnerabilidades en videoconferencias
Entre las diversas prácticas de piratería, una que se ha vuelto muy popular es el “bombing “, que consiste en invadir una reunión pública, o incluso privada, que se realiza a través de la plataforma de videoconferencia, para transmitir videos inapropiados, pornografía u otro contenido dañino. Del mismo modo, la entrega de datos por parte de los usuarios a redes sociales como Facebook con fines publicitarios se ha convertido en una amenaza, incluso para aquellos sin una cuenta en las redes sociales. Incluso en plataformas como LinkedIn, los usuarios también se conectan sin su consentimiento.
Falla de seguridad en aplicaciones de entretenimiento
En algunas de las aplicaciones más populares del mundo para crear y compartir videos cortos como Tik Tok, se ha evidenciado una falla de seguridad que permite a los ciberdelincuentes manipular datos (agregar / eliminar videos), cambiar la configuración de privacidad del usuario y extraer datos personales (nombre completo, dirección de correo electrónico, etc.) almacenados en estas cuentas. Todo esto gracias al hecho que se envía un enlace de descarga a cada nuevo usuario por SMS y, después de esto, deben ingresar su número de teléfono. Como resultado, los piratas informáticos pueden hacerse pasar por la identidad de la aplicación y enviar un SMS falso con un enlace malicioso. Cuando el usuario hace clic, le permite al cibercriminal obtener la cuenta de la aplicación mencionada y manipular su contenido eliminando archivos, cargando videos no autorizados y haciendo público el contenido privado u oculto del usuario.
“Hoy, los cibercriminales han creado aplicaciones que pueden infectar teléfonos y dispositivos móviles con programas maliciosos. Si el teléfono envía mensajes de correo electrónico o mensajes de texto que el usuario no escribió, o instala aplicaciones que no descargó, podría ser señal de que está frente a un programa malicioso “, dijo Dean Coclin, Director Senior de Desarrollo de Negocios en Digicert.
Mantenerse alerta es lo más importante
El objetivo de algunas aplicaciones móviles no es ofrecer funciones interesantes, sino una excusa para instalar virus en el dispositivo, acceder a la información y convertirse en un control remoto. Por esta razón, se debe tener especial cuidado al descargar e instalar aplicaciones, especialmente si provienen de fuentes desconocidas. Por lo tanto, DigiCert, Inc. ofrece algunos consejos a tener en cuenta:
1. Verifique las calificaciones y opiniones de otros usuarios. Úselos como guía antes de descargar una aplicación. Si hay comentarios negativos, es importante revisar los motivos e investigar sus causas, ya que esto puede evitar algunos problemas de seguridad.
2. Revise los permisos y los datos solicitados. Si la información solicitada es más que necesaria, se recomienda descartar la aplicación y buscar otra, ya que podría estar dando acceso a datos personales, como fotos o contactos.
3. Los desarrolladores siempre aparecen directamente debajo del título de la aplicación. Naturalmente, los nombres de compañías conocidas ofrecen seguridad (una vez que se ha verificado su autenticidad), pero debe prestar atención al descargar productos de desarrolladores con los que no está familiarizado. Un buen consejo es visitar el sitio web oficial. Algunas compañías incluyen enlaces en sus descripciones, aunque es más seguro buscarlos manualmente sin hacer clic en el enlace.
4. Mira la cantidad de descargas que ha tenido una aplicación. En muchos casos, una estimación aproximada es suficiente para identificar si es el producto auténtico o no. Instagram, por ejemplo, es una de las aplicaciones de Google más populares y tiene más de 1,000,000,000 de descargas. Si la tienda le ofrece una versión con menos clientes, seguramente es una imitación.
5. Los certificados digitales son compatibles con los sistemas operativos de teléfonos inteligentes móviles como Apple iOS®, Android y otros. También ofrecen ventajas únicas sobre otras tecnologías de credenciales, como las contraseñas. Un solo certificado digital puede proporcionar una mayor funcionalidad y acceso a muchas aplicaciones donde se pueden requerir múltiples contraseñas de diferentes requisitos. Los certificados no solo son reconocidos por la industria como la principal credencial de seguridad; se prueban con décadas de uso y evolución. Además, los certificados se pueden utilizar para soporte interno para asegurar muchas aplicaciones en dispositivos móviles.
6. La plataforma DigiCert PKI proporciona una solución en su clase para proteger dispositivos móviles utilizando credenciales de certificado digital. Con soporte interno para dispositivos móviles y una amplia variedad de asociaciones con socios líderes de Enterprise Device Management, como MobileIron, AirWatch, Fiberlink y Zenprise; La plataforma DigiCert PKI proporciona una solución óptima para administrar la seguridad del contenido en dispositivos móviles.
“A medida que estos dispositivos continúan evolucionando y reflejan o incluso reemplazan la funcionalidad en las computadoras de escritorio, las empresas confiarán en la plataforma PKI DigiCert para proporcionar las credenciales de seguridad necesarias para garantizar que estos dispositivos sean confiables, sus datos estén protegidos y el dispositivo esté disponible para su uso por su usuario legítimo“, concluyó Dean Coclin.