La Información de Identificación Personal (PII), datos financieros, información médica, credenciales de cuentas, propiedad intelectual: todos estos tipos de datos sensibles tienen en común la necesidad de un control estricto sobre quién puede acceder a ellos, independientemente de si pertenecen a usted o a su organización.
Y, claro, puede que esté siguiendo las mejores prácticas, pero ¿qué pasa con las aplicaciones que usted o sus empleados usan? Con la creciente dependencia de los dispositivos móviles en las actividades diarias, tanto profesionales como personales, y especialmente con muchas empresas que optan por una política BYOD (trae tu propio dispositivo), es fundamental saber cómo estas aplicaciones podrían comprometer su privacidad y datos corporativos sensibles.
Nunca ha habido tanto en juego. Solo en 2024, más de 1.700 millones de personas vieron comprometidos sus datos personales, un asombroso aumento del 312% respecto a los 419 millones de 2023, lo que provocó una pérdida financiera total estimada de 280.000 millones de dólares. A medida que los dispositivos móviles se convierten en la principal puerta de entrada a los servicios digitales, también representan una creciente superficie de ataque para la fuga y las filtraciones de datos.
El equipo de investigación en Zimperium, realizó un análisis exhaustivo de aplicaciones móviles para comprender el alcance y la gravedad de estos riesgos. Analizaron 54.648 aplicaciones de trabajo (9.078 para Android y 45.570 para iOS) de las tiendas de aplicaciones oficiales. Los hallazgos son alarmantes y resaltan la necesidad crucial de una verificación exhaustiva de las aplicaciones en entornos empresariales.
Entendiendo las Fugas de Datos en Aplicaciones Móviles
Las fugas y filtraciones de datos ocurren cuando un agente no deseado obtiene acceso a datos confidenciales. Si bien estos términos pueden usarse indistintamente en muchos casos, generalmente se dice que las fugas de datos ocurren cuando información confidencial se expone involuntariamente al público, ya sea en tránsito, en reposo o en uso. A diferencia de las filtraciones de datos, que suelen ser resultado de intentos de intrusión externa, las fugas de datos a menudo se deben a negligencia, prácticas de seguridad deficientes o procesos inadecuados de gestión de datos dentro de las propias aplicaciones.
Servicios en la nube: Un arma de doble filo
La integración en la nube se ha vuelto omnipresente en el desarrollo de aplicaciones móviles, y el 62% de las aplicaciones analizadas utilizan algún tipo de API o SDK en la nube. Si bien los servicios en la nube ofrecen escalabilidad y comodidad, también presentan riesgos significativos si se implementan incorrectamente:
- Se detectaron 103 aplicaciones de Android que utilizaban almacenamiento en la nube desprotegido o mal configurado, y 4 de ellas se encontraban entre las 1.000 más populares de la Play Store. En algunos casos, los índices de archivos y directorios son visibles para todo el mundo, mientras que en otros, se podía acceder al contenido completo de los repositorios sin credenciales. Existen sistemas que escanean continuamente los directorios de los proveedores de la nube para encontrar estos repositorios desprotegidos y robar los datos, que luego pueden venderse, utilizarse para el robo de identidad, para chantajes o campañas de pesca submarina, y para una infinidad de otros fines nefastos.
- Diez aplicaciones de Android contenían credenciales expuestas a los servicios en la nube de AWS, lo que abrió la puerta a atacantes para acceder a datos empresariales confidenciales. Estas credenciales podían utilizarse tanto para leer los datos como, en el peor de los casos, para escribir en ellos, creando registros falsos o eliminándolos/encriptándolos y exigiendo un rescate sin necesidad de ejecutar un ataque de ransomware tradicional. Las credenciales en la nube codificadas de forma rígida hacen que los datos sean vulnerables a filtraciones y manipulaciones.
Las consecuencias de las configuraciones incorrectas en la nube pueden ser devastadoras. En un incidente reciente, uno de los fabricantes de automóviles más grandes del mundo sufrió una filtración masiva de datos que afectó a aproximadamente 260.000 clientes debido a un entorno de nube mal configurado. Este incidente demuestra cómo incluso las grandes corporaciones con importantes recursos de seguridad pueden ser víctimas de descuidos básicos de seguridad en la nube.
Debilidades criptográficas: Socavando las bases de la seguridad.
El cifrado de datos confidenciales es fundamental. Los datos sin cifrar o con un cifrado deficiente pueden explotarse de dos maneras.
- En tránsito: mediante un ataque de intermediario, por ejemplo, un atacante puede ver los datos que entran y salen de los servidores.
- En reposo: un atacante puede obtener permisos de lectura para un repositorio de datos; sin embargo, los datos correctamente cifrados son prácticamente inútiles para el atacante.
Los datos correctamente cifrados son inútiles para los atacantes, incluso si se interceptan en tránsito o se obtienen de un almacenamiento en la nube pirateado.
La investigación reveló que el 88% de todas las aplicaciones y el 43% de las 100 principales utilizan uno o más métodos criptográficos que no siguen las mejores prácticas. En algunos casos, se presentan fallas criptográficas de alta gravedad como:
- Claves criptográficas mediante hardcoding
- Uso de algoritmos obsoletos como MD2
- Generadores de números aleatorios inseguros (que potencialmente pueden explotarse para romper el cifrado)
- Reutilización de las mismas claves criptográficas
Estas vulnerabilidades crean oportunidades para que los atacantes intercepten, descifren y exploten datos confidenciales, lo que podría conducir al acceso no autorizado a los sistemas e información empresarial.
Los peligros ocultos del almacenamiento local de datos
El análisis de 54.648 aplicaciones de trabajo reveló patrones alarmantes en la gestión de datos confidenciales en dispositivos por parte de las aplicaciones móviles. Estos hallazgos resaltan los riesgos que existen incluso en las aplicaciones de las tiendas oficiales:
- El 6% de las 100 principales aplicaciones de Android escriben información personal identificable (PII) en el registro de depuración la consola. Esta práctica permite que otras aplicaciones con permisos de registro accedan a datos confidenciales, creando una exposición innecesaria para los datos del usuario. Los registros de la consola están diseñados para la depuración, no para almacenar información confidencial; sin embargo, muchos desarrolladores no eliminan ni protegen adecuadamente estas declaraciones de registro en las versiones de producción.
- El 4% de las 100 principales aplicaciones de Android escriben PII en un almacenamiento externo de datos, donde otras aplicaciones pueden acceder a ella o extraerla fácilmente si un dispositivo se ve comprometido. Todas las aplicaciones tienen acceso al almacenamiento externo por defecto, diseñado para ampliar la memoria del dispositivo y permitir que compartan información. Sin embargo, esta capacidad de compartir se convierte en una desventaja cuando se trata de información confidencial.
- Quizás lo más preocupante es que el 91% de las aplicaciones de Android almacenan información personal identificable (PII) en el almacenamiento local de datos. Aunque el almacenamiento local no se comparte entre aplicaciones, los datos permanecen allí en caso de que un atacante acceda al dispositivo. Si bien este problema es menos frecuente en iOS, aún aparece en algunas aplicaciones, lo que genera importantes problemas de privacidad y seguridad. Estos datos suelen incluir:
- Credenciales de usuario
- Tokens de autenticación
- Información personal
- Datos comerciales
Transmisión de datos: fuga silenciosa de datos
- La investigación reveló que el 31% de todas las aplicaciones y el 37% de las 100 principales envían información personal identificable (PII) a servidores remotos, a menudo sin el cifrado adecuado. Esta transmisión de datos se produce en segundo plano y los usuarios no suelen saber qué información se envía ni adónde se dirige.
- Aún más preocupante, varias aplicaciones, incluida una de Android entre las 50 principales (que abordaron en una entrada anterior del blog), que pueden exfiltrar secretamente datos de usuarios a servidores remotos.
Vulnerabilidades y filtraciones: la tormenta perfecta
La combinación de prácticas deficientes de almacenamiento local y la transmisión de datos insegura crea las condiciones perfectas para las vulneraciones de datos. El análisis reveló que el 62% de las 100 principales aplicaciones de Android presentan algún tipo de vulnerabilidad, lo que aumenta la posibilidad de un ataque que provoque una vulneración de datos. Entre los problemas figuran:
Problemas de gravedad media
- Escuchas de acciones del teclado que podrían utilizarse para el keylogging
- Exposición de contraseñas en texto plano en interfaces de usuario
Problemas de gravedad alta
- Vulnerabilidades de actividad implícita que podrían permitir a los atacantes obtener el contenido de los archivos a los que una aplicación tiene acceso. Si esta u otras aplicaciones han estado escribiendo información personal identificable (PII) u otra información del usuario en archivos locales, esto podría provocar una filtración de datos.
- Problemas con los permisos de datos del proveedor de contenido que pueden divulgar contenido a aplicaciones maliciosas en el mismo dispositivo. Este es un mecanismo integrado en las aplicaciones de Android para que las aplicaciones compartan datos, pero la configuración incorrecta de los permisos podría transmitir los datos del usuario a una aplicación maliciosa que posteriormente los exfiltra.
El impacto empresarial
Para todo tipo de organizaciones, estas vulnerabilidades criptográficas y en la nube representan riesgos significativos:
- Exposición de datos: Un almacenamiento en la nube mal configurado puede provocar la exposición inmediata de datos corporativos confidenciales.
- Incumplimiento de las normas: Las prácticas de cifrado deficientes pueden resultar en infracciones de normativas como el RGPD o estándares como HIPAA o MASVS.
- Impacto financiero: El coste medio de una filtración de datos es de 4,88 millones de dólares por incidente, siendo la vulneración de credenciales y la configuración incorrecta de la nube los vectores de ataque iniciales más frecuentes.
Fuente: Zimperium I y II