En peligro los datos personales de las apps de contactos

Algunas de las principales aplicaciones online de citas utilizan un protocolo inseguro que transmite los datos de los usuarios sin cifrar, lo que los expone al peligro de dejarlos a la vista y a merced de cualquier usuario con un mínimo de conocimientos informáticos.

Estas apps se han instalado en miles de dispositivos en todo el mundo y este error de seguridad grave significa que los datos privados pueden llegar a ser interceptados, modificados y utilizados en ataques futuros, dejando a muchos de sus usuarios indefensos, según denuncia la empresa de seguridad informática Kaspersky Lab.

El hallazgo, según explica la empresa, se produjo tras analizar al detalle las aplicaciones populares de citas. Los expertos descubrieron que algunas, al utilizar el protocolo inseguro HTTP, transmiten datos de usuario sin cifrar porque utilizan SDK (Software Development Kit) publicitario “ready-to-go”.

Un SDK es un conjunto de herramientas de desarrollo de software, a menudo distribuidas de forma gratuita, que permite a los autores centrarse en los principales elementos de la aplicación, al tiempo que confían las otras funciones a los SDK listos para su uso. Los desarrolladores usan generalmente códigos de terceros para crear parte de la aplicación, ahorrando así tiempo al reutilizar las funcionalidades existentes.

Por ejemplo, los SDK publicitarios recopilan datos de los usuarios para mostrar anuncios que puedan ser relevantes, lo que ayuda a los desarrolladores a monetizar sus productos. Los kits envían datos del usuario a los dominios de las redes publicitarias populares para lograr una visualización de anuncios mucho más concreta, detallan en Kaspersky Lab.

Pero un análisis más profundo de las aplicaciones ha demostrado que los datos se envían sin cifrar y utilizando HTTP, lo que significa que no están protegidos cuando viajan por los servidores. Por culpa de esa ausencia de cifrado, los datos pueden ser interceptados por cualquiera, ya sea por usar una conexión Wi-Fi no protegida o un proveedor de servicios de Internet, o por la presencia de malware en el router de casa.

Pero hay un escenario aún peor: los datos interceptados pueden modificarse, lo que supone que la aplicación pueda llegar a mostrar anuncios maliciosos en lugar de anuncios legítimos. De esta forma, los usuarios pueden verse tentados a descargarse una aplicación promocionada, que a su vez se convertirá en malware y les pondrá en peligro.

El número de aplicaciones que utilizan estos SDK asciende a varios millones, y la mayoría de ellas transmite sin cifrar al menos uno de los siguientes datos: información personal, principalmente el nombre del usuario, edad y sexo; ingresos personales; el número de teléfono y la dirección de correo; información del dispositivo, como el nombre del fabricante, modelo, resolución de pantalla, versión del sistema operativo y nombre de la aplicación; o ubicación del aparato.

“Al principio pensamos que eran apenas algunos casos, pero el descuido en el diseño de las aplicaciones alcanza una dimensión abrumadora. Millones de aplicaciones incluyen SDK de terceros, exponiendo datos privados que pueden ser interceptados fácilmente y modificados, lo que se deriva en infecciones de malware, chantajes y otros vectores de ataque en sus dispositivos altamente efectivos”, explica Roman Unuchek, analista de seguridad en Kaspersky Lab.

Para evitar problemas, los autores de la investigación aconsejan a los usuarios, entre otras cosas, verificar los permisos de las aplicaciones, no dar acceso a algo si no se entiende el motivo y no proporcionar la ubicación, ya que la mayoría de las aplicaciones no la necesitan para su funcionamiento normal.