¿Qué peligros tienen las aplicaciones para móviles?

Los teléfonos inteligentes se han convertido en una de las principales puertas de acceso al mundo digital y gracias a las apps pueden usarse un gran número de servicios, muchos de ellos gratuitos y populares por su utilidad u originalidad. No obstante, según recoge el informe Los riesgos de las apps en el entorno corporativo realizado por expertos del área de I+D+i Seguridad de Barcelona Digital, la utilización de una aplicación en nuestro dispositivo móvil puede constituir un elemento de riesgo capaz de comprometer la seguridad de la información que genera y almacena.

El documento ha identificado los riesgos y sus causas, mostrando ejemplos de algunas de las apps más populares como Twitter, Facebook o Whatsapp, así como de la forma de prevenirlos y mitigarlos a través de unas sencillas recomendaciones. Según los datos, es común que algunas apps comercialicen información de un usuario obtenida de forma inadvertida a partir del dispositivo móvil donde se ha descargado. Esta información posee un gran valor, puesto que pone de manifiesto hábitos, gustos y preferencias que definen el perfil social del usuario. Cuando esta apropiación indebida de información se realiza a través de un móvil corporativo se entra en la esfera profesional incluyendo contactos, mensajes, correos electrónicos, relaciones profesionales, proyectos, pensamientos, etc. que pueden comprometer la competitividad de la empresa propietaria del dispositivo.

Entre los riesgos asociados a la descarga y uso de aplicaciones en dispositivos móviles corporativos, se han identificado la apropiación indebida de la información, el abuso o “secuestro” del dispositivo y el incumplimiento legal y normativo. Únicamente el 61% de las 150 apps más descargadas tienen una política de privacidad clara donde se específica para qué y en qué condiciones va a ser utilizada nuestra información. Además, las apps que tienen una política de privacidad establecida presentan habitualmente contratos de licencia muy extensos que raramente nadie lee en su totalidad pero que generalmente se aceptan. Estos contratos están normalmente redactados para definir un entorno de actuación que beneficia claramente a los objetivos y fines de quien explota la app, en detrimento de los derechos de privacidad del usuario. El usuario de las apps normalmente tiene una falsa sensación de protección frente a temas de seguridad y privacidad, pensando a menudo que estas condiciones de uso siguen los principios y recomendaciones de la legislación vigente y aplicable en estas cuestiones. Sin embargo, al amparo de una legislación diferente, concretamente la Patriot Act en EE.UU y unas condiciones de uso aceptadas explícitamente por el usuario, se podría permitir a los propietarios de las apps almacenar una gran cantidad de información sobre cada uno de nosotros.
Otro riesgo, es el abuso del dispositivo sin que el usuario sea consciente de ello, como por ejemplo en caso de espionaje o de secuestro del terminal: algunas apps pueden ser creadas con motivaciones fraudulentas, y atacar directamente a nuestro terminal para apoderarse de él. Una vez queda bajo el control del atacante, el dispositivo puede verse involucrado sin el conocimiento del usuario en actividades delictivas, como el robo de información o ataque a otros sistemas informáticos.
Como ejemplos de algunas preocupaciones vinculadas a las apps más populares el informe señala el acceso a toda la lista de contactos, que se copia en un servidor externo (en el caso de Whatsapp), que todos los contenidos subidos a la red social Facebook se convierten de forma automática en propiedad del prestador de servicio, o que el intercambio de mensajes breves con acortadores de url a través de Twitter hace que no tengamos referencia semántica de la web dónde nos dirigimos cuando pulsamos en un enlace de este tipo.

Recomendaciones
Aunque muchos usuarios ya son conscientes de las amenazas de seguridad debido al uso de las apps, es necesaria una mayor concienciación sobre los riesgos derivados de la descarga de aplicaciones en dispositivos móviles corporativos. Entre la decena de recomendaciones proporcionadas por los expertos en Seguridad Informática de Barcelona Digital que han realizado el informe, destacan:
1. Seguir las reglas de seguridad establecidas por los responsables de Tecnologías de la Información de la empresa, en cuanto a normas de seguridad en el uso del dispositivo móvil corporativo, o bien buscar el asesoramiento especializado de un experto.
2. Usar siempre la tienda de aplicaciones oficial del dispositivo.
3. Revisar qué permisos solicitan las apps al instalarse y que estos sean apropiados para la función que va a desempeñar.
4. Configurar los niveles de privacidad que la aplicación permite.
5. Revisar la configuración de geolocalización, y verificar si es necesario o no que esté siempre activada.
6. En aplicaciones de redes sociales, no abrir enlaces que provengan de usuarios desconocidos, especialmente cuando estos van en forma de enlaces cortos.
7. No compartir contraseñas ni información sensible a través de apps.
8. Mantener actualizado el Sistema Operativo.
9. Mantenerse informado de las últimas amenazas existentes.
10. Tener en cuenta que lo que se comparte por una red social queda permanentemente compartido.