Hewlett Packard Enterprise revela los peligros de la recolección de datos de las aplicaciones móviles
México, abril 2016 – Hewlett Packard Enterprise (HPE) dio a conocer los resultados del Informe de seguridad de aplicaciones móviles de HPE de 2016, el cual revela que más de la mitad de las aplicaciones móviles recopilan cantidades alarmantes de datos. El estudio utilizó HPE Security Fortify on Demand para examinar más de 36,000 aplicaciones móviles para iOS y Android. El estudio reveló el impacto de la expansión en la recopilación de datos, además de proporcionar recomendaciones relativas para las organizaciones, los desarrolladores de aplicaciones móviles y las empresas para que puedan incorporar seguridad con la finalidad de proteger mejor sus datos.
A medida que las aplicaciones se hacen más presentes en el ambiente de trabajo, es esencial que las organizaciones comprendan las vulnerabilidades de seguridad en las aplicaciones móviles e implementen las mejores prácticas y políticas relativas a la seguridad móvil que se requieren para proteger la empresa digital actual. Los delincuentes cibernéticos están concentrándose en las plataformas móviles; en 2015, se detectaron más de 10,000 nuevas amenazas de Android al día y el crecimiento del malware para iOS presentó una tasa de crecimiento superior al 230%1.
“Las aplicaciones móviles modernas recopilan, transmiten y almacenan una amplia gama de datos que con frecuencia no son necesarios para la función de la aplicación y pueden tener un impacto significativo financiero y de reputación si se aprovecha de una vulnerabilidad”, señala Jason Schmitt (@raidschmitt), vicepresidente y director general de HPE Security Fortify, Hewlett Packard Enterprise. “Como los delincuentes informáticos están cada vez más interesados en la tecnología móvil, es fundamental que los desarrolladores incorporen desde el comienzo seguridad en las aplicaciones y que las organizaciones adopten un enfoque proactivo de seguridad de datos para proteger mejor tanto los datos corporativos como los datos personales”.
Principales conclusiones del informe
La mayoría de las aplicaciones detectan su ubicación, pero no todas necesitan hacerlo. Más del 50% de las aplicaciones analizadas acceden a los datos de ubicación geográfica2. Esto podría tener consecuencias graves si se produce un ataque, ya que el responsable por el ataque puede obtener acceso a la ubicación física de usuarios desprevenidos que de otra manera permanecerían anónimos. Si bien tiene sentido que una aplicación de tráfico detecte la ubicación del usuario, el estudio constató que más del 70% de las aplicaciones educativas de iOS también lo hacen. Esto es preocupante, ya que las aplicaciones educativas suelen tener una comercialización orientada hacia los niños.
Los juegos y las aplicaciones de pronóstico del tiempo recopilan datos del calendario. HPE constató que más del 40 % de los juegos y más del 50% de las aplicaciones de pronóstico del tiempo para iOS acceden a los datos del calendario. Los datos del calendario pueden ser especialmente confidenciales, ya que incluyen no solo fechas de reuniones, sino también temas e invitados.
Los marcos de anuncios y análisis ponen en peligro sus datos más confidenciales. La utilización de marcos de anuncios y análisis es común en el desarrollo de aplicaciones, y más del 60 % de las aplicaciones se examinan por medio de estos marcos. Un marco mal configurado o poco seguro podría almacenar o transmitir una cantidad significativa de datos altamente confidenciales y específicos sobre los usuarios.
Los métodos de registro pueden exponer los datos a terceros no autorizados. En las primeras etapas del desarrollo de aplicaciones, el registro puede ser fundamental para el proceso de corrección del código, pero una vez que una aplicación se ejecuta en el dispositivo de un usuario, se convierte en una importante vulnerabilidad de divulgación. Aproximadamente el 95% de las aplicaciones analizadas incluyen métodos de registro.
Recomendaciones para el uso seguro de las aplicaciones móviles
Las aplicaciones móviles llegaron para quedarse, y los desarrolladores, las organizaciones y los consumidores deben estar conscientes de cómo esto afecta la seguridad de los datos personales y corporativos. Para permitir un seguro desarrollo y uso de las aplicaciones móviles, HPE recomienda lo siguiente a las empresas y a los consumidores:
Empresa:
Incorpore seguridad: comience por un código seguro. La manera más segura de proteger las aplicaciones móviles consiste en desarrollar un código seguro desde el comienzo y realizar pruebas de seguridad frecuentes a partir de la primera etapa. Incorporar la seguridad al proceso de desarrollo es significativamente menos costoso que agregarla a aplicaciones móviles que ya se encuentran en la etapa de producción.
Implemente análisis automatizados y pruebas de penetración. Las organizaciones deberían crear un enfoque holístico para sus programas de seguridad, incluyendo análisis de las aplicaciones y pruebas de penetración. Los análisis automatizados ayudan a identificar los errores simples y complejos relativos a la seguridad de la aplicación móvil, mientras que las pruebas de penetración pueden determinar las vulnerabilidades más importantes.
Consumidor:
Seleccione sus aplicaciones de forma sensata. Si una aplicación pretende tener acceso a información que no debería necesitar o que usted no comprende, no la utilice. Esto podría exponer toda su información, desde los datos de los contactos hasta los datos de ubicación geográfica, que podrían no ser necesarios para el funcionamiento de la aplicación.
Desconfíe de las aplicaciones que almacenan grandes cantidades de datos. Evite usar las aplicaciones que parecen almacenar localmente una gran cantidad de datos o que tienen acceso a datos innecesarios.
Metodología
La metodología completa se expone de forma detallada en el informe. Hay disponible información adicional sobre HPE Security Fortify on Demand y otras soluciones y servicios de HPE Security en este link.