Compartir en:

Casi el 100% de las aplicaciones tienen algún agujero (y la mayoría más de 10)

Piensa en todas las ‘apps’ que tienes instaladas en tu teléfono móvil. Se actualizan constantemente gracias a las tiendas oficiales. Está bien, ¿no? Sin embargo, esto no es necesariamente sinónimo de que todo funcione a la perfección. Aunque las aplicaciones parezcan cien por cien seguras, un reciente estudio ha concluido que siempre (o más bien casi siempre) existe algún agujero por el que un ciberatacante podría intentar colarse en nuestros ‘smartphones’.

De acuerdo al 2017 Global Security Report de la compañía Trustware, el 99,7 % de las aplicaciones que analizaron en 2016 tenían, al menos, una vulnerabilidad, aunque la media se encontraba en 11. La cosa no habría hecho sino empeorar, ya que en 2015 eran un 96,8 % las afectadas, un dato que venía a mejorar el 98 % de 2014. También en 2015, la media de agujeros por ‘app’ era de 14, así que por lo menos en eso se ha mejorado. En total, detectaron hasta 30.000 vulnerabilidades en aplicaciones durante todo 2016.

Los números son muy preocupantes porque, además, un 77 % de estas vulnerabilidades tenían que ver con la administración de sesión, es decir, con la herramienta a la que recurre el usuario para conectarse al servicio correspondiente. Un 46 % se refería a filtración de información, mientras que un 8,7 % estaban vinculadas a accesos no autorizados a directorios.

Cuando los investigadores hicieron un test de penetración para poner a prueba las aplicaciones pudieron comprobar cuáles eran las debilidades más críticas cuyo parcheo era más urgente. Destaca la presencia de Heartbleed, uno de los agujeros de seguridad más peligrosos que se han detectado y que está presente en componentes de código abierto. También se detectaron problemas en la gestión de contraseñas o la falta de cifrado para datos sensibles que estaban almacenados en la ‘app’. Todo ello es caldo de cultivo para que un ciberatacante se haga con nuestra información personal.

Sin embargo, la vulnerabilidad más detectada en el estudio hacía referencia al acceso a webs mediante identificación de usuario y a las que se podía acceder sin que este hiciera falta. De este modo, si se conseguía traspasar esa barrera sin contraseña, cualquiera podía acceder a código fuente, datos de los usuarios o claves de cifrado.

Afortunadamente, el número de días que tardaban los expertos en detectar un ataque para hacerse con datos se redujo en 2016 hasta 49 días, cuando en 2015 era de 80. Los agujeros internos se detectaban en solo 16 días. También, de todas las vulnerabilidades detectadas tan solo un 10 % fueron catalogadas por Trustware como de alto riesgo o crítico. Esto quiere decir que la mayoría se solucionaban con facilidad y no implicaba una filtración de datos.

Más datos de internet

El informe también trae otros datos sobre las vulnerabilidades más allá de su virulencia. Por ejemplo, relaciones geográficas: las mayores violaciones de datos en la Red, sean en aplicaciones o no, se dieron en América del Norte, con un 49 % de estas. Le siguió la región de Asia Pacífico, con un 21 %. El 20 % se repartió entre Europa, Oriente Medio y África, lo que se conoce como EMEA, mientras que el 10 % restante afectó a América Latina. En total, el equipo rastreó datos de 21 países diferentes.

Los ataques dirigidos a América del Norte se corresponden, en parte, a la caída masiva y mundial de servicios como Twitter, WhatsApp y Spotify, que tuvo lugar el pasado mes de octubre y que afectó a otras funcionalidades de la red. Este ataque DDoS asustó a muchos y dio cuenta del poderío de los ciberatacantes a la hora de provocar un daño masivo.

Por otra parte, la venta al por menor fue la industria más afectada, con hasta un 22 % de los agujeros y vulnerabilidades por los que un ciberatacante podía actuar. Le seguía la industria de las comidas y bebidas con un 20 %. Por otra parte, la información referente a las tarjetas de crédito era la que más riesgo tenía de ser filtrada y llegar a manos de los ciberdelincuentes.

Trustware hace una llamada de advertencia a cómo el ‘malware’ se está haciendo cada vez más difícil de detectar. Por si esto fuera poco, y aunque no afecta directamente a las aplicaciones, el informe también alerta de que se incrementa el ‘spam’ en el correo electrónico (el 60 % del que ellos detectaron durante su trabajo era de este tipo) y que, además, se incrementa el uso de ‘malware’ en los ‘mails’: en 2016, el 35 % de los mensajes contenían ‘software’ malicioso, un 3 % más que en 2015.

El informe también habla del coste de los llamados ataques de día cero, aquellos que tienen lugar cuando se inserta código malicioso aprovechando una vulnerabilidad desconocida. De acuerdo a las conclusiones del estudio, un ataque por apenas 5 dólares (unos 4,3 euros) podría infectar 1.000 equipos con vulnerabilidad a través de un anuncio engañoso.

Afortunadamente es posible prevenir esos sustos. No olvides descargar ‘apps’ solo de las tiendas oficiales y actualizarlas a través de estas últimas. Para ello, una herramienta de seguridad como Vodafone Secure Net ayudará a navegar sin riesgos en Internet mientras estés navegando en la red Vodafone y a proteger todos nuestros dispositivos de cibertataques. Secure Net te protege de las amenazas que haya en Internet, tanto en web peligrosas como en los ficheros que descargues. Así mismo, genera informes personalizados para que sepas qué amenazas ha bloqueado mientras navegabas en Internet. Y ahora, te puedes descargar la app de Secure Net desde Google Play o App Store donde, además de darte de alta en el servicio si aún no lo has hecho, entrar fácilmente en el servicio y ver el informe personalizado, podrás localizar tu Smartphone en un mapa en caso de pérdida desde cualquier dispositivo. El GPS te mostrará dónde está y si quieres podrás activar un tono de alarma para encontrarlo con facilidad. Recuerda que por tener Secure Net en tu móvil tendrás gratis una licencia para Pc que te la puedes descargar aquí. De esta manera, no habrá agujero que temer.