Espacio publicitario

ESET revela que algunas apps de rastreo de Covid-19 exponían datos privados

La compañía especializada en detección proactiva de amenazas, analizó las aplicaciones para Android más relevantes relacionadas al coronavirus que utilizaban bases de datos Firebase

  • Diario El Universal

09/08/2020 11:59 am

Alida Vergara Jurado 
Especial para El Universal 

Eset, compañía especializada en detección proactiva de amenazas, analizó las aplicaciones para Android más relevantes relacionadas al Covid-19 que utilizaban bases de datos Firebase, impulsadas por autoridades latinoamericanas, y reveló que algunas de ellas exponían datos privados de los usuarios.

Estas apps para el rastreo de contagios de Covid-19 -generalmente llamadas Covid trackers- fueron creadas con la intención de geolocalizar individuos que potencialmente fueran portadores del virus, para así servir como herramientas de diagnóstico temprano y también como una fuente de estadísticas para los diversos gobiernos que las impulsaron.

Eset investigó 17 aplicaciones pertenecientes a autoridades gubernamentales de países como Argentina, Bolivia, Brasil, Chile, Colombia, Ecuador, Guatemala, México, Perú y Uruguay y de todas las aplicaciones analizadas -todas disponibles en la Play Store- arrojó que 14 utilizaban Firebase Realtime Database para almacenar datos. 

“La buena noticia es que este tipo de errores es completamente evitable. Solo debemos cerciorarnos de que entendemos cómo funciona la autenticación y autorización en la suite de Firebase, qué información queremos proteger y realizar testeos sobre nuestras bases de datos en producción para asegurarnos de que no son susceptibles de este tipo de ataques. En la documentación de la plataforma podremos encontrar mucha información sobre la forma correcta de configurar estos productos, como artículos sobre configuraciones inseguras o consejos de seguridad”, comentó Denise GiustoBilic, analista de seguridad informática de ESET Latinoamérica.

Reglas mal definidas aumentan vulnerabilidad 
Asimismo, se analizó la seguridad de las bases de datos de Firebase destinadas a almacenar la información de los usuarios, las cuales han sido utilizadas por varias aplicaciones de rastreo de contactos en distintos países. 

Dicho análisis presentó en algunos casos errores en la configuración que afectaban la seguridad y privacidad de los datos. Y desde el laboratorio de investigación de Eset, se detectó que dos de estas apps de rastreo, ambas de Argentina e impulsadas por gobiernos provinciales y municipalidades locales, eran vulnerables a posibles ataques dado que se conectaban con bases de datos públicas para procesar datos privados de más de 6000 usuarios, como: nombres, apellidos, fechas de nacimiento, Documento Nacional de Identidad (DNI), correos electrónicos, miles de puntos de geolocalización -algunos directamente asociados a un usuario puntual-, números de teléfonos y datos de seguimiento médicos acerca de los pacientes -si se les había realizado la prueba del hisopado y si resultaron positivos-, entre otros datos. 

La compañía de seguridad resalta que estas vulnerabilidades mencionadas ya fueron reparadas antes de publicar la investigación.

Firebase, de Google, es una solución rápida para el almacenamiento de datos y el envío de mensajes en aplicaciones cliente-servidor; en el que los datos se guardan en formato JSON y pueden ser consultados o modificados a través de una API tipo REST. Aunque existen reglas que pueden configurarse en cascada, para controlar el acceso a la información sensible, en muchas ocasiones dichas reglas están mal definidas y permiten que los cibercriminales puedan recuperar los datos almacenados en diferentes niveles de la ruta de acceso.

Encontrar bases de datos vulnerables en desarrollos móviles no es algo nuevo, de hecho, un reporte publicado en mayo de 2020 por la empresa de ciberseguridad británica Comparitech, encontró que un 4.8% de las apps que usan Google Firebase no están correctamente configuradas, y esto podría ser causante de fugas de información. 

Los investigadores estimaron que un 0.83% de todas las apps publicadas en Google Play exponen datos sensibles a través de Firebase, lo cual representaría aproximadamente un total de 24.000 aplicaciones vulnerables.

“Desde ESET apostamos a la educación como la medida más importante de prevención ante amenazas. Mantener los sistemas actualizados, cambiar las contraseñas con frecuencia, utilizar una solución de seguridad en equipos de escritorio y dispositivos móviles, son algunas de las acciones que nos permiten disfrutar de Internet de manera segura”, concluyó GiustoBilic.
Siguenos en Telegram, Instagram, Facebook y Twitter para recibir en directo todas nuestras actualizaciones
-

Espacio publicitario

Espacio publicitario

Espacio publicitario

DESDE TWITTER

EDICIÓN DEL DÍA

Espacio publicitario

Espacio publicitario