Loader

Comunicación apps y seguridad

aselcom-seguridad-videollamada-blog

En la situación actual, el uso de estos programas se ha visto aumentado exponencialmente hasta el punto de que, hasta los familiares que residen en la misma ciudad deben utilizar este tipo de servicios para poder “ver” a sus seres queridos.

Las universidades y centros educativos diseñan la estructura de sus clases de forma online y las videoconferencias laborales se realizan con mayor frecuencia.

Las grandes empresas de este campo como Skype, Hangouts de Google, Messenger de Facebook o Whatsapp se han visto sorprendidas por la aparición de otras similares que han logrado cifras record de descargas durante este periodo. Es el caso de Zoom o HouseParty en menor medida.

Pero no es oro todo lo que reluce. Se ha ido desvelando información preocupante acerca de las brechas de seguridad que contiene y las consecuencias directas para los usuarios.

Zoom como ejemplo

Cifrado de información: El cifrado E2E (End-to-end) es un algoritmo utilizado con frecuencia en la mensajería instantánea, aumentando su importancia en este tipo de situaciones de conectividad masiva.

Este sistema se basa en la encriptación de todos los elementos relacionados con la conversación.

Así se asegura la confidencialidad del diálogo entre el emisor y el receptor, siendo ellos los únicos que disponen de códigos especiales para leer esos mensajes.

La problemática reside en que los responsables del departamento de Marketing de la compañía Zoom, en textos explicativos del servicio, aseguraba el uso de un cifrado e2e para las conferencias, cuando en realidad, la protección que utiliza es una combinación de algoritmos TLS y AES.

Estos códigos utilizados para la encriptación promueven una seguridad de los datos susceptible a ataques.

SDK Facebook: La implementación de este kit de desarrollo en dispositivos de Apple recopilaba información que no corresponde con el servicio que ofrece la aplicación, aportando datos de analítica a Facebook de los usuarios de Zoom.

A pesar de que algunos de estos usuarios no tuvieran perfil en la plataforma desarrollada por Marc Zuckerberg, se produjeron filtraciones de miles de conferencias.

Windows 10: Brecha de seguridad correspondiente a la potencial posibilidad de robo de las credenciales de acceso por parte de un atacante.

Al logarse un usuario en la web, los envíos de las credenciales se ejecutan de forma remota mediante el protocolo SMB y pueden ser fácilmente sustraídos por cibercriminales.

Según la propia compañía se está trabajando en una solución a este tipo de encriptado para que las comunicaciones sean más seguras.

Al igual que ha sucedido con esta compañía, muchas otras empresas han sufrido ataques para recopilar datos de usuarios y venderlos a terceros.

A igual que ha sucedido con esta compañía, muchas otras empresas han sufrido ataques para recopilar datos de usuarios y venderlos a terceros.

Ciberseguridad

La ciberseguridad en una app comienza cuando el usuario toma la decisión de obtener un programa concreto.

El primer factor de riesgo a tener en cuenta se centra en la descarga mediante fuentes no oficiales para su uso.

Que el usuario recale en este tipo de descargas se debe a múltiples motivos: La app no está aún disponible en tu franja geográfica, ha sido vetada en tu país o no cumple los criterios específicos para alojarse en plataformas oficiales como Google Play.

Existen multitud de piratas informáticos que juegan con la exclusividad y la antelación para lograr el propósito de que los ciudadanos accedan a estos otros portales no oficiales de descarga.

Un ejemplo sería una empresa desarrolladora que anuncia oficialmente el estreno de su app para dentro de un mes.

Aquí entrarían los Black Hat Hackers que aprovechan esta necesidad generada en el usuario para crear una alternativa de descarga inmediata sin tener que esperar hasta el día del estreno para disfrutar de ella.

Mediante ese enlace o software implementado en tu dispositivo móvil se gestiona el robo de la información.

Otro de los casos más comunes que se producen es la adquisición de un producto en una fuente oficial sin que el usuario verifique los permisos que está cediendo a la aplicación en cuestión.

Permisos de una app

Al instalar una aplicación y su primer arranque en nuestros dispositivos, se nos solicitará la aceptación de acceso a diferentes archivos del mismo. Cabe destacar entre otros:

Almacenamiento /SD: Los denominados black hat pueden recurrir a cualquier archivo del almacenamiento para encriptarlo, de tal manera que no puedas visualizarlo.

Mensajes de texto: Le damos permiso para la lectura y envío de mensajes.

Calendario: Permiso a la aplicación para añadir eliminar y modificar eventos en tu calendario, con el peligro que esto conlleva.

Cámara: La posibilidad de realizar fotos y videos sin el consentimiento del propietario.

Contactos: Almacenado de toda la lista de contactos para envío de mensajes maliciosos u otras prácticas.

Ubicación: Con esta información la app puede obtener los datos de ubicación actuales, así como al historial de ruta.

En el caso de que un producto exija algún permiso que se excede de la funcionalidad real de la aplicación es cuando el usuario debe debatir si su descarga es tan esencial como para dejar que acceda a esa información del dispositivo.

Estableciendo un ejemplo práctico, si el objetivo del programa consiste en la edición de fotos, los permisos que requerirá será el acceso a tu galería. Sin embargo, una petición de acceso al micrófono en este tipo de actividades está fuera de contexto.

Si hemos decidido instalar el software, hay algunos que disponen de un apartado “Ajustes” para confeccionar las modificaciones de privacidad que creamos necesarias, dentro de los parámetros que nos dejen cambiar.

También desde el propio dispositivo podemos optimizar el acceso que le hemos proporcionado desde la ruta Ajustes/Aplicaciones/Permisos de aplicaciones.

Haciendo énfasis en la terminología que hemos ido utilizando, aplicada a los piratas informáticos, la mayoría de los ciudadanos acuñan el concepto hacker con un carácter negativo, de forma errónea.

Hackers

Hagamos una subdivisión del término Hacker en 3 categorías completamente diferentes:

  • Black hat Hacker o cracker: Aquel experto informático que utiliza sus recursos para favorecer sus intereses personales, mediante la vulneración deliberada de la ley.
  • Grey hat Hacker: Aquel experto informático que utiliza sus recursos y conocimiento de forma ilegal para alcanzar un buen propósito, Por norma general no se mueve mediante el interés personal.
  • White hat: Especialista en seguridad informática contratado por la empresa para realizar pruebas de vulnerabilidad con el objetivo de mejorar siempre la seguridad del servicio ofertado.

Cada vez es mayor el número de personas que están concienciadas con el control y la supervisión de las acciones que se llevan a cabo con los datos aportados en las plataformas y apps que ofertan un servicio “gratuito”.

 A su vez, las empresas desarrolladoras se han dado cuenta de que la inversión en seguridad mediante la contratación de White hat hackers u otras fórmulas es vital y repercute positivamente en la visión del cliente hacia la marca.

Desde Aselcom apostamos por una comunicación segura, por eso en nuestra mano tienes los mejores productos para reducir riesgos.

Comentarios

comentarios

Back To Top