Un nuevo análisis de más de 17 000 aplicaciones móviles empresariales reveló vulnerabilidades de seguridad críticas que podrían poner en riesgo a millones de usuarios y empresas.
Según el nuevo informe de Zimperium llamado «Tus aplicaciones tienen fugas: Los riesgos ocultos de datos en tu teléfono», estas vulnerabilidades incluyen almacenamiento en la nube mal configurado, credenciales codificadas y prácticas criptográficas obsoletas.
El informe muestra que las aplicaciones móviles, en particular las utilizadas en entornos empresariales, están filtrando información confidencial a un ritmo alarmante.
En concreto, los investigadores analizaron 17 333 aplicaciones móviles de trabajo de las tiendas de aplicaciones oficiales (6037 para Android y 11 626 para iOS), descubriendo graves problemas de seguridad tanto en Android como en iOS.
Principales (y más preocupantes) hallazgos del análisis
Estos son los hallazgos más preocupantes del estudio:
- El 92 % de las aplicaciones analizadas utilizaban métodos criptográficos débiles o defectuosos
- Se descubrió que 83 aplicaciones de Android utilizaban almacenamiento en la nube desprotegido o mal configurado
- Diez aplicaciones de Android contenían credenciales expuestas a Amazon Web Services (AWS)
- Cinco de las 100 aplicaciones principales presentaban fallos criptográficos de alta gravedad, como claves codificadas y algoritmos obsoletos
Estas vulnerabilidades de seguridad en las aplicaciones móviles empresariales pueden exponer datos en tránsito y en reposo. Esto deja a las empresas expuestas al acceso no autorizado, la manipulación de datos o la extorsión sin necesidad de un ataque de ransomware tradicional.
El costo de la supervisión
La creciente dependencia de los dispositivos móviles en entornos empresariales, especialmente en entornos BYOD (traiga su propio dispositivo), también ha aumentado significativamente la superficie de ataque de los ciberdelincuentes.
Solo en 2024, las filtraciones de datos afectaron a más de 1700 millones de personas, lo que resultó en pérdidas financieras estimadas por el orden de los 280 millardos de dólares.
La integración en la nube, si bien es esencial para la escalabilidad, presenta riesgos cuando las API y los SDK en la nube no se implementan de forma segura.
Por su parte, algunas aplicaciones clasificadas entre las 100 mejores de Google Play Store tenían directorios de almacenamiento expuestos al público, lo que las hacía vulnerables a análisis continuos de actores maliciosos.
Las debilidades criptográficas agravan la amenaza
El uso de algoritmos obsoletos como MD2 y generadores de números aleatorios inseguros implica que incluso los datos cifrados pueden no estar seguros.
“La criptografía es la base de la comunicación segura y el almacenamiento de datos”, afirmó Boris Cipot, ingeniero de seguridad sénior de la empresa de seguridad de aplicaciones Black Duck. “Si se utilizan algoritmos criptográficos defectuosos o no se aplica ninguna protección, la situación es muy alarmante”, remató.
Un camino a seguir para los empresariales y la seguridad de las aplicaciones móviles
Para abordar los riesgos de seguridad en las aplicaciones móviles empresariales, Zimperium recomendó a los negocios seguir los siguientes pasos:
- Identificar y solucionar configuraciones incorrectas de almacenamiento en la nube
- Detectar y rotar las credenciales y claves API expuestas
- Validar los métodos criptográficos y evitar algoritmos obsoletos o inseguros
- Monitorear los SDK de terceros para detectar vulnerabilidades conocidas
Información de Infosecurity Magazine / Redacción CeluFlash
No dejes de leer: Conoce 3 rastreadores de teléfonos para usuarios Android y iPhone
Nuestras redes sociales, únete y sé parte de la tecnología