Fuga de datos por avisos publicitarios

Incluso aplicaciones muy conocidas muestran anuncios usando código de terceros, que puede transmitir datos personales sin cifrar.

Ya hemos advertido en repetidas ocasiones a nuestros lectores sobre los peligros de los programas de origen desconocido. Pero la mayoría de la gente parece no tener reparos en confiar en aplicaciones de desarrolladores y fuentes conocidas. Las valoraciones positivas, los millones de descargas y las tiendas oficiales como Google Play, se ven como signos de seguridad. Sin embargo, no está del todo garantizado.

Este artículo no va sobre los troyanos, sino sobre aplicaciones legítimas que también pueden llegar a filtrar tus datos online. Nuestros expertos estudiaron un total de 13 millones de APK (siglas en inglés de Aplicaciones empaquetadas de Android) y descubrieron que casi un cuarto de ellos transmite datos sin cifrar por Internet. Algunas de estas aplicaciones presumieron de millones de descargas, a veces más de 500 millones, por lo que no se trata de un problema insignificante.

A veces la información se filtra online a causa de un error del desarrollador, pero no es lo que ocurre en la mayoría de los casos. Para enviar datos de usuario al servidor, la mayoría de las aplicaciones usan el protocolo seguro HTTPS, que impide que se intercepten datos desde fuera. El problema radica en los servicios de terceros que los desarrolladores conectan sin hacer revisión de antecedentes. Por ejemplo, algunos servicios de analítica o publicidad transmiten información por Internet, pero usan el protocolo estándar HTTP que no es seguro.

¿Qué información puede estar afectada?

La mayor parte de la fuga de datos que detectamos estaba relacionada con el modelo del dispositivo, su especificación técnica, su red o datos relacionados con el proveedor de servicios de Internet o el nombre APK (por el que el sistema reconoce el paquete). Muchos servicios también filtraron coordenadas de los smartphones o tablets.

En algunos casos, la información sobre el uso de aplicaciones se transmitió por HTTP, por un servicio integrado de un tercero. Esta información incluía los me gusta, publicaciones o visitas a páginas, además de información sobre el dueño del dispositivo como su nombre, número de teléfono o fecha de nacimiento. También se descubrió que las claves únicas creadas para cada petición de autorización fueron transferidas de manera insegura. Por suerte, la mayoría de los servicios no transmiten accesos y contraseñas sin cifrar, aunque algunos sí.

¿Qué peligro hay?

La información que se transmite por HTTP se envía como texto plano, lo que permite que prácticamente cualquier persona lo lea, incluido tu proveedor de Internet, por ejemplo. Además, la ruta desde la aplicación al servidor de la tercera parte probablemente tenga varios puntos de tránsito en forma de dispositivos que reciben y almacenan información durante un periodo de tiempo.

Cualquier equipo de red, incluido el router de tu casa, podría ser vulnerable. Si se hackeara, los delincuentes tendrían acceso a tu información (mientras tanto el proveedor de Internet puede verlo sin tener que hackear). Con la información sobre el dispositivo (específicamente números IMEI y IMSI) basta para vigilar tus acciones futuras. Cuanto más completa sea la información, más te expones a personas externas, desde anunciantes a perfiles de amigos falsos que ofrecen archivos maliciosos para descargar.

Sin embargo, las filtraciones de dispositivos y los datos de usuarios solo son una parte del problema. La información sin cifrar también puede ser sustituida. Por ejemplo, en respuesta a una petición de HTTP de una aplicación, el servidor puede devolver un anuncio de video, que los cibercriminales pueden interceptar y reemplazar con una versión menos fiable. O puede que simplemente cambien el enlace dentro de un anuncio y, en lugar de un juego divertido o una aplicación de descuentos, el usuario puede estar descargándose algo mucho más malicioso.

¿Qué se puede hacer?

En realidad, estos problemas deberían ser abordados por desarrolladores de aplicaciones. Pero no se puede confiar del todo en su trabajo, por lo que te damos un par de consejos para mantenerte a ti y a tus datos más protegidos.

  • Revisa los permisos que pide la aplicación, puede tardar pero nunca es una pérdida de tiempo, incluso si la aplicación tiene millones de descargas a su nombre. Si, por ejemplo, una aplicación de mensajería quiere conocer tu ubicación, no te sientas obligado a darla. Pincha aquí para más información sobre los permisos de Android.
  • Compra la versión de pago de las aplicaciones, si puedes. No muestran anuncios, lo que significa un riesgo mucho menor de filtración de datos. Sin embargo, aún podrían usar módulos analíticos de terceros, que no son mucho más seguros.
  • Usa una VPN, esta conexión segura protegerá tus datos incluso si los desarrolladores no pueden. Por ejemplo Kaspersky VPN Secure Connection es la opción ideal.

 

Consejos