Las aplicaciones desarrolladas con Microsoft Power Apps podrían filtrar la información personal del usuario

Las aplicaciones mal configuradas construidas con Microsoft Power Apps dejan expuestas millones de entradas de información personal de identificación.

¿Cómo cae la información que las empresas recopilan en las manos equivocadas? En ocasiones, los infiltrados la venden y otras son los ataques dirigidos los que provocan la filtración; pero en la mayoría de los casos, la información personal de identificación se filtra a través de servicios o programas mal configurados. Además de una gran cantidad de pruebas, los investigadores de UpGuard encontraron que la información personal de identificación de 38 millones de personas había sido expuesta. La fuente de la filtración es alguna aplicación web mal configurada creada con la plataforma Microsoft Power Apps. Por fortuna, parece que los ciberdelincuentes no obtuvieron acceso a la información.

La mala configuración de Power Apps

Como herramienta que ayuda a las empresas a construir aplicaciones y portales web sin la necesidad de grandes inversiones en desarrollo, Power Apps de Microsoft utiliza el principio low-code (es decir, no requiere código de escritura como tal). Las reseñas de los usuarios alaban la capacidad para hacer realidad cualquier idea sin contar con experiencia en informática y programación.

Esa simplicidad es la raíz del problema. Al utilizar Power Apps, las personas que no solo carecen de experiencia en informática, sino que también ignoran la seguridad de la información, crearon herramientas que (¡oh, sorpresa!) no eran seguras. Los investigadores encontraron 47 empresas y agencias gubernamentales que utilizaban Power Apps para crear herramientas que recopilan información personal pero que no mantenían la confidencialidad de esta.

Para resumir una explicación larga y técnica, Power Apps permite que los usuarios creen herramientas tanto para compartir datos como para recopilarlos. En ambos casos, los datos se almacenan en tablas y el creador de la aplicación puede habilitar los permisos de acceso a estos. Por defecto, los permisos estaban deshabilitados. Por un lado, esto permitía que los creadores habilitaran un intercambio fácil de datos. Por el otro, en esencia, las tablas ahora eran públicas. Por este motivo, la información recopilada seguía disponible desde empresas externas.

Cómo proteger a tu empresa y a tus clientes contra las filtraciones de datos

Después de que los investigadores notificaran la filtración, Microsoft cambió los ajustes predeterminados de la plataforma. Ahora, cuando alguien crea un proyecto nuevo que recopila datos personales, se almacenará cualquier información que recopile de manera que personas ajenas no pueden acceder a ella. Sin embargo, las aplicaciones y los servicios Web que se crearon antes de la actualización de Microsoft, podrían seguir siendo vulnerables. Si tu empresa utiliza Microsoft Power Apps, deberías revisar todas las opciones de configuración minuciosamente para evitar este tipo de filtración, sobre todo si tus aplicaciones recopilan y almacenan información personal de identificación.

Sin embargo, el problema es en realidad mucho más grave. Power Apps está lejos de ser la única plataforma con low-code utilizada por personas sin experiencia en informática para crear servicios, aplicaciones y sitios web. Estas herramientas, que en muchos casos las empresas utilizan solo para tareas internas, pueden pasar completamente desapercibidas por los departamentos de seguridad. Mientras tanto, pueden contener vulnerabilidades en el código fuente, errores que ocurren durante la integración con otros procesos empresariales o, como en este caso, malas configuraciones.

Por lo tanto, recomendamos que las empresas que utilizan plataformas low-code sigan estos pasos:

  • Revisar con atención los ajustes de seguridad y privacidad tanto de las aplicaciones publicadas como de las que no.
  • Educar a los departamentos de seguridad de la información sobre el uso de estas plataformas en procesos empresariales.
  • Utilizar expertos externos (si no cuentan con especialistas internos) para evaluación de la seguridad.
Consejos