{"id":25926,"date":"2021-09-08T17:42:25","date_gmt":"2021-09-08T15:42:25","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=25926"},"modified":"2021-09-08T17:42:25","modified_gmt":"2021-09-08T15:42:25","slug":"power-apps-exposure","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/power-apps-exposure\/25926\/","title":{"rendered":"Las aplicaciones desarrolladas con Microsoft Power Apps podr\u00edan filtrar la informaci\u00f3n personal del usuario"},"content":{"rendered":"

\u00bfC\u00f3mo cae la informaci\u00f3n que las empresas recopilan en las manos equivocadas? En ocasiones, los infiltrados la venden y otras son los ataques dirigidos los que provocan la filtraci\u00f3n; pero en la mayor\u00eda de los casos, la informaci\u00f3n personal de identificaci\u00f3n se filtra a trav\u00e9s de servicios o programas mal configurados. Adem\u00e1s de una gran cantidad de pruebas, los investigadores de UpGuard encontraron que la informaci\u00f3n personal de identificaci\u00f3n de 38 millones de personas hab\u00eda sido expuesta<\/a>. La fuente de la filtraci\u00f3n es alguna aplicaci\u00f3n web mal configurada creada con la plataforma Microsoft Power Apps. Por fortuna, parece que los ciberdelincuentes no obtuvieron acceso a la informaci\u00f3n.<\/p>\n

La mala configuraci\u00f3n de Power Apps<\/h2>\n

Como herramienta que ayuda a las empresas a construir aplicaciones y portales web sin la necesidad de grandes inversiones en desarrollo, Power Apps de Microsoft utiliza el principio low-code<\/em> (es decir, no requiere c\u00f3digo de escritura como tal). Las rese\u00f1as de los usuarios alaban<\/a> la capacidad para hacer realidad cualquier idea sin contar con experiencia en inform\u00e1tica y programaci\u00f3n.<\/p>\n

Esa simplicidad es la ra\u00edz del problema. Al utilizar Power Apps, las personas que no solo carecen de experiencia en inform\u00e1tica, sino que tambi\u00e9n ignoran la seguridad de la informaci\u00f3n, crearon herramientas que (\u00a1oh, sorpresa!) no eran seguras. Los investigadores encontraron 47 empresas y agencias gubernamentales que utilizaban Power Apps para crear herramientas que recopilan informaci\u00f3n personal pero que no manten\u00edan la confidencialidad de esta.<\/p>\n

Para resumir una explicaci\u00f3n larga y t\u00e9cnica, Power Apps permite que los usuarios creen herramientas tanto para compartir datos como para recopilarlos. En ambos casos, los datos se almacenan en tablas y el creador de la aplicaci\u00f3n puede habilitar los permisos de acceso a estos. Por defecto, los permisos estaban deshabilitados. Por un lado, esto permit\u00eda que los creadores habilitaran un intercambio f\u00e1cil de datos. Por el otro, en esencia, las tablas ahora eran p\u00fablicas. Por este motivo, la informaci\u00f3n recopilada segu\u00eda disponible desde empresas externas.<\/p>\n

C\u00f3mo proteger a tu empresa y a tus clientes contra las filtraciones de datos<\/h2>\n

Despu\u00e9s de que los investigadores notificaran la filtraci\u00f3n, Microsoft cambi\u00f3 los ajustes predeterminados de la plataforma. Ahora, cuando alguien crea un proyecto nuevo que recopila datos personales, se almacenar\u00e1 cualquier informaci\u00f3n que recopile de manera que personas ajenas no pueden acceder a ella. Sin embargo, las aplicaciones y los servicios Web que se crearon antes de la actualizaci\u00f3n de Microsoft, podr\u00edan seguir siendo vulnerables. Si tu empresa utiliza Microsoft Power Apps, deber\u00edas revisar todas las opciones de configuraci\u00f3n minuciosamente para evitar este tipo de filtraci\u00f3n, sobre todo si tus aplicaciones recopilan y almacenan informaci\u00f3n personal de identificaci\u00f3n.<\/p>\n

Sin embargo, el problema es en realidad mucho m\u00e1s grave. Power Apps est\u00e1 lejos de ser la \u00fanica plataforma con low-code<\/em> utilizada por personas sin experiencia en inform\u00e1tica para crear servicios, aplicaciones y sitios web. Estas herramientas, que en muchos casos las empresas utilizan solo para tareas internas, pueden pasar completamente desapercibidas por los departamentos de seguridad. Mientras tanto, pueden contener vulnerabilidades en el c\u00f3digo fuente, errores que ocurren durante la integraci\u00f3n con otros procesos empresariales o, como en este caso, malas configuraciones.<\/p>\n

Por lo tanto, recomendamos que las empresas que utilizan plataformas low-code<\/em> sigan estos pasos:<\/p>\n