En México, hoy se estima existen 130 millones de líneas de telefonía móvil según el IFT; 90% de ellas son smartphones donde en cada uno de ellos hay aproximadamente 70 aplicaciones móviles (o apps), y un usuario promedio, utiliza frecuentemente 20 de ellas.
Esto que nos dice, que solo en México tenemos instaladas 8,190 millones de apps en los teléfonos móviles, y cada una de ellas puede ser una puerta de entrada para un ciberdelincuente.
IDC estima que para 2028 existirán 1.3 Billones de Apps, las cuales, a diferencia de las páginas web, no viven en la protección de un data center ni tienen un sistema de protección tipo Firewall, lo cual las convierte en un enorme punto de entrada para los ciberdelincuentes - a merced de la protección de tu teléfono.
El tema como individuos, es que al solo usar 20% de las apps que tienes instaladas, el resto, se te olvida que existen, no te importa si la reputación es baja, si no tienen mantenimiento, etc, y, normalmente las dejas instaladas y con todos los privilegios de accesos a tus datos y privacidad.
Por su parte las empresas que tienen apps, priorizan el tiempo de sus desarrolladores en actualizar funcionalidades de su app, -sin testear la seguridad- y dejan todos los días puertas abiertas para vulnerabilidades que pueden ser usadas por ciberdelincuentes.
El resultado es que hoy las apps se han convertido en uno de los medios favoritos de los atacantes para, múltiples ataques, siendo los más comunes:
1) Robo de datos - entrar por la app más vulnerable y robar tus credenciales usando sus accesos.
2) Espionaje (spyware) utilizando la misma metodología, pero permaneciendo en el teléfono “escuchando” todo lo que transmites por distintas vías para un futuro uso malicioso como robo de identidad, robo de datos, extorsión, etc.
3) Robo masivo de data - un caso extremo es la toma de una App en particular (digamos la de una línea aérea) y a través de un ataque de espionaje continuo (llamado MITM por las siglas en inglés de man in the middle), robar todos los datos de todas las transacciones de todos sus clientes.
Como en todos los rubros de ciberseguridad, el riesgo crece todos los días y, los ataques, también, por lo que en adelante te recomendamos que hacer para minimizar tu riesgo:
I Como Individuo:
Lo más importante es siempre el conocimiento y la higiene digital por lo que con estos 3 tips vas a minimizar el riesgo de un ataque:
- Mínimos Privilegios - Hazte el hábito de elegir para cada aplicación qué privilegios les otorgas y trata de ser muy celoso de tu privacidad. Por ejemplo, no le des el acceso a todos tus contactos a tu aplicación del super, o no permitas que tenga tu localización permanente tu aplicación de selección de vinos, o una marca de ropa que te gusta. Cuestiona para qué vas a dar permisos innecesarios.
- Desinstala lo Inutil.- La mayoría de personas, tenemos instaladas muchísimas aplicaciones que ya no utilizamos (80%), revisa en tu teléfono todas las que no utilizas, y bórralas.
- Limita el acceso - Normalmente tanto las aplicaciones de Android, como las de IOS te preguntan si vas a permitir que supervisen tu actividad en otras aplicaciones para “mejorar tu experiencia”. Mi recomendación es siempre decir que no; si bien, la experiencia puede mejorar, los riesgos de exposición de tu privacidad en manos desconocidas es mucho más dañino que la mejora en tu experiencia.
II Como empresa:
Las empresas, a diferencia de los individuos, tienen muchísimo mejor opciones de protección para las apps que producen para sus clientes. Así como el estado de Israel tiene un Iron Dome, y los Estados Unidos construyen ya un Cyber Dome, las Apps, ya tienen su propio AppDome, donde algunas de las mejores prácticas son:
- Instalar una plataforma que cuide las aplicaciones desde que se codifican.
- Probar todas las apps antes de lanzarlas no solo para funcionalidad sino también para seguridad (probar en producción).
- Instalar protección que permita en tiempo real cazar y mitigar todas las amenazas en tu aplicación para cada dispositivo donde esté instalada.
- Proveer una protección integral con la mínima cantidad de disrupción en código para permitir a los desarrolladores seguir haciendo su trabajo sin interrupciones.
- Utilizar las capacidades de la plataforma o domo para agregar una capa extra de protección a todos los usuarios de tu app, anti espionaje, anti virus y antifraude (hay incluso las que pueden detectar intentos de ataques por voz vishing o por SMS smishing).
La realidad es que hoy necesitas tomar acciones personales para minimizar tu riesgo, y si en tu empresa el negocio depende de la operación de una app, la tienes que proteger primero para mantener tu negocio operando y segundo para proteger a tus clientes, ya que un hackeo a ellos a través de tu aplicación puede tener consecuencias desastrosas para la reputación de tu empresa y tu negocio.
CEO y Socio fundador de NEKT, empresa especializada en servicios de ciberseguridad. www.nektcyber.com
@mriveraraba