Las aplicaciones móviles se han convertido en un elemento tan cotidiano de nuestra sociedad que los usuarios han olvidado por completo comprobar su seguridad.
Depositan toda su confianza en la empresa responsable de la aplicación y, por ello, no dudan en introducir sus datos personales e información sensible, como detalles personales, números de tarjetas de crédito, direcciones, etc.
Aunque las intenciones de los desarrolladores de aplicaciones son siempre buenas, no es posible garantizar que hayan implantado las medidas de seguridad necesarias. El resultado de ello es que las aplicaciones móviles se han convertido en un objetivo fácil para los hackers más experimentados dotados con herramientas sofisticadas.
La mejor forma de evitar ciberataques potencialmente peligrosos es elegir las opciones de seguridad adecuadas. Entre ellas cabe destacar el uso de certificados SSL de Nombre alternativo de sujeto (SAN) y certificados SSL y, además, saber usarlos de la forma más eficaz.
En el presente artículo, hablaremos de por qué los certificados de seguridad para aplicaciones móviles son algo esencial actualmente y citaremos algunas posibles amenazas y las medidas de seguridad que podrían aplicarse durante el desarrollo de las aplicaciones.
¿Por qué resulta tan importante comprobar la seguridad de las aplicaciones móviles?
¿Qué es lo primero en lo que pensamos cuando hablamos de certificados SSL/TLS?
Probablemente haya pensado en las vulnerabilidades de WordPress u otros sitios web similares para equipos de sobremesa. Sin embargo, deberíamos prestar la misma atención a la seguridad de las aplicaciones móviles.
Un estudio realizado por StatCounter desveló que el uso de Internet móvil y aplicaciones móviles ha superado ya el uso de los equipos de sobremesa, y de hecho el 51,3% del uso de Internet se realiza desde teléfonos móviles, mientras que este porcentaje es de solo el 48,7% en el caso de los equipos de sobremesa.
Las aplicaciones móviles tienen acceso a prácticamente todo: desde información personal hasta datos bancarios o contraseñas. El uso de certificados SSL/TLS ayuda a los desarrolladores de aplicaciones a garantizar la seguridad e invulnerabilidad de los datos de los usuarios, tanto almacenados como en tránsito. El funcionamiento sería similar al de una VPN, que cifra los datos de los usuarios para que estos puedan confiar en la seguridad de la red. Estos certificados lograrán que su aplicación demuestre su fiabilidad de una forma equiparable.
Los certificados SSL/TLS son ahora más importantes que nunca, ya que Google está apostando firmemente por la extensión "HTTPS Everywhere". La situación sigue siendo bastante difusa en lo que respecta a las aplicaciones móviles, principalmente porque muchos navegadores de aplicaciones no incluyen indicadores sobre la seguridad de los sitios. En cualquier caso, esto no reduce la importancia de la integración del SSL en las aplicaciones, ya sean para Android o iOS.
A continuación, veremos algunos ejemplos de cómo podría convertirse en el objetivo de un ciberataque por usar una aplicación no segura:
- Imagine que cuenta con múltiples aplicaciones de Internet en su teléfono. Lo que desconoce es que, mientras consulta de forma confiada su feed o juega, cada una de estas aplicaciones es vulnerable. Basta con que una aplicación no cumpla los protocolos de seguridad para aplicaciones móviles adecuados para que su móvil sea vulnerable. De esta forma, podría producirse una revelación de su información personal y sensible.
- Seguramente ya haya instalado en su teléfono una aplicación de banca. Cada vez que introduce su contraseña o cualquier otro dato bancario sensible en la aplicación de banca, se expone al riesgo de que un ciberdelincuente acceda a sus datos desapercibidamente.
Este es el motivo por el cual, como usuario, debe garantizar que todas las aplicaciones que descargue cuentan con un certificado de seguridad para aplicaciones móviles. Los usuarios deben incrementar la vigilancia para evitar violaciones de datos o ataques cuando usen sus teléfonos para tareas especialmente importantes, como sincronizar sus gastos, conciliar sus cuentas o preparar las declaraciones fiscales. Cada vez son más las personas que hacen estas tareas financieras importantes (y muchas otras) desde herramientas de software contable instaladas en sus teléfonos.
Amenazas comunes asociadas con la seguridad de las aplicaciones móviles
Estudios recientes han puesto de manifiesto que casi la mitad de los desarrolladores de aplicaciones no han tomado ninguna medida para proteger sus aplicaciones. De hecho, el 60% de las organizaciones ha confesado haber sufrido violaciones de datos en el pasado.
Lo que resulta incluso más interesantes es que el 86% de los participantes en la encuesta masiva Digital Skills de 2020 afirma que la IA y el aprendizaje automático tendrán el mayor impacto en las tareas de desarrollo en los próximos cinco a diez años. Aunque la protección del entorno de las aplicaciones móviles sigue siendo un objetivo difícil de alcanzar, los últimos avances podrían cambiar el panorama para mejor.
Dicho lo cual, conviene conocer los principales tipos de ciberataques asociados con aplicaciones móviles:
Virus y troyanos
A pesar de la creencia extendida, los virus y troyanos infectan al adjuntarse a programas aparentemente legítimos y pueden atacar también a los teléfonos móviles.
Una vez descargados, pueden secuestrar su teléfono móvil y transferir la información crítica almacenada o accesible. Además, pueden enviar mensajes de texto premium, que suelen tener un coste elevado.
Madware y spyware
El madware, que surge de la contracción de "mobile adware", o software de publicidad para móviles, es un programa o secuencia de comandos que se instala en el teléfono si el consentimiento del usuario. El objetivo es recabar datos para mejorar la relevancia de los anuncios que se muestran.
Lo que es aún más preocupante es que el madware suele llevar asociado spyware, que recaba datos personales sobre el usuario en función de su uso de Internet para, posteriormente, transmitirlos a terceros. Estos datos se venden a empresas, que los usan para enviar al usuario anuncios de productos o servicios.
Sin embargo, debemos advertirle de que ver más anuncios es posiblemente el resultado menos preocupante del spyware. Además de información sobre el uso de Internet, puede recabar datos relativos a la ubicación y los contactos, lo que implica que, además de usted, también las personas que usted conoce están expuestas a riesgos.
Aplicaciones de phishing y grayware
No hace tanto tiempo, los delincuentes enviaban correos electrónicos que parecían proceder de fuentes legítimas solicitando información personal, como contraseñas y datos similares, con la mera esperanza de que el destinatario confiase en el correo y respondiera.
En este caso, las cosas son ligeramente distintas. Las aplicaciones de phishing (o suplantación de identidad) se han desarrollado para parecerse a las aplicaciones reales. El tamaño más reducido de las pantallas de los teléfonos móviles hace aún más difícil diferenciar entre una aplicación falsa y una legítima. Estas aplicaciones de phishing recaban información como números de cuenta y contraseñas sin el consentimiento del usuario.
Por otro lado, las aplicaciones grayware no son totalmente peligrosas en sí. Sin embargo, pueden entrañar problemas, ya que de hecho exponen a los usuarios a riesgos de privacidad y otras violaciones.
Descargas no autorizadas
Las descargas no autorizadas (o drive-by download) hacen referencia a la instalación de malware en su dispositivo sin su consentimiento cuando visita un sitio web erróneo o abre un correo electrónico por equivocación.
El menor descuido le expone a un riesgo importante de convertirse en el objetivo de un ciberataque y a instalar un archivo malicioso en su teléfono móvil inadvertidamente. Elementos como malware, adware o spyware, e incluso los bots que usan su teléfono móvil para realizar tareas ilegítimas pueden complicarle la vida de un momento a otro.
Vulnerabilidades de los navegadores
Para los que las desconozcan, las vulnerabilidades de los navegadores aprovechan los fallos de seguridad no detectados de su navegador móvil. Además de ello, esta amenaza para la seguridad también funciona con otras aplicaciones asociadas que operan en su navegador, como los lectores de documentos PDF.
Si detecta que la página de inicio o la página de búsqueda de su navegador han cambiado de forma inesperada, esto podría ser un indicio de que ha sido víctima de una vulnerabilidad de su navegador.
Medidas preventivas aplicables para el desarrollo de aplicaciones
De la misma forma que los motores de búsqueda más populares, como Google Chrome y Mozilla Firefox, están protegiendo sus sitios web con una capa adicional de protección, los usuarios también deben tomar las precauciones necesarias para evitar caer en las trampas de los hackers.
Ahora que hemos analizado las posibles amenazas, repasaremos las medidas de seguridad que los desarrolladores de aplicaciones deben adoptar.
Implantación de certificados Wildcard y certificados de SAN
Independientemente de si se trata de aplicaciones móviles o sitios web, el uso de certificados SSL Wildcard y certificados SSL de SAN es la mejor manera de evitar la infiltración de los atacantes.
Aunque el propósito de estos dos tipos de certificados es el mismo, existen diferencias clave que debemos conocer.
- Un certificado SSL Wildcard es capaz de proteger un solo nombre de domino plenamente cualificado, además de sus subdominios. Estos certificados son recomendables para los usuarios que tienen un sitio web principal y varios subdominios.
- Un certificados SSL de SAN es capaz de proteger un máximo de 250 nombres de domino plenamente cualificados, además de todos sus subdominios. El usuario no tiene que añadir todos los dominios en el momento de recibir su certificado, sino que puede añadirlos conforme sea necesario.
Es recomendable comprar certificados SSL/TLS para todos los sitios web, independientemente de si son accesibles desde portátiles, móviles o tabletas. Si su sitio tiene activado el nombre de organización y el candado, sus visitantes lo percibirán como un sitio web fiable. Además, no tendrá que preocuparse por una posible vulneración de los datos de los usuarios mientras usan su aplicación.
También es recomendable usar un certificado de firma de código, que permite a los usuarios verificar la identidad del desarrollador de la aplicación y comprobar que el código no ha sido manipulado. Esta medida adicional es un paso importante para proteger a sus usuarios, y también su reputación como desarrollador de aplicaciones. Obtenga más información sobre los certificados de firma de código y su funcionamiento o vea el siguiente vídeo breve.
En resumen
El número de usuarios de dispositivos móviles no hace más de crecer y, en parte debido a la pandemia de COVID-19, el uso de aplicaciones ha alcanzado un máximo histórico. Esta realidad implica una enorme responsabilidad para los desarrolladores de aplicaciones.
La ciberseguridad ha demostrado de forma contundente su importancia en los últimos años, y podemos afirmar que los clientes comenzarán a elegir aplicaciones seguras que protejan sus datos y privacidad.
Los certificados SSL/TLS, los certificados de firma de código y otras herramientas y servicios de ciberseguridad n un elemento indispensable para crear una seguridad adecuada en torno a las aplicaciones móviles y, en el proceso, ganarse la fidelidad de los clientes.
Nota: esta publicación en el blog fue redactada por un colaborador invitado con el objetivo de ofrecer una mayor variedad de contenidos a nuestros lectores. Las opiniones expresadas por el autor del artículo son exclusivamente suyas y no reflejan necesariamente las de GlobalSign.