Por Froilan García
Varias aplicaciones para los “Smartphone” requieren información personal, desde el nombre y la edad del usuario hasta un número de tarjeta de crédito, lo que pone en alerta a algunas personas por la exposición de sus datos personales.
Muchas apps (aplicaciones para Smartphone) piden algunos datos personales como paso previo para instalarse, aunque las aplicaciones no requieren de esa información para su operatividad.
El principal problema es que no especifican como utilizarán esa información. Según un estudio del grupo regulador GPEN (Red Global de Control de la Privacidad), el 85% de las apps analizadas han fallado en explicar la forma en que utilizan los datos personales.
Hay muchas aplicaciones sencillas que sirven para robar datos personales, que fácilmente se pueden descargar desde “playstore” (solo para dispositivos Android) o Appstore (para dispositivos iOS) o cualquier internauta puede encontrar en internet una aplicación para robar información.
Una de estas apps es el UI state inference attack (Ataque por inferencia a la interfaz del usuario); se trata de una técnica que se aprovecha de que las interfaces de las aplicaciones más populares para dispositivos móviles revelan cada cambio de estado, es decir, cada paso (iniciar aplicación, ingresar usuario y contraseña, ingresar datos de tarjeta de crédito, entre otras) es visible y puede ser interceptado por estas aplicaciones espías.
El ataque inicia cuando un usuario baja una aplicación que parece ser legítima y que no pide privilegios especiales. Una vez instalada, el atacante (a través de un dispositivo móvil) puede observar el momento en que la víctima inicia una aplicación específica (Internet Banking, sitios de compra, cámara de fotos, entre otras), y también cuando ingresa datos personales, los datos de entrega del producto comprado y/o cualquier información solicitada por las aplicaciones.
Zhiyun Qian, del Departamento de Ciencias e Ingeniería de la Computación de la Universidad de California (UC Riverside, EE.UU) recomienda que la mejor forma de protegerse de este nuevo UI state inference es no descargar aplicaciones si no hay claridad de que se trata de una aplicación totalmente segura. Es por eso que siempre es importante descargar aplicaciones desde repositorios oficiales o desde el sitio web de fabricantes confiables.
Las aplicaciones espías son fáciles de encontrar. La página “poderpda.com” tiene disponible una app para el robo de información. La aplicación fue desarrollada por el hacker Itzhak Avraham alias Zuk, y aprovecha un sinfín de vulnerabilidades antiguas y conocidas públicamente de diferentes sistemas operativos.
Con tan solo unos cuantos clics podemos hacer diferentes cosas con dispositivos vulnerables, cómo escanear sus archivos, o incluso enviar un ataque y controlar un dispositivo, y sentirnos de esta manera todos unos hackers. El desarrollador espera que no sea utilizada para hacer daño, sino para el bien, por ejemplo, avisando a personas cuyos equipos no están seguros y por tanto necesitan actualizar su software.
Este problema ha crecido tanto que ya no sólo son las apps que utilizamos todos los días, sino también las redes sociales.
Hay tres momentos críticos en lo relativo a la protección de datos personales para los usuarios de redes sociales: al registrarse, al desarrollar actividad en la red y al darse de baja. En el registro se pide todo tipo de datos –en ocasiones de carácter voluntario- que pueden suponer un peligro para la intimidad del usuario al revelar aspectos personales como la ideología política o la orientación sexual, por ejemplo. Datos que, además, pueden ser utilizados por terceros de forma ilícita.
Otros riesgos son la suplantación de identidad o la instalación de cookies (una pequeña información enviada por un sitio web y almacenada en el navegador del usuario, de manera que el sitio web puede consultar la actividad previa del usuario) sin el consentimiento del usuario, lo que permite almacenar información sobre sus datos personales y sus hábitos en la red.
La mayoría de usuarios de redes sociales no tiene formación para saber qué información publicar. Facebook es un ejemplo claro, pues muchas personas caen en la adicción de publicar contenido en cada momento del día, cayendo en un exhibicionismo descontrolado, y facilitando la ubicación del lugar donde se encuentra determinada persona en tiempo real.