La lucha contra el Covid-19 continúa, sobre todo para evitar contagios y una nueva propagación del virus. Para ello, son muchas las empresas y gobiernos de todo el mundo que están desarrollando aplicaciones móviles con las que poder hacer labores de rastreo de aquellas personas que han dado positivo en un análisis para la detección del virus. Sin embargo, los investigadores de Check Point, proveedor especializado en ciberseguridad a nivel mundial, advierten de los riesgos de instalar este tipo de servicios y advierten de los 4 principales ciberriesgos para la privacidad de los usuarios que pueden derivar del uso de estas aplicaciones:
- Se pueden rastrear los dispositivos: algunas de estas aplicaciones de rastreo requieren el uso de Bluetooth de baja energía (BLE) para que funcionen, permitiendo a los dispositivos emitir rangos de señales que facilitan la identificación del contacto con otros dispositivos. Sin embargo, si no se implementan correctamente, un cibercriminal podría rastrear el dispositivo de una persona correlacionando el dispositivo y sus respectivos paquetes de señales de identificación.
- La seguridad de los datos personales puede verse comprometida: obviamente, las aplicaciones almacenan registros de contacto, claves de cifrado y otros datos sensibles en los dispositivos. Esta información debe ser cifrada y almacenada en la sandbox de seguridad de la aplicación y no en ubicaciones compartidas. No obstante, incluso dentro de la ubicación segura en la sandbox, si un cibercriminal obtiene permisos de root o el acceso físico al dispositivo podría poner en riesgo la privacidad de los datos, sobre todo si se almacena información tan sensible como la localización mediante GPS, que podría dejar al descubierto datos como viajes realizados por el usuario o lugares en los que haya estado en los días o semanas anteriores.
- Interceptar el tráfico de una aplicación: los usuarios pueden ser susceptibles de sufrir ataques “man-in-the-middle”, que permitiría a un cibercriminal interceptar todo el tráfico de datos entre el dispositivo y el servidor de la aplicación si estas comunicaciones no están correctamente cifradas.
- Recibir grandes cantidades de información falsa sobre informes de salud: los investigadores de Check Point advierten que es importante que las aplicaciones de contacto realicen una autenticación cuando la información se envíe a sus servidores, como por ejemplo cuando un usuario envía su diagnóstico y registro de contactos. Sin la debida autorización, podría ser posible inundar los servidores con informes sanitarios falsos, lo que pondría en tela de juicio la fiabilidad de todo el sistema.
“La sociedad todavía no sabe cómo de fiables y seguras son las aplicaciones de rastreo de contactos. Sin embargo, tras una revisión inicial, este tipo de servicios nos han planteado algunas preocupaciones serias. Las aplicaciones de rastreo de contactos deben mantener un delicado equilibrio entre la privacidad y la seguridad, ya que una mala aplicación de las normas de seguridad puede poner en peligro los datos de los usuarios. Por tanto, al instalar o hacer uso de estos servicios, es fundamental saber qué datos se recogen, cómo se almacenan y, en última instancia, cómo se distribuyen”, señala Eusebio Nieva, director técnico de Check Point para España y Portugal.
Claves para garantizar la seguridad de los datos al usar estas aplicaciones
Este tipo de servicios recaban una gran cantidad de datos, por lo que para preservar al máximo el anonimato, desde Check Point recomiendan no vincular ningún identificador personal (número de teléfono, datos personales, etc.) a estas aplicaciones. Asimismo, desde la compañía también recomiendas:Solo descargar aplicaciones de tiendas oficiales: instalar las aplicaciones de rastreo de contactos para el control del COVID-19 tan solo a través de las tiendas oficiales de aplicaciones, ya que sólo permiten que las agencias gubernamentales autorizadas publiquen dichas herramientas.Utilizar soluciones de seguridad móvil: Descargar e instalar una solución de seguridad móvil para analizar las aplicaciones y proteger el dispositivo contra el malware, así como para verificar que el dispositivo no haya sido infectado.
