Image default
Ciberseguridad

Riesgos de seguridad y privacidad colaterales de las apps de rastreo COVID-19

El coronavirus no da tregua en varios países del mundo. El esfuerzo para evitar el aumento exponencial de contagios ha llevado a tomar medidas en las que el uso de la tecnología es clave. El ejemplo más claro son las apps de rastreo de COVID-19, con las que se busca alertar a los ciudadanos sobre su contacto con personas contagiadas. Aunque suena como un beneficio, también abre la puerta a riesgos de seguridad y privacidad que permean su eficacia.

A finales de mayo, Apple y Google distribuyeron a los gobiernos de 22 países un software de programación de aplicaciones (API) llamado “Notificación de exposición”. Así, cada país podría desarrollar su propia aplicación de rastreo de contagios. Países como Japón, España, Alemania, Francia, entre otros, ya lo implementan.

En España, Eusebio Nieva, director de la empresa de ciberseguridad Check Point, considera que estas apps son “una herramienta benéfica que podría ayudar a saber si estamos en peligro, pero que mal utilizada conlleva graves riesgos”. Algunos de estos riesgos, que han prendido la alerta de los expertos, son la infección de los dispositivos con malware y la vulneración de la privacidad de los usuarios

Apps maliciosas disfrazadas de ayuda

Los ciberdelincuentes son como otro virus que acecha al mundo entero esperando contagiar dispositivos para robar datos confidenciales y obtener beneficios económicos. Por ello, una app con el alcance de los rastreadores de COVID-19 es el camino perfecto para lograr su objetivo de una manera fácil y rápida.

De acuerdo con el director de Check Point en España, los usuarios están expuestos a aplicaciones no oficiales, sin la certificación de Apple y Android, que prometen ser un apoyo para disminuir el impacto de la pandemia.

Sin embargo, la verdadera intención de los ciberdelincuentes que crean estas apps es que sean descargadas para instalar malware, robar los datos personales, credenciales de banco o hasta tomar el control total del dispositivo.

“Hay que tener mucho cuidado con lo que descargamos en el teléfono, es uno de los vectores de infección mayores, mucho más que los ordenadores. Ahora mismo son el principal objetivo de los delincuentes. En ellos tenemos metida casi toda nuestra vida”, aseguró Nieva.

Para evitar caer en la trampa de una app maliciosa puedes seguir estas recomendaciones:

 

 

Pero este, aunque parezca suficiente, no es el único riesgo de las apps al que te expones y que es causado por ciberdelincuentes:

  • Algunas apps requieren el uso de Bluetooth de baja energía (BLE) que permite al dispositivo emitir rangos de señales que facilitan la identificación de contacto con otros dispositivos. Esto podría ser aprovechado por los atacantes, ya que podrían rastrear el dispositivo de una persona relacionando el dispositivo y sus paquetes de señales de identificación.
  • Si las comunicaciones no están correctamente cifradas, los usuarios pueden ser susceptibles de sufrir ataques man in the middle. En este, el pirata informático intercepta el tráfico de datos entre el dispositivo y el servidor de la aplicación y obtiene toda la información.
  • Los investigadores de Check Point indicaron que será necesaria la autenticación de la información cuando se enviada a sus servidores. De lo contrario, sin una autorización se podría saturar los servidores con informes de contagios falsos que podrían comprometer la operación y confiabilidad del sistema.

Privacidad, el riesgo de protegerte exponiendo tus datos

Privacidad, el riesgo de protegerte exponiendo tus datos
Las aplicaciones de rastreo de COVID-19 suponen forzosamente el almacenamiento de datos de millones de personas en cada país donde se implementen. Esto despertó la preocupación de expertos en protección de datos, quienes argumentan la necesidad de un proceso claro en el que se determine no solo el tratamiento de la información, sino su almacenamiento y eliminación, una vez que ya no sea necesaria.

Para Blanca Lilia Ibarra, comisionada del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (Inai) este tipo de apps pueden resultar valiosas para la toma de decisiones de las autoridades; sin embargo, “el derecho a la salud y el derecho a la protección de datos personales deben coexistir, más en una contingencia como esta”.

Al tratarse de datos personales es necesario que se tomen medidas de seguridad para protegerlos. De otra manera podrían verse vulnerados, ser tratados de inadecuadamente y poner en riesgo la privacidad de los usuarios.

De acuerdo con la experta, estas son las medidas que se deberán fijar:

  • Quiénes podrán recabar los datos en el sector público y privado.
  • Cuáles serán los sistemas técnicos y administrativos de seguridad que se utilizarán.
  • El cumplimiento de leyes en la materia, atendiendo los principios y obligaciones, como la confidencialidad, pertinencia y exactitud de los datos.
  • Evitar la identificación individual de los datos.
  • Establecer tiempos de almacenamiento de datos, para determinar su eliminación permanente.

De no seguir las recomendaciones de los expertos, tanto en la detección de apps maliciosas como en la protección de datos personales, más que sumar al combate de la pandemia con el uso de la tecnología, se corre el riesgo de vulnerar la seguridad y privacidad de los usuarios.

Además de las medidas que deberán tomar los involucrados en el sector público y privado; será necesario que cada persona concientice sobre la información que proporciona, los permisos que cede y el valor que esto podría tener para empresas de publicidad y, aún más importante, para los ciberdelincuentes que, lejos de pensar en el bienestar de la población mundial, encontraron una nueva forma de obtener grandes ganancias.

Fuente: Nius Diario, El Universal, Globb Security