– Pablo Layús
Connect with us

Tecno Tendencia

Publicado

el

Los investigadores de Check Point Research han descubierto datos sensibles disponibles públicamente en bases de datos en tiempo real en 13 aplicaciones Android, con un número de descargas que oscila entre los 10.000 y los 10 millones. Algunas de las apps vulnerables son de temáticas que van desde la astrología hasta servicios de taxis, creación de logotipos pasando por grabación de pantalla y servicios de fax… que dejan a los usuarios y a los desarrolladores en situación de vulnerabilidad frente a los ciberdelincuentes

Tras examinar 23 aplicaciones para Android, Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder especializado en ciberseguridad a nivel mundial, ha descubierto que los desarrolladores de aplicaciones móviles han dejado expuestos los datos personales de más de 100 millones de usuarios a través de una serie de configuraciones erróneas de servicios en la nube de terceros. Dicha información incluía correos electrónicos, mensajes de chat, ubicación, contraseñas y fotos, lo cual, en manos de ciberdelincuentes, podría dar lugar a fraudes, hurto de identidad y robos de servicios.

Las actuales soluciones basadas en la nube se han convertido en el nuevo referente para el desarrollo de aplicaciones móviles. Servicios como el almacenamiento basado en la nube, las bases de datos en tiempo real, la analítica y otros, están a un solo clic de ser integrados en las aplicaciones. Sin embargo, a la hora de crear su configuración y su contenido, los desarrolladores suelen pasar por alto la ciberseguridad.

Los investigadores de Check Point Research han descubierto que, en los últimos meses, son muchos los desarrolladores de apps que no han tenido presentes las medidas de seguridad y, como consecuencia, han dejado expuestos tanto sus propios datos como la información privada de millones de usuarios al no seguir buenas prácticas configurando e integrando los servicios en la nube de terceros en sus aplicaciones.

Desconfiguración de las bases de datos en tiempo real

Las bases de datos en tiempo real son las que permiten a los creadores de apps almacenar información en la nube, para así asegurarse de que se sincronizan en tiempo real con todos los clientes conectados. Este servicio resuelve uno de los problemas más comunes en el desarrollo, a la vez que asegura que la base de datos es compatible con todas las plataformas de los clientes. Sin embargo, ¿qué sucede si detrás de la misma no se configura la autenticación? La realidad es que esta falta de configuración no es nueva y sigue siendo muy común y afecta a millones de usuarios.

Al investigar el contenido de ciertas apps que estaban disponibles públicamente, los investigadores de Check Point Research comprobaron que era posible acceder a gran cantidad de información sensible, incluyendo direcciones de correo electrónico, contraseñas, chats privados, localización de dispositivos, identificadores de usuarios y mucho más. Si un ciberdelincuente consiguiera llegar a esta información, podría dar lugar a un borrado de servicios (es decir, intentar utilizar la misma combinación de nombre de usuario y contraseña en otros servicios), a un fraude y/o a una suplantación de identidad.

Figura 1 – Algunas aplicaciones en Google Play con base de datos abierta en tiempo real

Figura 2 – Correo electrónico, contraseña, nombre de usuario e identificación de un usuario en Logo Maker

Por ejemplo, una de las apps que posee este error de configuración es “Astro Guru”, una popular aplicación de astrología, horóscopo y quiromancia con más de 10 millones de descargas. Después de que los usuarios introduzcan sus datos personales, como el nombre, la fecha de nacimiento, el sexo, la ubicación, el correo electrónico y las credenciales de pago, Astro Guru les proporciona un informe personal de predicción de astrología y horóscopo.

Almacenar información personal es una cosa, pero ¿qué pasa con el almacenamiento de datos en tiempo real? Para eso está y sirve este tipo de herramienta en tiempo real. A través de T’Leva, una aplicación de taxis con más de cincuenta mil descargas, los investigadores de Check Point Research pudieron acceder a los mensajes de chat entre conductores y pasajeros y recuperar los nombres completos de los usuarios, sus números de teléfono y sus ubicaciones (destino y recogida), todo ello con una sola petición a la base de datos.

Notificaciones push

Por otro lado, es importante destacar el papel del gestor de notificaciones push, uno de los servicios más utilizados en la industria de las aplicaciones móviles. Estos requerimientos se utilizan a menudo para anunciar nuevos contenidos disponibles, mostrar mensajes de chat o correos electrónicos. La mayoría de las prestaciones de notificaciones push requieren una clave (a veces, más de una) para reconocer la identidad de quien acepta la solicitud. Cuando esas claves están simplemente incrustadas en el propio archivo, es muy fácil para los ciberdelincuentes tomar el control y enviarlas con enlaces o contenidos maliciosos a todos los usuarios en nombre del desarrollador.

Por ejemplo, si una aplicación de un medio de comunicación enviara un aviso de noticias falsas a sus usuarios, redirigiéndolos a una página de phishing, es de suponer que como el aviso procede de la app oficial, los usuarios asumirían que la alerta es legítima.

Almacenamiento en la nube

El almacenamiento en la nube de las apps móviles es una práctica que se ha disparado en los últimos años. Permite el acceso a archivos compartidos por el desarrollador o por la aplicación instalada. Algunos ejemplos de esta práctica son:

Con más de 10 millones de descargas, «Screen Recorder» se utiliza para grabar la pantalla del dispositivo del usuario y almacenar las grabaciones en un servicio en la nube. Si bien el acceso a las grabaciones a través de este sistema es una característica útil, puede haber graves implicaciones si se salvaguardan las contraseñas privadas de los usuarios en el mismo servicio que almacena los vídeos. Con un rápido análisis del archivo de la aplicación, los investigadores de Check Point Research pudieron acceder las mencionadas claves que dan acceso a cada grabación almacenada.

Por su parte, «iFax», no sólo tenía los datos de acceso de almacenamiento en la nube incrustadas en la aplicación, sino que también guardaba allí todas las transmisiones de fax. Con solo echar un vistazo la app, un ciberdelincuente podría acceder a todos y cada uno de los documentos enviados por los 500.000 usuarios que la instalaron.

Justo tras el descubrimiento, Check Point Research se puso en contacto con Google y con cada uno de los desarrolladores, antes de la publicación de este artículo. De hecho, algunas ya han cambiado su configuración.

Cómo protegerse de los ciberataques

El ataque a los dispositivos móviles puede producirse por diferentes medios. Esto incluye el peligro de las aplicaciones maliciosas, las ofensivas a nivel de red y la explotación de las vulnerabilidades de los terminales y del sistema operativo móvil de los mismos. A medida que los equipos móviles adquieren mayor protagonismo, los ciberdelincuentes les prestan más atención. Como resultado de ello, las ciberamenazas contra estos aparatos se han vuelto más diversas. Una solución eficaz de protección frente a las amenazas móviles debe ser capaz de detectar y responder a una variedad de ataques diferentes y, al mismo tiempo, ofrecer una experiencia de usuario positiva.

Check Point Harmony Mobile es la solución líder en el mercado de Mobile Threat Defense (MTD) y Mobile App Reputation Service (MARS), que ofrece la más amplia gama de capacidades para proteger los dispositivos móviles y los datos que contienen.

Seguir leyendo

Tecno Tendencia

Apps para firmar documentos desde el celular

Publicado

el

Uno de los inconvenientes de añadir una firma (que no sea digital) a un documento en su versión electrónica es que no suele tratarse de un procedimiento sencillo, especialmente si hay que llevarlo a cabo desde un teléfono móvil.

La necesidad de añadir una firma a un documento suele comportar el engorro de imprimir y escanear el documento en formato PDF o similar, o en su defecto proceder a editar dicho documento desde el propio móvil y añadirle la firma a modo de collage, algo que puede representar cierta complejidad. Afortunadamente existen distintas alternativas para facilitar la inclusión de una firma manuscrita al archivo digital de un documento.

-Adobe: La referencia en el manejo de documentos en PDF dispone de una opción específica para añadir firmas a un documento, aunque sólo en la versión de pago (disponible en iOS y Android). Es de las más sencilla de implementar y de utilizar puesto que permite determinar el área del documento donde se debe incorporar la firma, facilita al usuario las instrucciones para hacerlo, guarda el resultado y sólo resta remitir el documento resultante.

-Docusign: Ofrece integración con Gmail y Google Drive, permitiendo remitir documentos a terceros. Dispone de versión iOS y Android y está especialmente adaptado para que la firma pueda trazarse con el dedo sobre la superficie de la pantalla de un smartphone.

-GetSignEasy: Puede utilizarse con una amplia variedad de documentos (Word, TXT, PDF, Excel, HTML y hasta con imágenes JPG). Permite agregar textos escritos a mano a los documentos. Dispone de versiones iOS y Android.

-HelloSign: Permite añadir una firma manuscrita a cualquier documento almacenado en Google Drive en el que previamente se haya determinado el campo donde debe añadirse la firma. El documento puede compartirse con otros. En su versión gratuita está limitada a un máximo de tres documentos al mes. Además de estar integrado en Gmail y Google Docs puede sincronizarse con Dropbox, Oracle o Salesforce. Precisamente por esta naturaleza no dispone de versión móvil.

-SIGNificant: Su característica más destacada es que permite añadir archivos adjuntos, como el documento de identidad o una fotografía. Permite añadir notas escritas a mano y envía documentos a través de correo electrónico pueden almacenarlos también en la nube, aunque las funciones más avanzadas no están disponibles en la versión de pago. Dispone de versión para iOS y Android.

-SignNow: En su modalidad destinada a uso personal es gratuito y sin límites en cuanto a la cantidad de documentos que se puede firmar. Permite crear plantillas y facilita la recopilación de firmas de distintas personas a las que envía el documento mediante correo electrónico. No dispone de versiones para sistemas operativos móviles.

-ViaFirma: De origen español, ofrece distintas posibilidades capaces de cubrir todas las necesidades según el uso que se necesite: firma manuscrita a través de la pantalla táctil del dispositivo móvil, certificado electrónico emitido por un organismo que valida la firma y la identidad, firma electrónica sin intervención del usuario, firma asociada al envío de un código único mediante SMS y firma asociada al envío del código enviado mediante e-mail. Dispone versión iOS y Android.

Seguir leyendo

Tecno Tendencia

Cómo instalar dos veces la misma app en Android

Publicado

el

El sistema operativo Android permite una opción que puede resultar tremendamente útil: instalar dos veces una misma aplicación en el mismo dispositivo. Con esto se evita tener que cerrar una sesión en dicha app para volver a acceder utilizando otra identificación. Por ejemplo, podrías instalar WhatsApp dos veces para tener dos números o para usar WhatsApp Plus. O instalar dos veces Facebook y contar con dos cuentas. Para conseguirlo será necesario instalar alguna de las siguientes aplicaciones que permiten duplicar en el dispositivo móvil una misma aplicación.

-App Cloner: Permite descargar por segunda vez una misma aplicación, cambiándole el icono y poniéndole un nuevo nombre para distinguirla de la aplicación original. App Cloner la instala como si fuera una aplicación distinta por lo que funcionará de manera completamente independiente a la original. Como desventaja, no permite instalar actualizaciones de la app clonada, y la versión gratuita de Cloner solo permite duplicar una misma aplicación dos veces.

-Go Multiple: Permite instalar una segunda copia de una misma aplicación como si fuera una diferente. Para distinguirla de la original el icono aparece rodeado por un recuadro blanco. Esta segunda copia adicional mantiene De manera separada los datos correspondientes a la cuenta de usuario.

-Lucky Patcher: El único punto negativo de esta aplicación es que no es compatible con todas las apps de Android, por lo que será cuestión de probar suerte. A cambio su funcionamiento es extremadamente sencillo: basta con seleccionar la app Que se desea clonar y aparecerá un menú donde habrá que pulsar la opción «Clone Application», generándose una nueva copia de la aplicación en la tarjeta SD del dispositivo.

-Parallel Space: Genera un espacio paralelo dentro del smartphone de manera que se puede duplicar las aplicaciones y utilizarlas con distintas cuentas de usuario. Y al instalar la segunda versión de la misma aplicación se instala como si fuera una nueva aplicación, funcionando en segundo plano y recibiendo notificaciones siempre que la app Parallel Space permanezca abierta.

Seguir leyendo

Tecno Tendencia

Instagram explica cómo funciona su algoritmo

Publicado

el

Según Instagram, hay que diferenciar entre dos tipos de contenidos a la hora de explicar el algoritmo del feed y las Stories. Por un lado los contenidos que ha publicado recientemente la gente que sigue el usuario y por otro los contenidos publicitarios. La gran mayoría de contenidos que se muestran son los publicados por los contactos, y esos son los que se ven afectados por el algoritmo. Instagram asegura que tiene en cuenta centenares de «señales» que le hacen determinar si un contenido es más relevante o menos que otro para cada usuario. Entre las principales señales se encuentran las siguientes:

Información sobre el post. Hay señales que indican lo popular que es ese contenido -como cuánta gente le ha dado a «me gusta»- y otras que permiten saber cuándo fue publicado, su duración, su ubicación… que también son tenidas en cuenta por el algoritmo.

-Información sobre la persona que lo publicó. Esto ayuda a la red social a considerar qué importante puede ser esa persona para el usuario. Por ejemplo se tiene en cuenta el número de veces que has interactuado con esa persona en las últimas semanas.

-Tu actividad. Esto permite a la compañía entender cuáles podría ser los intereses del usuario, y comprende señales como cuántos posts ha decidido dar «me gusta».

-Tu historial de interacción. Esto permite a Instagram saber cuánto puede estar el usuario en ver posts de una determinada persona. Por ejemplo, si no comentas mucho a un usuario, posiblemente te interesen menos sus contenidos.

A partir de aquí, Instagram realiza una serie de predicciones. Las más comunes para el feed son cuánto es posible que el usuario pase unos segundos en el post, lo comente, le de a «me gusta», lo guarde o pulse en la foto de perfil. Cuantas más posibilidades haya de que realices una de esas opciones, en mejor posición verás ese contenido en concreto. Instagram también realiza algunas salvedades. Por ejemplo, trata de evitar mostrar demasiados posts de una misma persona cada vez. También, en el caso de las Stories -cuyo algoritmo funciona también como se ha explicado hasta ahora- se introducen algunos cambios.

Hace solo unos días, se concedió el mismo peso a los contenidos compartidos en las Stories en grandes ocasiones -como por ejemplo, en unos Juegos Olímpicos- que al contenido original. Hasta ahora, no tenía el mismo peso para el algoritmo.Además, la compañía asegura que trata de entender cómo emplean los usuarios la red social para introducir nuevas señales constantemente y así entender mejor qué contenidos querrían ver en primeras posiciones.

Por otra parte, en cuanto a la desinformación, Instagram asegura que no retira ningún contenido, pero que si alguno de sus fact checkers externos determina que un contenido no es veraz, muestra una etiqueta que lo indica y el algoritmo le da menos peso. Incluso si un usuario comparte muchos contenidos que son considerados desinformación, Instagram asegura que hará su contenido «más difícil de encontrar». En próximos posts explico cómo funciona el algoritmo de Instagram para los Reels y para la pestaña de Explore.

Seguir leyendo

No te lo podes perder!

Urquiza

CORDOBA

Covid19

@adosmanoscocinanatural

Entradas y Páginas Populares

Es chisme

Entradas recientes

Trending