Hasta 185 millones de usuarios de 41 aplicaciones de Google Play Store están en riesgo de que algunos de sus datos personales, como su información bancaria, las credenciales de sus redes sociales y los contenidos de sus correos electrónicos y aplicaciones de mensajería instantánea, sean robados por medio de un conjunto de vulnerabilidades conocidas y explotadas en una red local de conexión a Internet, según informó un grupo de expertos en seguridad informática citados por Ars Technica.

Los investigadores, de la Universidad Leibniz de Hannover y la Universidad Phillips de Marburg, en Alemania, lograron infiltrarse en las comunicaciones entre las aplicaciones y la Web, con lo que consiguieron monitorear y copiar los datos que el teléfono emitía y recibía. “Pudimos reunir […] credenciales de pago de PayPal, American Express y otros“, dijeron. Además, aseguran que “se filtraron credenciales de Facebook, correo electrónico y almacenamiento en la nube“.

Aunque los investigadores no revelaron el nombre de las aplicaciones vulnerables, sí informaron que, entre otras, hay una app antivirus que aceptaba definiciones de malware fraudulentas, una aplicación para subir archivos a la nube que permitió revelar las credenciales de usuario y un sistema de mensajería instantánea que acepta cuentas de varias plataformas, el cual ha sido instalado entre 10 y 50 millones de veces y permitió el acceso a los números de teléfono de la agenda del usuario.

Algunas de las vulnerabilidades son tan graves que, según la BBC, uno de los investigadores incluso consiguió “redirigir una solicitud de transferencia de fondos, mientras el usuario de la aplicación veía como si la transacción siguiera sin ningún cambio“. Ningún representante de Google se ha manifestado hasta el momento.

Pese a lo delicada que pueda sonar una información como esta –sobre todo cuando las aplicaciones en problemas están instaladas en millones de dispositivos– al final se trata de una buena noticia. Es bueno que los investigadores estén un paso adelante de los criminales interesados en explotar estas vulnerabilidades para su propio beneficio, y este estudio pone una alerta sobre los desarrolladores, pues muchas de las fallas de seguridad son producto –según Ars Technica– de la “mala implementación” de los protocolos de encripción de datos por parte de los creadores de las aplicaciones.

De acuerdo con Jon Oberheide, jefe de tecnología de la firma de seguridad móvil Duo Security, “esto debe hacer que los desarrolladores sean más conscientes de las deficiencias básicas de seguridad, las cuales no debieron haberse colado en un proceso respetable de QA [aseguramiento de la calidad]”.

Una encuesta, realizada por la firma de seguridad McAfee, consultó a 353 personas que están a cargo de las decisiones en materia de tecnologías de la información sobre la seguridad informática de las empresas con más de 500 empleados. Una de las conclusiones más relevantes de la investigación es que las compañías, a pesar de las alertas, siguen siendo negligentes a la hora de tomar medidas preventas en ese aspecto, situación que se convierte en el terror de muchas de ellas.

Según el sondeo, un 41% de las organizaciones no está totalmente consciente ni protegido respecto a los riesgos de seguridad de tecnologías de información. Otro 40% no tiene una confianza plena en su capacidad de implementar en forma precisa los productos de contramedidas, lo cual representa un riesgo. El informe, denominado Perspectiva de riesgo y cumplimiento (realizado por Evalueserve), reveló que cerca de la mitad de las empresas pretende invertir un 21% más, en promedio, a soluciones de riesgo y cumplimiento durante el año 2011 para abordar estas inquietudes.

Sumado a esto, la encuesta indicó un crecimiento en los productos de riesgo y cumplimiento durante 2011 y la mayoría de los gerentes de seguridad y otros ejecutivos encargados de tomar decisiones exigen soluciones integradas y automatizadas en lugar de productos orientados a resolver problemas específicos.

Con relación al cumplimiento de las normas, el estudio, que fue realizado en Australia, Canadá, Francia, Alemania, Nueva Zelanda, Singapur, Reino Unido y Estados Unidos, concluye que la gran mayoría (el 75% de los encuestados) no confía en que pasará una auditoría normativa y más de la mitad de las organizaciones declara que ya ha reprobado alguna. El 9% de las empresas indica que recibió multas del gobierno o la industria por este motivo. Además, las bases de datos se califican como el mayor desafío de infraestructura en términos de cumplimiento de las normas.

Estas son otras de las cifras que más se destacan del estudio:

• El 41% de las empresas indica que invertirá en la supervisión de la actividad de las bases de datos.
• El 45% de las empresas aplica parches a los sistemas todas las semanas.
• El 49% de las empresas declara que intenta “sobreproteger” al aplicar parches a todo.
• El 84% de los encuestados siente que sus operaciones comerciales y de seguridad se ven afectadas por los parches fuera del ciclo.
• El 37% no confía en ser capaz de detectar qué activos se deben parchar cuando se concreta una nueva amenaza.
• Más del 40% de las organizaciones funciona en el modo de “apagar incendios” cuando se acerca una auditoría de normas, desviando los recursos críticos de las prioridades estratégicas.
• El 39% no confía en ser capaz de traspasar los riesgos de TI a riesgos comerciales.
• El 60% de los encuestados cree que hasta un 10% del tiempo de inactividad se atribuye a cambios no autorizados que tienen lugar durante el año.