¿Qué tan importante es la seguridad de los datos para los usuarios modernos de aplicaciones móviles?

Publicado: 2022-11-23
¿Qué tan importante es la seguridad de los datos para los usuarios modernos de aplicaciones móviles?

Cada vez más empresas que desarrollan sus propias aplicaciones móviles dan un paso más para garantizar la seguridad de las aplicaciones móviles, y por una buena razón.

Según el informe anual de 2021 del Centro de recursos de robo de identidad (ITRC), el año 2021 fue un año récord en la cantidad de compromisos de datos: 1862 instancias . Al momento de escribir este artículo, en tres trimestres de 2022, el centro reportó 1291 compromisos de datos hasta el momento. Esos son datos sobre infracciones divulgadas públicamente solo en los EE. UU.

En promedio, una brecha de datos puede costarle a una empresa que la sufre alrededor de $ 4.35 millones (promedio global), según datos de IBM de 2022. Agregue a esto el tremendo golpe a la reputación si la información de la brecha se hace pública. Cuando se ve así, todos los empresarios se dan cuenta de que la seguridad de los datos es importante.

En este artículo, hablamos sobre la importancia de implementar prácticas sólidas de seguridad de datos en las aplicaciones móviles y cómo hacerlo correctamente. Aprovechamos nuestra experiencia en el desarrollo de productos centrados en la seguridad, como nuestra aplicación de mensajería para la región de Oriente Medio.

¿Qué es la protección de datos en el sentido moderno?

El mundo que se digitaliza rápidamente está loco por la seguridad de los datos (con razón) y hoy en día tenemos numerosas leyes de tipo nacional e internacional, implementadas con el único propósito de proteger la información de propiedad exclusiva. Todos ellos están construidos en base a los mismos principios, más o menos. La ley internacional más conocida de este tipo es probablemente el Reglamento General de Protección de Datos, o GDPR para abreviar.

GDPR se basa en los siguientes siete principios para el procesamiento de información personal:

GDPR se basa en los siguientes siete principios para procesar información personal

  • Legalidad, equidad y transparencia
  • Limitación de propósito
  • Minimización de datos
  • Precisión
  • Limitación de almacenamiento
  • Integridad y confidencialidad (seguridad)
  • Responsabilidad

Si tuviéramos que resumir estos principios sin citar todo el artículo 5 del RGPD, implementar medidas de seguridad de datos significa que cualquier dato será:

  • recolectados y procesados ​​en la cantidad mínima necesaria
  • almacenado solo durante el período necesario y luego eliminado
  • utilizado sólo para fines específicos, y
  • protegido contra el robo o modificación de datos por parte de terceros además del propietario de los datos

Los recopiladores de datos también deben notificar a los usuarios sobre la recopilación y el procesamiento de sus datos. El recopilador y el procesador de datos deben ser responsables del cumplimiento de estos principios.

¿Qué datos de los usuarios de aplicaciones móviles generalmente necesitan protección?

Todos hemos visto mensajes sobre cookies en los navegadores, pero tal cosa no existe en las aplicaciones móviles. Al mismo tiempo, las aplicaciones móviles pueden recopilar, almacenar y procesar información mucho más confidencial que la que los usuarios del sitio web no inician sesión, por ejemplo. El uso de dichos datos plantea un potencial de daño real si se ve comprometido.

Entonces, ¿qué tipo de datos de usuario debe proteger el propietario de una aplicación móvil? Aquí hay una lista no exclusiva de datos confidenciales:

Aquí hay una lista no exclusiva de datos confidenciales

  • Información de identificación personal . Esto incluye información de identificación/licencia de conducir, direcciones físicas y números de teléfono. Esta información se usa con frecuencia en las aplicaciones de comercio electrónico, ya que para enviar un paquete, el vendedor necesita esta información. Algunas aplicaciones de entrega almacenan códigos de llave de bloqueo de puertas en sus aplicaciones, lo que podría abrir los edificios de apartamentos a los ladrones.
  • Información de salud personal y registros médicos . Las aplicaciones de telemedicina y algunos rastreadores de salud y consumo de medicamentos (por ejemplo, aquellos dirigidos a personas con enfermedades crónicas), a veces se sincronizan con los sistemas EHR y pueden enviar datos de los usuarios a sus médicos. Otras veces, la aplicación solo puede almacenar datos sin transferirlos; el usuario podrá, a su discreción, mostrárselo en una fecha posterior al médico.
  • Tarjeta de pago e información bancaria . Aunque en estos días, la mayoría de las aplicaciones usan G Pay y Apple Pay para procesar pagos, todavía no es inusual que algunas de ellas almacenen información de tarjetas de crédito en la aplicación, especialmente cuando los usuarios prefieren no conectar las billeteras del sistema a sus tarjetas. Si este es el caso, los propietarios de aplicaciones deben hacer todo lo posible para proteger dichos datos.
  • Números de seguro social, información de seguros . Aplicaciones que se ocupan de los números de seguro social y la información del seguro de los usuarios de las tiendas de seguros. Dicha información se considera confidencial junto con la información de identificación personal.

Toda esta información puede almacenarse en perfiles de usuario en aplicaciones móviles para usarse con el propósito de la aplicación: realizar compras, mantener la salud, administrar actividades personales y más. Y si dichos datos son robados de los servidores de la aplicación, pueden usarse para robo de identidad, fraude, ataques de phishing, robo y más delitos.

Por lo tanto, si está desarrollando una aplicación que debe manejar uno o varios tipos de información confidencial, es su deber como propietario de la aplicación proporcionar suficiente protección de datos del cliente de la aplicación.

Hay varias formas de garantizar la seguridad de los datos para las aplicaciones móviles, a las que cambiaremos más adelante. En primer lugar, nos gustaría destacar algunos de los últimos casos de fuga de datos.

Últimos casos populares de fuga de datos de aplicaciones móviles de usuarios

Últimos casos populares de fuga de datos de aplicaciones móviles de usuarios

Como mencionamos al comienzo de este artículo, 2021 fue un año con un número récord de violaciones de datos. Varios de ellos involucraron aplicaciones móviles. Aquí hay sólo algunos de ellos.

Fuga de datos de usuarios de Android

Esta infracción no fue de una aplicación específica. En cambio, involucró numerosas aplicaciones. Al menos veintitrés aplicaciones se vieron afectadas, pero podría haber más. Sin embargo, la cantidad de aplicaciones afectadas no es lo importante, en realidad.

Lo importante es la causa. Varios desarrolladores de aplicaciones no prestaron suficiente atención a las configuraciones de sus servicios en la nube de terceros, lo que resultó en la exposición de datos personales de más de 100 millones de usuarios de Android. Los datos expuestos incluían información de identificación personal como nombres y direcciones, así como información médica, fotos, información de pago y números de teléfono.

casa club

En febrero de 2021, varios medios informaron un caso en el que un desarrollador chino creó una aplicación de código abierto que permitía a los usuarios de la web y de Android acceder a la aplicación Clubhouse solo para iOS. La gente podía escuchar cualquier transmisión de Clubhouse sin tener un iPhone o un código de invitación, lo cual fue otro punto de discusión cuando se trataba de Clubhouse.

Si bien esta brecha no parecía ser de tipo malicioso inicialmente, expuso agujeros en la seguridad de Clubhouse y permitió que cualquiera tuviera acceso a discusiones privadas.

Aplicación de pago Klarna

La aplicación sueca de banca móvil Klarna sufrió una filtración de datos en mayo de 2021, que se resolvió rápidamente y, según se informa, no causó ningún daño significativo. La esencia de la violación fue que los usuarios que iniciaron sesión en sus cuentas iniciaron sesión brevemente en las cuentas de otros usuarios, al azar, y pudieron ver la información de su cuenta.

Facebook

Facebook es notoriamente conocido por sus principales escándalos de violación de datos. El escándalo de Cambridge Analytica en 2016, la fuga de datos de 2019 y la última fuga de 2021 que se decía que explotaba la misma vulnerabilidad que se suponía que se solucionaría en 2019. ¿El resultado? Se filtraron los datos de 533 millones de usuarios de todo el mundo.

Aplicación de certificación Portpass COVID

Una aplicación privada destinada a permitir a los usuarios probar su estado de vacunación en Canadá tenía información de identificación personal de sus usuarios expuesta en su sitio web desprotegido. Los datos incluían fotos de licencias de conducir y pasaportes, nombres, direcciones, números de teléfono e incluso tipos de sangre de los usuarios.

Tipos básicos de controles de seguridad de datos

Tipos básicos de controles de seguridad de datos

Control de acceso

El control de acceso, o gestión de acceso, es el más simple entre los componentes de seguridad de datos . Como sugiere el nombre, significa que limita el acceso a los espacios donde se almacenan los datos a la menor cantidad de personas posible. Solo los empleados que requieren dicho acceso para cumplir con su deber pueden tener la capacidad de obtener los datos, y dichos empleados deben seleccionarse cuidadosamente.

Autenticación

La autenticación adecuada para su aplicación móvil ayudará a configurar cierta protección contra filtraciones e infracciones por parte de los usuarios. Si su aplicación maneja datos confidenciales (financieros, relacionados con la salud o de identificación personal), el proceso de inicio de sesión en la aplicación debe contar con medidas de seguridad . Por ejemplo, reconocimiento facial, escaneo de huellas dactilares y autenticación en dos pasos a través de códigos a corto plazo en el correo electrónico.

borrado de datos

Es uno de los principios del RGPD almacenar información confidencial del usuario en servidores solo mientras sea necesario para proporcionar servicios. Cuando desaparezca la necesidad de esta información, los datos se borrarán. Después de todo, los datos no se pueden piratear ni filtrar desde los servidores si no hay datos allí.

Cifrado de datos

Una de las formas más seguras de proteger los datos de los usuarios en su aplicación móvil es emplear el cifrado de extremo a extremo . De esta manera, una fuga accidental de datos se vuelve casi imposible, ya que los datos no tendrán ningún sentido sin las claves de descifrado. La piratería de dichos datos también será mucho más difícil, especialmente si las claves de descifrado no se guardan en sus servidores sino en los dispositivos de los usuarios y son únicas para cada usuario.

Enmascaramiento de datos

Una de las formas de cifrar datos es enmascararlos. El enmascaramiento de datos es un proceso en el que los caracteres y números se ocultan mediante caracteres proxy. No es una solución perfecta, pero funciona contra algunas infracciones accidentales o no maliciosas.

Resiliencia de datos

Mientras que el cifrado, el enmascaramiento y el borrado están destinados a proteger contra fugas y ataques, la resiliencia de datos es la protección contra la pérdida de datos . Si hay datos que usted o sus usuarios necesitan constantemente, debe tener una copia de seguridad de dichos datos. De esta manera, si algo le sucediera a sus servidores principales, los datos se pueden restaurar desde la copia de seguridad.

En Mind Studios nos salvamos manteniendo esta práctica cuando los servidores de OVH que usábamos estaban entre los que se incendiaron en marzo de 2021 y algunos de los datos resultaron dañados. Pero teníamos copias de seguridad, así que todo salió bien.

Plan de respuesta a incidentes

En el caso de que ocurra una brecha o una fuga, su empresa debe tener un plan de acción establecido de antemano. Los diferentes reguladores tienen sus propios requisitos en cuanto a lo que debe incluir dicho plan.

Por lo general, lo primero que se debe hacer después de descubrir la filtración es notificar a los usuarios afectados que sus datos podrían verse comprometidos, especialmente si los datos filtrados se pueden usar con fines maliciosos, como el robo de identidad o el fraude.

Desafíos de seguridad de datos de aplicaciones móviles

La privacidad y la seguridad de los datos son cada vez más difíciles de mantener con el crecimiento de Big Data . Las personas comparten cada vez más sus vidas en línea: en mensajeros, redes sociales, aplicaciones bancarias, plataformas de comercio electrónico y atención médica, etc.

Además, los propietarios de aplicaciones conservan otros datos sobre sus usuarios, como el comportamiento en la aplicación y los registros de actividad que se utilizan para mejorar los servicios y proporcionar publicidad dirigida. La gran cantidad de tales datos es un desafío para mantenerlos seguros y organizados. Debido a esto, no es una gran sorpresa que un pequeño error en los procesos pueda resultar en una fuga .

Otro punto débil es que algunos de los datos que recopilan las aplicaciones pueden almacenarse en recursos de terceros. Dichos recursos no forman parte de la organización del propietario de la aplicación y, por lo tanto, la seguridad del recurso no está bajo el control del propietario de la aplicación.

Entonces, ¿qué puede hacer para asegurarse de que su aplicación y sus usuarios estén seguros?

Cómo aumentar la seguridad de los datos de las aplicaciones móviles

Cómo aumentar la seguridad de los datos de las aplicaciones móviles

Como puede ver en los ejemplos anteriores, no todas las filtraciones de datos son obra de piratas informáticos o se deben a intenciones maliciosas. De hecho, la gran mayoría de las filtraciones de datos (un 95 % enorme) se deben a un error humano.

Esto significa que no necesariamente necesita invertir miles de millones de dólares en algunas medidas exageradas. Lo que necesita es una estrategia de seguridad de datos de aplicaciones móviles basada en prácticas sólidas y por especialistas en seguridad de datos responsables y confiables.

¿Qué medidas se pueden tomar para garantizar la seguridad de los datos de los usuarios de su aplicación móvil?

Use certificados SSL/TLS para la seguridad de la aplicación

Los certificados Secure Sockets Layer/Transport Layer Security (SSL/TLS) son esenciales para comunicar datos de manera segura entre los servidores de su aplicación y los dispositivos de los usuarios. Los certificados SSL funcionan codificando los datos para que su descifrado sea casi imposible.

Fijación de SSL

Si bien los certificados SSL/TLS se encuentran entre las formas más confiables de proteger los datos de los usuarios en sus aplicaciones, a veces pueden ser vulnerables a los ataques MITM (man-in-the-middle). Si su aplicación móvil maneja información muy buscada por los delincuentes (por ejemplo, es una aplicación bancaria), le recomendamos que emplee la fijación SSL.

La fijación de SSL es una técnica que puede bloquear documentos de servidores desconocidos en su aplicación y evitar la instalación de certificados falsos emitidos por MITM. Esto se hace fijando un host de certificado SSL en su aplicación durante el desarrollo. Los certificados del host anclado se considerarán los únicos confiables.

Pruebe regularmente su aplicación en busca de vulnerabilidades

Hay formas de probar y eliminar vulnerabilidades. Lo importante aquí es hacerlo regularmente ya que:

  • los métodos de piratería evolucionan bastante rápido
  • si hay una vulnerabilidad causada por un error humano, los desarrolladores pueden pasarla por alto al verificar una vez, pero las pruebas repetidas realizadas por varios especialistas asegurarán que se encuentre

Pruebas de penetración

Las pruebas de penetración son cuando sus desarrolladores o especialistas en control de calidad realizan un ciberataque simulado en las vulnerabilidades de su aplicación, con el objetivo de encontrar todos los posibles vínculos débiles en el código. Este tipo de prueba se puede realizar para servidores/backend, front-end, API, etc. Encontrar vulnerabilidades es pertinente para eliminarlas.

Tenga cuidado al usar bibliotecas de terceros

La gran violación de datos de Android que mencionamos anteriormente ocurrió debido a una configuración incorrecta de los servicios en la nube de terceros. A veces, los desarrolladores pueden verse tentados a confiar en el proveedor de la biblioteca, especialmente si es uno de renombre, y pasar por alto una mala configuración o un error en el código.

Cuando se utilizan bibliotecas de terceros, es fundamental verificar todo enérgicamente , ya que no es lo mismo que escribir código desde cero y es más fácil pasar por alto un error.

Cómo puede ayudar Mind Studios

Cómo puede ayudar Mind Studios

Los ingenieros de software ucranianos se colocaron en el puesto número 1 en desafíos de seguridad y en el puesto 11 en general durante las Olimpiadas de programación HackerRank de 2016. Desde entonces, las empresas ucranianas de desarrollo de software han seguido evolucionando y educándose a sí mismas y a sus especialistas.

En 2021, el Informe de habilidades globales de Coursera colocó a Ucrania en el puesto 8 en tecnología. El informe Skill Value de 2022 de Pentalog tiene a los desarrolladores ucranianos en el puesto 4 a nivel mundial.

En Mind Studios nos enorgullecemos del enfoque de nuestro país en el desarrollo tecnológico y colocamos la seguridad de los datos en un lugar destacado de nuestra lista de prioridades para los proyectos que emprendemos también. Hemos trabajado en varios productos que se ocupan de la información personal y hemos implementado seguridad de alto nivel para proteger los datos de los usuarios allí.

Entre nuestros últimos proyectos con gran demanda de seguridad de datos se encuentran un servicio de entrega de alimentos para Dinamarca y una aplicación de mensajería segura para Oriente Medio. Consulte nuestros estudios de casos para conocer más detalles.

Pensamientos finales

A medida que el mundo avanza hacia espacios digitales, la necesidad de medidas de protección de datos solo aumentará y las legislaciones de seguridad de datos solo se volverán más estrictas. La confianza de la gente en Facebook está hecha trizas después de numerosos escándalos de violación de datos. Escándalos similares que involucran a empresas grandes y pequeñas se escuchan alto y claro, ya no se encubren.

Tanto si es propietario de una empresa nueva como si es un empresario experimentado con una aplicación móvil existente, es esencial mantenerse al día con las últimas tecnologías de protección de datos . Revisar la seguridad de su producto frente a ellos y actualizar las medidas de protección de datos en consecuencia se está convirtiendo en una prioridad máxima.

En Mind Studios, somos expertos en seguridad de aplicaciones móviles y podemos enfrentar cualquier desafío que se nos presente en este lugar. Si tiene alguna pregunta sobre el tema, nuestros representantes pueden ofrecerle una consulta gratuita de 45 minutos si completa el formulario.

1