Solo unas horas después de publicar un estudio que revela los miedos de los españoles en el ámbito de la ciberseguridad por franjas de edades y sexo, Avast ha emitido un comunicado para advertir del nuevo ciberriesgo que ha detectado: más de 19.000 aplicaciones Android que exponen públicamente los datos de sus usuarios.
La compañía de ciberseguridad achaca este problema a una mala configuración de la base de datos Firebase, una herramienta utilizada por los desarrolladores para almacenar datos de los usuarios. Firebase también facilita el desarrollo de aplicaciones móviles y web para la plataforma móvil Android, y permite a los desarrolladores mantener su implementación de Firebase accesible para otros programadores por lo que, técnicamente, queda igualmente visible para el público.
Más del 10% de las instancias rastreadas de Firebase están abiertas
Los investigadores de Avast Threat Labs examinaron 180.300 instancias de Firebase que estaban disponibles públicamente y descubrieron que más del 10% de ellas (19.300) estaban abiertas, exponiendo los datos a desarrolladores no autentificados.
"Las instancias abiertas se debían a una mala configuración por parte de los desarrolladores de las aplicaciones", señala Avast, y apunta que estas instancias abiertas ponen en peligro de robo los datos almacenados y utilizados por las aplicaciones desarrolladas con Firebase.
Siguiendo la información de esta investigación, este ciberriesgo afecta a una amplia gama de apps en regiones de todo el mundo, incluyendo Europa, América Latina y el sudeste asiático. Entre los datos que almacenan, indica que puede haber información de distinto tipo, como información personal identificable (PII). Es decir, nombres, fechas de nacimiento, direcciones, números de teléfono, información de localización, tokens de servicio, claves...
"Cuando los desarrolladores utilizan malas prácticas de seguridad, los registros pueden incluso contener contraseñas en texto plano", afirma la empresa de seguridad, que notificó a Google sus hallazgos para que informara a los desarrolladores de aplicaciones y que estos pudieran tomaran medidas correctivas.
Los riesgos que pueden implicar y algunas recomendaciones
Según ha subrayado Vladimir Martyanov, investigador de malware de Avast, "cada uno de estos casos abiertos es un incidente de violación de datos a punto de producirse y puede suponer riesgos críticos para el negocio, legales y normativos". Por tanto, afirma que "la información personal de más del 10% de los usuarios de aplicaciones basadas en Firebase podría estar en peligro".
"Hoy en día, cualquier empresa tiene una aplicación: tiendas, gimnasios, servicios postales, o incluso aplicaciones de medio ambiente y de donaciones. Por ello, las empresas deben esforzarse por llevar a cabo un desarrollo responsable de sus apps, haciendo de la seguridad y la privacidad una parte clave de todo el proceso de desarrollo de la app".
Avast recomienda a los desarrolladores que se mantengan informados sobre el riesgo potencial de las bases de datos mal configuradas, y que sigan las mejores prácticas ofrecidas por Google.
"Instamos a todos los desarrolladores a que comprueben sus bases de datos y otros tipos de almacenamiento en busca de posibles errores de configuración para proteger los datos de los usuarios y hacer que nuestro mundo digital sea más seguro", ha concluido Martyanov.