Las aplicaciones de seguimiento de contactos aún exponen a los usuarios a …



De casi 100 aplicaciones probadas, el 40% tiene problemas de seguridad importantes, ya sea utilizando ubicaciones GPS o detección de proximidad Bluetooth personalizada para determinar la exposición.

Las aplicaciones actuales de rastreo de contactos que no utilizan el protocolo de notificaciones de exposición Apple-Google no han implementado suficientes medidas de seguridad sólidas, lo que pone en riesgo los datos confidenciales de los usuarios, según una encuesta actualizada de las aplicaciones realizada por la firma de seguridad móvil Guardsquare.

La compañía analizó 95 aplicaciones de rastreo de contactos (52 aplicaciones de Android y 43 aplicaciones de iOS) y descubrió que el 40% no usaba el protocolo Apple-Google, que está diseñado para proteger la privacidad del usuario. En cambio, muchas de esas aplicaciones utilizaron datos del sistema de posicionamiento international (GPS) para determinar las ubicaciones de los usuarios y lo vincularon a sus números de teléfono o identificadores de pasaporte, indicó la compañía en el análisis, publicado hoy.

Guardsquare no quería «nombrar y avergonzar» a las empresas y naciones que adoptaron el enfoque de elaboración casera, pero vincular la ubicación GPS con los detalles de identificación convierte una aplicación de atención médica útil en un método de vigilancia, dice Grant Goodes, científico jefe de Guardsquare.

«Como usuario de un teléfono móvil, generalmente solo activo la información de mi ubicación para las aplicaciones de mapas. No permito que otras aplicaciones, como las de compras, sepan dónde estoy», dice. «Si combinas datos de GPS y un número de pasaporte y lo envías a un servidor de manera insegura, entonces estoy muy preocupado».

Si bien el rastreo de contactos ha perdido importancia a medida que las naciones han mantenido la pandemia bajo control o han sucumbido a la fatiga pandémica y han experimentado picos de infecciones, estas aplicaciones podrían resultar críticas para futuros brotes. Asegurar adecuadamente las aplicaciones y garantizar ciertos niveles de privacidad será clave para convencer a los usuarios de que instalen las aplicaciones.

En junio, Guardsquare encuestó a 17 aplicaciones de Android y encontró solo una que encriptaba y ofuscaba los datos por completo.

En el última encuesta de las aplicaciones de rastreo de contactos, la compañía examinó 95 aplicaciones y descubrió que 32 aplicaciones de Android y 25 aplicaciones de iOS usaban la API oficial del sistema de notificaciones de exposición creado por Apple y Google. Debido a que las empresas diseñaron la API para proteger la privacidad, los datos del usuario nunca se exponen y, por lo tanto, las aplicaciones se consideran seguras, dice Goodes.

Sin embargo, del 40% que no usó las Notificaciones de exposición oficiales, solo alrededor del 5% usó más de dos de las seis medidas de seguridad necesarias, incluido el cifrado de cadenas confidenciales, el cifrado de datos en reposo, la vinculación de hosts a sus claves SSL y el monitoreo de dispositivo para un jailbreak.

«Desafortunadamente, aunque se han implementado más aplicaciones desde junio, y aunque la API de Google / Apple ha hecho una gran mella en las preocupaciones de privacidad y seguridad, muchas aplicaciones aún no protegen adecuadamente los datos de los usuarios», afirma el informe.

Crear una plataforma fuertemente a favor de la privacidad es fundamental para convencer a los usuarios de que adopten la tecnología.

En abril, Apple y Google anunciaron que trabajarían juntos en una forma de detectar la exposición de personas con COVID-19 utilizando las capacidades de los dispositivos móviles y el protocolo de comunicaciones Bluetooth. El protocolo de notificaciones de exposición asigna a un dispositivo una clave que cambia cada 10 a 20 minutos, almacena las claves localmente y solo transmite los últimos 14 días de claves si el propietario del dispositivo es diagnosticado con COVID-19 y da su permiso, según una FAQ publicada por las empresas.

Las dos compañías hicieron de la privacidad la principal preocupación, requiriendo que los usuarios enciendan la tecnología explícitamente, evitando que el dispositivo envíe las claves a otros, y aleatorizando y rotando las claves para que anonimicen al usuario. Todos los días, los dispositivos de los usuarios descargarán la lista de claves para los usuarios móviles infectados y, si una clave coincide, se les notificará que han sido expuestos.

El enfoque de Apple y Google es el estándar de oro y se united states ampliamente en América del Norte y Europa, dice Goodes. Si bien no mencionó las aplicaciones específicas que usaban tecnología GPS o un protocolo Bluetooth personalizado para detectar la proximidad, Goodes dijo que muchos de los países que implementaron las aplicaciones eran menos democráticos con gobiernos centrales más fuertes.

«La protección adecuada de las aplicaciones de rastreo de contactos no es solo una cuestión de privacidad y seguridad de los ciudadanos», afirma el informe. «No es solo un problema de confianza del gobierno. Lo más importante, es un problema de salud pública».

Debido a que la presión por el rastreo de contactos electrónicos probablemente desaparecerá a medida que se implemente la vacuna contra el coronavirus, las empresas de tecnología y los gobiernos nacionales tienen tiempo para obtener la tecnología adecuada para la próxima vez que se necesite. Los gobiernos deben hacer planes, incluidas las especificaciones que requieren privacidad y seguridad, dice Goodes.

«Me hubiera encantado ver que había un mayor enfoque en la seguridad», dice. «Las autoridades gubernamentales deberían haber puesto en la (solicitud de propuesta) que la seguridad period un requisito».

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET News.com, Dark Examining, MIT&#39s Technology Assessment, Common Science y Wired News. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original