photo de l'application stop covid

COVID-19: ¿Son realmente seguras las aplicaciones de seguimiento?

Para limitar la propagación de la epidemia, el gobierno anima ahora al público a utilizar aplicaciones sanitarias. Monitorización del Covid-19 derivada del Big Data. Sin embargo, como todas las aplicaciones médicas y sanitarias, el 71% de ellas tienen una vulnerabilidad de seguridad. Estas herramientas, aunque muy populares, constituyen presa fácil para los ciberdelincuentes.

Para elaborar este informe, Intertrust analizó más de 100 aplicaciones de mHealth de cara al público en todo el mundo. Esta operación a gran escala permitió determinar la vulnerabilidad del software así como sus amenazas. El estudio también se centró en una gran categoría de programas, incluidas las aplicaciones de seguimiento de Covid-19.

Las principales amenazas de las aplicaciones móviles

El sistema de cifrado constituye la principal amenaza de las aplicaciones sanitarias. De hecho, de más de 100 aplicaciones estudiadas, el 91% de ellas no pasaron las pruebas criptográficas.

El informe encontró que algunas herramientas utilizan detección racial, mientras que un pequeño porcentaje presenta cifrado de cadenas. Finalmente, una minoría incluye la detección de emuladores y el cifrado de recursos o activos. Sólo una solicitud recibió la acreditación de Intertrust después del banco de pruebas.

Estos resultados arrojan luz sobre los problemas criptográficos de la mHealth. El software es presa fácil para los ciberdelincuentes. Los piratas informáticos pueden romper rápidamente el cifrado y explotar datos confidenciales de pacientes para enviar comandos ilegítimos. También pueden utilizar la aplicación con fines maliciosos.

Fortalecer la seguridad entre las principales prioridades

Esto no es una mera especulación. Los riesgos de filtración de datos son reales y el informe de Intertrust lo demuestra. Un estudio que también debería animar a los desarrolladores a revisar su sistema de seguridad.

A lire également  El enorme esfuerzo de China para recolectar ADN de su pueblo preocupa a los científicos

De hecho, para muchos, su misión principal es garantizar que la herramienta funcione correctamente en un plazo determinado. La seguridad sólo llega después. Una forma de trabajar que está en el origen de los antecedentes de las vulnerabilidades detectadas en varias aplicaciones médicas. Afortunadamente, según Intertrust, estos problemas se pueden corregir implementando sistemas de protección como la ofuscación de código, la detección de manipulaciones y la criptografía de caja blanca.

Aspectos destacados del informe

En total, 100 aplicaciones para iOS y Android pasaron a manos de expertos en ciberseguridad. Se analizaron utilizando una variedad de técnicas de análisis estático y dinámico de acuerdo con los riesgos de seguridad móvil de OWASP. El estudio de vulnerabilidad se lleva a cabo sobre la base del sistema internacional independiente de clasificación de amenazas CVSS. Esto es lo que necesita recordar del informe:

  • Todas las aplicaciones de Android probadas y el 72 % de las aplicaciones de iOS contenían cuatro o más vulnerabilidades, lo que ofrece un panorama muy sombrío de la seguridad general de las aplicaciones de atención médica.
  • Las debilidades criptográficas y la mala protección del almacenamiento de datos también son las amenazas más extendidas.
  • La mala gestión y las debilidades del cifrado afectan al 91% de las aplicaciones. Lo que aumenta los riesgos de violaciones de datos y robo de propiedad intelectual.
  • El 34% de las aplicaciones de Android y el 28% de las aplicaciones de iOS son vulnerables a la extracción de claves de cifrado.
  • La mayoría de las aplicaciones móviles de salud tienen vulnerabilidades de seguridad relacionadas con el almacenamiento de datos. El 60% de las aplicaciones de Android analizadas almacenaron información en SharedPreferences. Por lo tanto, los piratas informáticos o los robots pueden leer y modificar fácilmente datos no cifrados.
  • El 85% de las aplicaciones de seguimiento de Covid han sido denunciadas por filtrar datos de los usuarios.