En los últimos meses, muchas personas se han descargado aplicaciones relacionadas al COVID-19, como las de rastreo. Estas fueron creadas con la intención de geolocalizar individuos que porten el virus.
Además, las también llamadas «Covid trackers» sirven como herramienta de diagnístico temprano, y es una fuente de estadísticas para diversos gobiernos.
En este contexto, ESET analizó diferentes apps para Android que fueron impulsadas por diferentes autoridades latinoamericanas. Investigó 17 aplicativos usados los gobiernos de Perú, Chile, Brasil, Argentina, Bolivia, Ecuador, Colombia, Guatemala, Uruguay y México.
Del total de aplicaciones analizadas, todas disponibles en Play Store, 14 utilizaban Firebase Realtime Database para almacenar datos. Estos presentaron errores en la configuración que afectaban la seguridad y privacidad de datos de los usuarios.
- Nuevo engaño sobre Heineken circula en WhatsApp
- ¿Cómo configurar la privacidad en tu cuenta de Instagram y Tik Tok?
Desde el Laboratorio de Investigación de ESET se detectó que dos de dichas apps, ambas de Argentina e impulsadas por autoridades provinciales y municipales, eran vulnerables. Estos podrían tener posibles ataques dado a que se conectaban con base de datos públicas para procesar datos privados de más de 6 mil usuarios.
De esta manera, los cibercriminales pueden acceder a nombres, apellidos, fechas de nacimientos, DNI, correos electrónicos, puntos de geolocalización, teléfonos, entre otros. Cabe mencionar que estas vulnerabilidades ya fueron reparadas antes de publicar esta investigación.
Firebase de Google es una solución rápida para el almacenamiento de datos y envío de mensajes en aplicativos cliente-servidor. Estos se guardan en formato JSON y pueden ser consultrados o modificados a través de una API tipo REST.
“La buena noticia es que este tipo de errores es completamente evitable. Solo debemos cerciorarnos de que entendemos cómo funciona la autenticación y autorización en la suite de Firebase, qué información queremos proteger. Y realizar testeos sobre nuestras bases de datos en producción para asegurarnos de que no son susceptibles de este tipo de ataques…”, puntualizó Denise Giusto Bilic, Analista de Seguridad Informática de ESET Latinoamérica.
