El 92% de las Aplicaciones Móviles Utilizan Métodos Criptográficos Inseguros
- Alex Rubituci
- 17 jun
- 3 Min. de lectura
Actualizado: 19 jun
Un nuevo análisis de más de 17.000 aplicaciones móviles empresariales ha revelado fallas de seguridad críticas que podrían poner en riesgo a millones de usuarios y empresas.
Según un nuevo informe de Zimperium, titulado “Your Apps are Leaking: The Hidden Data Risks on your Phone” (Tus aplicaciones están filtrando: los riesgos ocultos de datos en tu teléfono), estas vulnerabilidades incluyen:
Almacenamiento en la nube mal configurado
Credenciales codificadas dentro de la app
Prácticas criptográficas obsoletas
El informe muestra que las aplicaciones móviles utilizadas en entornos corporativos están filtrando información sensible a un ritmo alarmante.
Los investigadores analizaron 17.333 aplicaciones móviles de trabajo de tiendas oficiales (6.037 para Android y 11.626 para iOS), descubriendo graves problemas de seguridad tanto en el ecosistema Android como en el iOS.
🛠️
Hallazgos más preocupantes:
83 apps de Android utilizaban almacenamiento en la nube sin protección o mal configurado
10 apps de Android contenían credenciales expuestas de Amazon Web Services (AWS)
El 92% de todas las apps analizadas utilizaban métodos criptográficos débiles o con fallas
5 de las 100 apps más populares tenían fallas criptográficas graves, como claves codificadas en el código o algoritmos obsoletos
Estas vulnerabilidades pueden exponer datos en tránsito o almacenados, dejando a las empresas vulnerables a:
Accesos no autorizados
Manipulación de datos
Extorsión, incluso sin ataques tradicionales de ransomware
🗣️ “Una mala configuración del almacenamiento en la nube y credenciales expuestas es como dejar la puerta principal abierta y decir que la casa está segura”, afirmó Boris Cipot, ingeniero senior de seguridad en Black Duck.
“Es una invitación abierta para que los atacantes roben datos aprovechando configuraciones descuidadas.”
💸
El Costo de la Negligencia
La creciente dependencia de dispositivos móviles en entornos corporativos, especialmente bajo políticas BYOD (bring your own device, o “trae tu propio dispositivo”), ha aumentado significativamente la superficie de ataque para los cibercriminales.
Solo en 2024, las filtraciones de datos afectaron a más de 1.700 millones de personas, generando pérdidas financieras estimadas en 280.000 millones de dólares.
Aunque la integración con la nube es fundamental para la escalabilidad, introduce riesgos cuando las APIs y SDKs no se implementan de forma segura.
Algunas aplicaciones dentro del top 100 de Google Play Store tenían directorios de almacenamiento expuestos al público, haciéndolas vulnerables a escaneos constantes por parte de actores maliciosos.
Las debilidades criptográficas agravan aún más la amenaza. El uso de algoritmos desactualizados como MD2 y generadores de números aleatorios inseguros significa que incluso los datos cifrados pueden no estar protegidos.
🗣️ “La criptografía es la base de la comunicación y el almacenamiento seguros”, añadió Cipot.
“Si se utilizan algoritmos criptográficos defectuosos o no se aplica ninguna protección, estamos ante una situación altamente alarmante.”
✅
Recomendaciones para las Empresas
Para enfrentar estos riesgos, Zimperium recomienda que las organizaciones empresariales tomen las siguientes acciones:
Identificar y corregir configuraciones mal hechas en la nube
Detectar y rotar credenciales y claves API expuestas
Validar los métodos criptográficos utilizados y evitar algoritmos obsoletos o inseguros
Monitorear SDKs de terceros en busca de vulnerabilidades conocidas
🗣️ “La adopción de la nube ha desbloqueado un enorme potencial para las organizaciones”, dijo Rom Carmel, cofundador y CEO de Apono.
“Pero para mantenerse resilientes en el panorama dinámico de amenazas actual, los equipos de seguridad deben adoptar una estrategia de defensa en profundidad: eliminar accesos permanentes, aplicar el principio de menor privilegio y limitar lo que pueden hacer las identidades comprometidas.”
Comentarios