En Estados Unidos una investigación realizada por TechCrunch ha desvelado que varias apps para teléfonos iPhone de empresas como Air Canada, Expedia, Hotels.com o Singaporte Airlines graban secretamente la pantalla cuando el usuario está introduciendo datos como su tarjeta de crédito y pasaporte. Pero hay otro problema más grave aún: esa información sensible no está bien encriptada o enmascarada y cuando se transmite podría ser vista por terceros o, peor aún, hackeada.
Según explica TechCrunch, aunque en general los usuarios asumen que las apps recopilan ciertos datos, lo que ahora se ha descubierto va un paso más allá, dado que las grabaciones de la pantalla se están realizando de manera secreta.
De acuerdo con el citado medio, las citadas apps usan la tecnología de una tercera empresa tecnológica, Glassbox, que permite grabar la pantalla cuando alguien usa la app. Es decir, se registra cada pulsación y entrada de datos desde el teclado.
Esas grabaciones son enviadas desde el smartphone a los desarrolladores de la app, que de este modo pueden reproducir la sesión del usuario y ver cómo éstos interactuaron con la aplicación, para averiguar si algo no funcionó, si hubo errores, etc.
Pero según indica TechCrunch, citando fuentes de analistas tecnológicos, el problema añadido es que estas apps no enmascaran suficientemente la sesión del usuario cuando alguien la reproduce, por lo que quedan expuestos números de pasaportes y de tarjetas de crédito ante los empleados de la empresa. Y con el consiguiente riesgo que esa información pudiera ser hackeada.
De hecho, Air Canada reconoció haber sufrido un ataque informáticoel pasado agosto que afectó a su app móvil y que dejó al descubierto datos de 20.000 viajeros: nombre, correo electrónico, teléfono, número del pasaporte y fecha de caducidad, fecha de nacimiento, nacionalidad y país de residencia.
Información vulnerable
“Lo que ha sucedido no me sorprende. Las empresas turísticas y desarrolladores siempre buscan optimizar al máximo la app y aquí entran en juego empresas como Glassbox, cuya tecnología permite grabar la sesión para detectar fallos y mejorar la usabilidad”, nos explica Fabián González, analista de tecnologías aplicadas al turismo. “El problema es cuando el usuario no está informado de esas grabaciones y peor aún, los datos sensibles como el pasaporte o la tarjeta de crédito no se ocultan a terceros”, añade. “Si esa información no se encripta, un ataque a los servidores de la empresa puede dejar al descubierto muchos datos”, añade.
Para mejorar la usabilidad de la app ¿vale la pena grabar la pantalla cuando el usuario está introduciendo información sensible?
Ante estas brechas de seguridad, muchas empresas turísticas se pueden estar preguntanto qué deben hacer con su app.
“En primer lugar, es necesario evaluar si va a valer la pena grabar determinados datos sensibles de la pantalla para mejorar la usabilidad de la aplicación, porque eso va a requerir un nivel extra de protección”, indica Fabian González. “Si llegas a la conclusión de que no valdrá la pena, pues no captures ni almacenes esos datos sensibles para evitarte problemas. Y si decides que sí vale la pena, entonces debes por ley avisar al usuario que vas a grabar lo que hace”, añade este experto. “Otra cosa es que luego el usuario se lea completamente las condiciones de la app, pero tú tienes que hacer los deberes a nivel legal”, remarca.
Información sin cifrar
¿Constituye este tipo de grabaciones de pantalla un hecho puntual o está extendido?
Según apunta Jordi Serra, profesor de Telecomunicaciones de la UOCy experto en seguridad informática, suele ser habitual que los desarrolladores utilicen determinadas herramientas tecnológicas para recopilar datos sobre cómo los usuarios interactúan con la app para mejorar su uso.
Cuando pagamos por el móvil, la información se transmite encriptada al banco, pero la grabación de la pantalla es un envío diferente hacia otro servidor
“Una cosa es que pongas tu tarjeta de crédito en una app para comprar algo: esa información va cifrada y se envía al banco. Pero si además, mientras introduces esos datos, se está grabando la pantalla y esa grabación se envía a un tercero, a otro servidor, sin encriptar, existe el riesgo que esa información sensible sea interceptada”.
¿Interceptada por quién? Por ejemplo, por un hacker desde una red Wifi que accede a nuestros smarphones, o bien por empleados corruptos, sean de la propia empresa turística o de una compañía proveedora de tecnología.
En suma, concluye Jordi Serra, “en primer lugar, como empresa deberías exponer de manera clara las condiciones de privacidad y qué tipo de datos recoges. Y en segundo lugar, debes asegurarte que todala información que se envía desde el smartphone esté cifrada”.
El artículo de TechCrunch puede leerse haciendo click en este enlace.
Fuente: https://www.hosteltur.com
Comments