Siempre es importante saber que tan expuesta se encuentra la información que se publica en las redes sociales, o es accesible desde teléfonos móviles. Sobre todo cuando existe la posibilidad de que datos tales como correos electrónicos, números de teléfonos y lista de contactos se envíe a empresas sin el consentimiento del usuario.
Durante los últimos días se ha estado hablando del aparente filtrado de información de usuarios en la conocida red social de Facebook y varias plataformas móviles, tales como Android e iOS, causando un gran revuelo en el ambiente de seguridad de la información.
La noticia acerca de Facebook es la que mas repercusiones ha tenido debido a que la red cuenta con más de 500 millones de usuarios. Todo esto a raíz de un estudio publicado por el Wall Street Journal en el cual revelaba una aparente violación de la política de confidencialidad de Facebook. En este caso en particular se filtraba el Facebook ID, permitiendo también que empresas de publicidad accedieran a datos de los usuarios como sus nombres e incluso sus contactos. Conocidas aplicaciones como Farmville, Texas HoldEm, FrontierVille, entre otras, son las que fueron identificadas por el Wall Street Journal. La mayoría de las aplicaciones que filtraban estos datos no han sido desarrolladas por Facebook. Varias de estas aplicaciones dejaron de estar disponibles a los usuarios. A diferencia de otras ocasiones en las que se ha hecho mención en este blog no se trata de un ataque a Facebook o sus usuarios sino de un caso de fuga de información.
Pero este filtrado de información no termina solo en la conocida red social sino que también se extiende a usuarios de teléfonos móviles con sistemas operativos Android y iOs. El filtrado de datos personales de los usuarios se podría estar enviando sin el consentimiento del usuario. Esto nos lleva a remarcar una vez más la importancia de conocer cuales son las aplicaciones que se instalan en los dispositivos, como así también tomar conciencia de la proveniencia de dónde fue adquirida la misma (Android Market, Obi Symbian, Apple Store), para más información se puede consultar el decálogo de seguridad para dispositivos móviles de ESET.
En el sistema operativo de Google, para dispositivos móviles y tablets se encontró que aplicaciones filtraban datos tales como ubicación, números de teléfono y otra información sensible del usuario sin el consentimiento del mismo, haciendo que información personal pueda ser accedida por terceros. Si bien no se trata de un malware propiamente dicho, el envío de información sin el conocimiento del usuario pueden llevar a spam de SMS (mensajes de texto) o correos electrónicos.
La misma situación fue observada en aplicaciones para iPhone, en donde el UDID (Unique Device Identifier - en español, Identificador Único del Dispositivo) es enviado tanto a los desarrolladores de aplicaciones como así también a terceros.
Estos hechos son más que importantes debido a que llevan a tomar conciencia de la información que uno publica o aplicaciones utilizadas tanto para fines personales como para recreación. Si bien no estamos hablando de una infección o un nuevo vector de ataque dirigido a los usuarios, el acceso y uso de los datos personales no son transparentes y pueden derivar en usos no éticos por parte de terceros. Por ello es de vital importancia conocer el acceso que se le concede a cada una de las aplicaciones utilizadas, tanto en los dispositivos móviles como así también en las diferentes redes sociales. Como consejo de protección para el usuario recomendamos seguir las buenas prácticas tanto en dispositivos móviles como en Internet, llegando así a limitar las chances de ser víctimas de aplicaciones fraudulentas, recepción de correos no deseados o incluso ser victimas de malware.
Pablo Ramos
Especialista de Awareness & Research