Cada vez son más y más las aplicaciones creadas que se usan para el esparcimiento, el control de dispositivos como televisores, equipos audio o luces, entre otras usos. Claramente, el objetivo es facilitar situaciones de la vida cotidiana, y los ciberdelincuentes también están al tanto de este objetivo.
Saben que, por ejemplo, muchos usuarios prestan sus dispositivos móviles a otros ya sea para jugar un juego, buscar información en Internet, enviar un mensaje o cualquier otra actividad. Al dejar de tener el control, estas personas pueden instalar consciente o inconscientemente aplicaciones de cualquier tipo sin saber, por ejemplo, que pueden tener fallas de seguridad. Consecuentemente, un atacante podría tomar control del equipo en cuestión aprovechándose de la misma.
Faustino Sánchez, orador de la charla, relata desde su experiencia que a la hora de crear aplicaciones muchos de los aspectos de seguridad no son tenidos en cuenta por los desarrolladores. Algunos ejemplos de este punto son los clásicos desbordamientos de pila, inyecciones sql, cross site scripting (XSS), etc. En el área informática el desarrollo y la seguridad están vistas como dos ramas diferentes, no obstante Sánchez afirma que “deberían estar más integradas, los desarrolladores deberían tener más conocimientos en seguridad para evitar este tipo de problemas en etapas de desarrollo, y los especialistas en seguridad conocimientos en programación para entender las vulnerabilidades”.
El porqué de esta afirmación es muy simple: ahorrar tiempo y dinero. Sin embargo, el costo económico es mucho menor al encontrar errores en la etapa de desarrollo, que una vez publicada la versión final del programa. Asimismo, es más productivo encontrar los errores en etapa de desarrollo los cuales se pueden solventar sobre la marcha, que una vez terminada la aplicación, ya que se reducirían los tiempos.
Estas dos cuestiones son los argumentos fundamentales de por qué los desarrolladores deberían integrarse más al área de seguridad. Una falla de seguridad en una aplicación representa una potencial vulnerabilidad por la cual se puede perder el control total del equipo. Si estas fallas no son detectadas en etapa de desarrollo, hay un tiempo que los usuarios que poseen la aplicación vulnerable, quedando así expuestos a ataques informáticos.
Es por estas razones que desde el Laboratorio de Investigación de ESET Latinoamérica nos preocupamos constantemente por generar contenidos de educación y concientización, para poder evitar este tipo de inconvenientes. Creemos fuertemente que a través del conocimiento y el uso de buenas prácticas, todos podremos usar mejor y disfrutar más de la tecnología.