Los datos de 69.000 mexicanos están expuestos debido al uso de aplicaciones de rastreo del coronavirus. Las ‘apps’ de los gobiernos de Chihuahua, Puebla y Sonora han sido desarrolladas con errores que no garantizan la seguridad de quienes las usan, alerta la empresa especializada en ciberseguridad Seekurity.
En la carrera por monitorear todos los nuevos contagios de COVID-19 que se van produciendo, los diferentes gobiernos locales de México han optado por confiar en las aplicaciones móviles de rastreo.
El problema es que los expertos han advertido que la rapidez con la que se han desarrollado esas apps ha causado que no se revisaran con la necesaria rigurosidad pasos cruciales como el envío de datos, su cifrado y la garantía de privacidad de los usuarios. El resultado es que Seekurity, en su análisis de estas aplicaciones, ha descubierto que información clave de 69.000 usuarios está expuesta.
“El exponer información sensible, como lo es la información de salud, puede derivar en factores como la discriminación de las personas infectadas en sus lugares de trabajo, zonas en las que habitan, acceso a servicios o incluso acciones de violencia contra ellos”, alerta la empresa en su blog.
La compañía destaca que se ha puesto en contacto con los gobiernos responsables de esas aplicaciones para informar de este problema, pero, “ya que no existe una vía directa para notificar [las vulnerabilidades] a los responsables directos”, no ha recibido respuesta aún.
He aquí las vulnerabilidades observadas en cada una de las tres aplicaciones con problemas (resultados que serán publicados al cabo de 30 días desde la fecha de notificación a los responsables si no hay respuesta):
Al analizar la aplicación COVID Puebla, lo primero que llamó la atención de los profesionales de Seekurity es que el código fuente tiene un usuario y una contraseña grabados. Eso permitiría a un atacante “autenticarse al servicio que soporta la aplicación”.
Además, la app no cuenta con medidas de protección de la información enviada y recibida. Estos y otros fallos dejan al descubierto información del usuario tan sensible como el nombre, el diagnóstico del test de COVID-19, la fecha de nacimiento, el número telefónico y otros datos personales. Por estas razones, la aplicación ya ha sido dada de baja de la Play Store de Google.
En el caso de la app de COVID-19 de Chihuahua, Seekurity considera alarmante que se pueda enviar el tráfico en texto plano, es decir, sin cifrar. A eso se añade que, para iniciar con el formulario de evaluación, no es necesario introducir la confirmación de que se ha verificado que el número de teléfono indicado es verídico, y los atacantes pueden encontrar en eso una ventana para sus acciones.
Por último, la aplicación Sonora COVID-19 tiene vulnerabilidades que “ponen en riesgo la información de 3.709 registros de ciudadanos potencialmente infectados”.
