Es hora de auditar su código porque parece que algunas funciones sin código o con código bajo utilizadas en las aplicaciones de iOS o Android pueden no ser tan seguras como pensaba. Esa es la gran conclusión de un informe que explica que el software ruso disfrazado se está utilizando en aplicaciones del ejército de los EE. UU., los CDC, el Partido Laborista del Reino Unido y otras entidades.

Cuando Washington se convierte en Siberia

El problema es que el código desarrollado por una empresa llamada Pushwoosh se ha implementado en miles de aplicaciones de miles de entidades. Estos incluyen los Centros para el Control y la Prevención de Enfermedades (CDC), que dicen que se les hizo creer que Pushwoosh tenía su sede en Washington cuando el desarrollador en realidad tiene su sede en Siberia, explica Reuters. Una visita al feed de Twitter de Pushwoosh muestra que la empresa afirma tener su sede en Washington, DC.

La compañía proporciona soporte de código y procesamiento de datos que se puede usar en aplicaciones para perfilar lo que los usuarios de aplicaciones de teléfonos inteligentes están haciendo en línea y enviar notificaciones personalizadas. CleverTap, Braze, One Signal y Firebase ofrecen servicios similares. Ahora, para ser justos, Reuters no tiene pruebas de que se haya abusado de los datos recopilados por la empresa. Pero el hecho de que la empresa tenga su sede en Rusia es problemático, ya que la información está sujeta a las leyes de datos locales, lo que podría representar un riesgo para la seguridad.

Puede que este no sea el caso, por supuesto, pero es poco probable que un desarrollador involucrado en el procesamiento de datos que podrían considerarse confidenciales quiera correr este riesgo.

¿Cuál es el fondo?

Si bien hay muchas razones para desconfiar de Rusia en este momento, estoy seguro de que cada país tiene sus propios desarrolladores de componentes externos que pueden o no priorizar la seguridad del usuario. El desafío es saber cuáles lo hacen y cuáles no.

La razón por la que dicho código Pushwoosh se usa en las aplicaciones es simple: se trata de dinero y tiempo de desarrollo. El desarrollo de aplicaciones móviles puede ser costoso, por lo que para reducir los costos de desarrollo, algunas aplicaciones usarán código estándar de terceros para ciertas tareas. Esto mantiene los costos bajos, y dado que nos estamos moviendo hacia entornos de desarrollo sin código/de código bajo con bastante rapidez, vamos a ver más de este tipo de enfoque de modelado de ladrillo y mortero para el desarrollo de aplicaciones.

Eso es bueno, porque el código modular puede brindar enormes beneficios a las aplicaciones, los desarrolladores y las empresas, pero resalta un problema que cualquier empresa que utilice código de terceros debe tener en cuenta.

¿Quién es el dueño de tu código?

¿Qué tan seguro es el código? ¿Qué datos se recopilan mediante el código, a dónde va esta información y qué poder tiene el usuario final (o la empresa cuyo nombre aparece en la aplicación) para proteger, eliminar o administrar estos datos?

Hay otros desafíos: cuando se usa dicho código, ¿se actualiza periódicamente? ¿El código en sí sigue siendo seguro? ¿Qué profundidad de rigor se aplica al probar el software? ¿El código incorpora un código de seguimiento de secuencias de comandos no revelado? ¿Qué cifrado se utiliza y dónde se almacenan los datos?

El problema es que si la respuesta a cualquiera de estas preguntas es «no sé» o «ninguno», los datos están en riesgo. Esto subraya la necesidad de evaluaciones de seguridad sólidas en torno al uso de cualquier código de componente modular.

Los equipos de cumplimiento de datos deben probar rigurosamente estos elementos: las pruebas «mínimas» no son suficientes.

También diría que un enfoque en el que todos los datos recopilados sean anónimos tiene mucho sentido. De esta forma, en caso de fuga de información, se minimiza el riesgo de mal uso. (El peligro de las tecnologías personalizadas que carecen de una sólida protección de la información en medio del intercambio es que estos datos, una vez recopilados, se convierten en un riesgo para la seguridad).

Seguramente las implicaciones de Cambridge Analytica ilustran por qué la ofuscación es una necesidad en una era conectada.

Apple ciertamente parece entender este riesgo. Pushwoosh se utiliza en unas 8000 aplicaciones de iOS y Android. Es importante destacar que el desarrollador afirma que los datos que recopila no se almacenan en Rusia, pero eso puede no protegerlos de la exfiltración, dicen expertos citados por Reuters.

En cierto sentido, esto no importa mucho, porque la seguridad se basa en anticipar el riesgo, en lugar de esperar a que ocurra el peligro. Dada la gran cantidad de empresas que quiebran después de ser pirateadas, es mejor prevenir que curar cuando se trata de políticas de seguridad.

Es por eso que todas las empresas cuyos equipos de desarrollo confían en el código listo para usar deben asegurarse de que el código de terceros sea compatible con la política de seguridad de la empresa. Porque es su código, con el nombre de su empresa, y cualquier uso indebido de esos datos debido a pruebas de cumplimiento insuficientes será su problema.

Sígueme en Twitter o únete a mí en AppleHolic’s bar & grill y en los grupos de discusión de Apple en MeWe. Además, ahora en Mastodon.

Derechos de autor © 2022 IDG Communications, Inc.

Share This