Descubren fallos de seguridad en aplicaciones de rastreo de COVID-19

Ante la propagación del nuevo coronavirus a nivel mundial, diversos gobiernos y compañías se avocaron en el desarrollo de una aplicación móvil que permitiera rastrear individuos que podrían estar potencialmente contagiados de COVID-19, brindara herramientas de diagnóstico temprano y ayudara a recopilar estadísticas sobre la enfermedad.

Estas apps, conocidas también como “COVID trackers”, utilizan diferentes herramientas de los smartphones para llevar a cabo su trabajo, como la conexión Bluetooth, el GPS y la localización basada en la red. No obstante, su funcionamiento también despertó preocupaciones relacionadas a la seguridad y privacidad de los usuarios.

Frente a ese contexto, el Laboratorio de Investigación de la compañía de ciberseguridad ESET analizó las aplicaciones para Android más relevantes relacionadas al COVID-19 que fueron impulsadas por autoridades gubernamentales de países de Latinoamérica, como Argentina, Bolivia, Brasil, Chile, Colombia, Ecuador, Guatemala, México, Perú y Uruguay.

De las 17 apps examinadas, 14 de ellas utilizaban Firebase Realtime Database de Google para almacenar los datos recopilados de los usuarios, por lo que se revisó la seguridad de esta plataforma. Los investigadores detectaron que dos aplicaciones de rastreo, ambas de Argentina e impulsadas por gobiernos provinciales y municipalidades locales, eran vulnerables a posibles ataques.

¿La razón? Estas dos aplicaciones se conectaban con bases de datos públicas para procesar la información privada de más de 6.000 usuarios, incluidos nombres, apellidos, fechas de nacimiento, DNI, correos electrónicos, puntos de geolocalización, números de teléfono y datos de seguimiento médico (si se les realizó un hisopado y si resultaron positivos).

Aunque Firebase guarda los datos en formato JSON y existen reglas para controlar el acceso a la información sensible, muchas veces esas normas están mal definidas y pueden facilitar a un atacante recuperar la data almacenada en diferentes niveles de la ruta de acceso. No obstante, las vulnerabilidades encontradas en estas apps ya fueron corregidas.

“La buena noticia es que este tipo de errores es completamente evitable”, afirmó Denise Giusto Bilic, analista de Seguridad Informática de ESET Latinoamérica. “Solo debemos cerciorarnos de que entendemos cómo funciona la autenticación y autorización en la suite de Firebase, qué información queremos proteger y realizar testeos sobre nuestras bases de datos”.