Los empleados ponen en riesgo los datos de las empresas instalando aplicaciones de juego en sus teléfonos

Si se trabaja para una gran empresa, hay muchas posibilidades de que algunos colegas hayan instalado aplicaciones de juego en los dispositivos portátiles que utilizan para el trabajo, y esto son malas noticias para el departamento de TI.

Un estudio ha descubierto que la compañía media tiene más de una de tales aplicaciones de juego en algún dispositivo de sus empleados, poniendo en riesgo los datos corporativos almacenados en esos dispositivos. El análisis fue ejecutado por la empresa de seguridad Veracode, que ha escaneado cientos de miles de aplicaciones móviles instaladas en entornos móviles corporativos. El estudio descubrió que algunas compañías tienen hasta 35 aplicaciones móviles de juego en su entorno de red.

La compañía ha probado algunas de las aplicaciones de juego más populares detectadas en entornos corporativos, y encontró vulnerabilidades críticas que podrían permitir a los hackers obtener acceso a los contactos, correos, historial de llamadas y datos del teléfono, así como grabar conversaciones.

Por ejemplo, una app de casino contenía un programa para chequear si el dispositivo había sido violado, lo que permitiría a la aplicación tener acceso sin restricciones al dispositivo. La aplicación tenía ya la capacidad de grabar audio y video, así como acceder a la información de la identidad del usuario, pero además era vulnerable a ataques del tipo “man-in-the-middle”, que permitiría a los atacantes espiar o alterar sus comunicaciones, afirman los investigadores de Veracode.

Otra aplicación de máquina tragaperras no utilizaba ningún tipo de cifrado cuando comunicaba con sus servidores, permitiendo que los atacantes pudieran interceptar el tráfico y obtener datos demográficos del usuario como sexo y fecha de nacimiento.

Irónicamente, la aplicación descargó 24 megabytes de datos cifrados desde servidores fuera de los Estados Unidos, sin permiso del usuario, afirman los investigadores. Una decena de otras aplicaciones de juegos de azar tenían acceso a lectura, escritura y borrado de archivos locales, así como abrir comunicaciones de red con servidores arbitrarios, una actividad de alto riesgo para los entornos corporativos.

Las aplicaciones móviles gratuitas, incluyendo las de juegos de azar, incorporan típicamente bibliotecas de publicidad que tienen acceso a información de identificación del dispositivo y del usuario. Otras investigaciones han demostrado que muchas de estas bibliotecas no utilizan HTTPS, exponiendo potencialmente información sensible a ataques exteriores.

Para reducir el riesgo de que aplicaciones móviles no autorizadas filtren datos corporativos sensibles, se aconseja a las compañías que implanten políticas de listas negras de aplicaciones como las que aplican productos de MDM (Mobile Device Management) o EMM (Enterprise Mobility Management).