¿Cómo desarrollar aplicaciones seguras?

En el artículo anterior se realizó un repaso sobre la importancia de los temas de seguridad focalizados básicamente en sitios web. Sin embargo existe otro vasto mundo que cada vez gana más terreno y es el de las aplicaciones móviles.

Día a día se publican miles de nuevas aplicaciones para las diferentes plataformas móviles (Android, iOS, Windows Phone, Blackberry y otros) que incluyen teléfonos inteligentes y tabletas. Si pensamos que el poder de cómputo de un teléfono inteligente de la actualidad supera largamente el de las primeras computadoras personales, no es difícil imaginar que cada vez más gente utiliza el móvil para todo uso, desde la distracción como lecturas, juegos y redes sociales hasta los negocios (correo y aplicaciones de la empresa) y finanzas personales (banca móvil).

La ubicuidad de estos dispositivos hace que sean el ámbito elegido por muchísima gente para realizar la gran mayoría de las operaciones de su vida digital diaria, que de otra manera se harían con una computadora personal, con la ventaja que desde el teléfono se pueden realizar casi en cualquier parte y bajo cualquier circunstancia.

¡Pero nada es gratis en este mundo! Esta facilidad de uso conlleva también una importante cantidad de riesgos asociados con el tipo de aplicación. Desde un dispositivo móvil podemos trabajar con diferentes tipos de aplicaciones, a saber:

Nativas: son aplicaciones que se desarrollan específicamente para un determinado sistema operativo y brindan control completo sobre el hardware subyacente;

Web: son aplicaciones web tradicionales que tienen la capacidad de mostrar su interfaz adaptada al dispositivo que las accede. Desde el móvil se acceden utilizando el navegador web;

Híbridas: combinan lo mejor de ambos mundos. Hoy es cada vez más frecuente que el ámbito web se limite a ofrecer un backend con las funciones que invocan las aplicaciones móviles (APIs) para consumir dichos servicios.

OWASP, como ya se explicara en el artículo anterior, son las siglas en inglés del Proyecto Abierto de Seguridad de Aplicaciones Web (Open Web Application Security Project) y tiene un apartado específico para la seguridad de las aplicaciones móviles.

Dentro del mismo se publican también las top 10 vulnerabilidades que deben ser tenidas en cuenta tanto a la hora de desarrollar este tipo de software como también a la hora de testearlo desde el punto de vista de seguridad. También está disponible la lista de chequeos por tipo de vulnerabilidad.

Existen técnicas y herramientas específicas para comprobar el estado de la seguridad de una aplicación móvil, cualquiera sea la plataforma que se trate, ya que existen los mismos riesgos que en cualquier aplicación web con el agregado de los riesgos inherentes a la plataforma móvil.

Para citar algunos ejemplos, existe malware para los diferentes sistemas operativos móviles, posibilidades de vulnerar la arquitectura de dichos sistemas, ataques dirigidos utilizando características de los móviles, robo de información local que dejen las aplicaciones nativas, y una gran cantidad de amenazas que deben ser tenidas en cuenta, ya que plantean riesgos importantes para el usuario, que pueden poner en peligro tanto su privacidad como su negocio online.

El análisis de vulnerabilidades de estas aplicaciones, previamente a su disponibilización a los usuarios, posibilita una detección temprana de estas amenazas y su corrección antes que lleguen al público en forma masiva.

Algunos consejos para utilizar los dispositivos móviles de una manera más segura

1. Utilizar siempre un PIN o patrón de desbloqueo: Esto hará mucho más dificultoso el acceso a los datos en caso de robo del dispositivo.

2. Configurar el dispositivo para que se bloquee automáticamente luego de un tiempo de inactividad: Evita accesos no autorizados en caso de olvido del móvil en una reunión por ejemplo.

3. Instalar un antivirus: Aunque sea la versión gratuita de alguno de los productos de renombre otorga un grado de protección ante diferentes amenazas y malware. Incluso algunos permiten bloquear el dispositivo a distancia en caso de robo.

4. Descargar aplicaciones de fuentes seguras: Si bien en los stores tanto de Google como de Apple también existen aplicaciones tipo malware, siempre el riesgo es menor si se instalan aplicaciones que provengan de uno de estos repositorios conocidos más que de sitios de dudosa reputación.

5. Realizar copias de resguardo de los datos importantes que el usuario tenga en el dispositivo.

6. Cifrar la información confidencial: Si el dispositivo provee funciones de cifrado es muy conveniente cifrar toda la información confidencial de manera que, ante un robo, los ciberdelincuentes no pueda acceder a la misma.

7. Mantener el software del dispositivo, tanto sea el sistema operativo como las aplicaciones instaladas, actualizados a sus últimas versiones.

8. Desactivar la conexión Bluetooth siempre que se pueda para evitar el riesgo de accesos no autorizados por esta vía.

9. Mucho cuidado al utilizar redes wifi abiertas, pueden ser simplemente una trampa para robo de contraseñas u otra información sensible.

10. Cuidado con los enlaces y publicidades que aparecen en el dispositivo, ya sea via SMS, whatsapp u otros medios, ya que pueden ser el inicio de maniobras de engaño o phishing.

Germán S. Arduino, freelancer de IT y Programación en Workana.

Para comenzar a trabajar de forma independiente, mira los proyectos publicados en Workana y posúlate. O también puedes emprender: crea un proyecto en Workana y contrata freelancers que te ayuden a desarrollarlo.

Subscribe to the Workana newsletter and keep updated