Empresa

Kaspersky revela que las apps de terceros para automóviles entrañan riesgos para la seguridad

Las apps para coches conectados ofrecen diversas funciones con el objetivo de facilitar la vida de los conductores, pero también pueden ser una fuente de riesgo. Los expertos de Kaspersky han analizado 69 aplicaciones móviles de terceros diseñadas para controlar los coches conectados y han definido las principales amenazas a las que pueden enfrentarse los usuarios al utilizarlas. El estudio revela que más de la mitad (58%) utilizan las credenciales de los propietarios de los vehículos sin pedir su consentimiento. Además, una de cada cinco aplicaciones no tiene información de contacto, lo que hace imposible notificar un problema. Así lo revela el nuevo informe de Kaspersky Connected Apps.

Las aplicaciones conectadas para automoción ofrecen una amplia gama de funciones que contribuyen a facilitar la vida de los conductores. Por ejemplo, permiten controlar a distancia los vehículos abriendo o cerrando las puertas, ajustando la climatización o arrancando y parando el motor. Aunque la mayoría de los fabricantes de automóviles tienen sus propias aplicaciones legítimas para los coches que ellos mismos fabrican, las apps de terceros también son muy populares entre los usuarios, ya que ofrecen funcionalidades que aún no han sido introducidas por las marcas oficiales.

Las apps de terceros analizadas por Kaspersky abarcan casi todas las principales marcas de vehículos, con Tesla, Nissan, Renault, Ford y Volkswagen. Los expertos examinaron 69 aplicaciones de terceros diseñadas para coches conectados e identificaron los principales riesgos para la privacidad a los que podrían enfrentarse los conductores que las usen. Descubrieron que más de la mitad (58%) de las aplicaciones no advierten de los riesgos de utilizar la cuenta del propietario del servicio original del fabricante de automóviles.

Algunos desarrolladores aconsejan utilizar el token de autorización en lugar de un nombre de usuario y una contraseña, de modo que parezca más creíble. El problema reside en que, si el token se ve comprometido, los cibercriminales pueden acceder a los coches de la misma manera que lo harían utilizando las credenciales de las víctimas. Esto significa que el riesgo de perder el control sobre los vehículos sigue siendo alto. A pesar de ello, sólo el 19% de los desarrolladores lo mencionan y advierten al usuario en la letra pequeña.

El informe también desvela que una de cada siete (14%) aplicaciones no aporta datos de contacto del desarrollador, lo que hace imposible informar de un problema o solicitar más información sobre la política de privacidad de la app. Esto pone de manifiesto que la mayoría de estas apps están desarrolladas por aficionados, lo cual no es necesariamente malo, pero no tienen que preocuparse tanto por la seguridad del vehículo y de los datos como lo hacen los fabricantes de vehículos.

También cabe destacar que 46 de las 69 aplicaciones son gratuitas u ofrecen una versión de prueba. Esto ha contribuido a que hayan acumulado en Google Play Store más de 239.000 descargas, lo que demuestra cuántas personas permiten que desconocidos tengan acceso a sus coches.

"Los beneficios de un mundo conectado son innumerables. Sin embargo, hay que tener en cuenta que aún se trata de una industria en desarrollo y que conlleva ciertos riesgos. Al descargar una aplicación de terceros para controlar su coche a distancia, los usuarios deben ser conscientes de las posibles amenazas. Confiamos mucha información privada y datos personales a la tecnología conectada. Desgraciadamente, no todos los desarrolladores adoptan un enfoque responsable a la hora de almacenar y recopilar datos, lo que hace que los usuarios expongan su información personal. Además, estos datos pueden venderse en la "darkweb" y acabar en manos poco fiables. Los ciberdelincuentes podrían no solo robar datos y credenciales personales, sino también acceder al vehículo, dando lugar a situaciones peligrosas para la integridad física. Por estas razones, instamos a los desarrolladores de aplicaciones a priorizar la protección del usuario y a tomar las medidas oportunas para evitar comprometer a sus clientes y a ellos mismos", comenta Sergey Zorin, jefe de seguridad de Transporte de Kaspersky.

Con todo ello, los expertos de Kaspersky recomiendan a los usuarios seguir estos consejos:

Descargar solo aplicaciones de sitios oficiales como Apple App Store, Google Play o Amazon Appstore. Sus apps no son 100% seguras, pero al menos son revisadas y pasan por sistemas de filtrado.

Comprobar los permisos de las aplicaciones y pensarlo bien antes de autorizar un proceso, especialmente cuando se trata de permisos de alto riesgo, como es el caso de los Servicios de Accesibilidad. El único permiso que necesita una app de linterna, por ejemplo, es el acceso a la funcionalidad de linterna.

Adoptar una solución de seguridad fiable para ayudar a detectar las aplicaciones maliciosas y el adware antes de que puedan atacar al dispositivo.

Actualizar el sistema operativo y todo el software con regularidad. Muchos problemas de seguridad pueden resolverse siguiendo este sencillo paso.

Por su parte, los expertos de Kaspersky lanzan a los desarrolladores estas recomendaciones:

Adoptar soluciones que aseguren el proceso de desarrollo de software mediante el control de las aplicaciones en tiempo de ejecución, el escaneo de vulnerabilidades antes del despliegue, la realización rutinaria de la investigación de seguridad de los contenedores y pruebas antimalware. Dado que los ataques a la cadena de suministro a través de repositorios públicos son cada vez más frecuentes, el proceso de desarrollo necesita una mayor protección contra las interferencias externas.

Kaspersky Hybrid Cloud Security es perfecto para cubrir las necesidades de los desarrolladores. Protege los contenedores Docker y Windows y ofrece un enfoque de "seguridad como código", con protección de la memoria del host o escaneo de imágenes e interfaces. De este modo, puede integrar las tareas de seguridad en las canalizaciones CI/CD sin que ello afecte al proceso de desarrollo.

Implementar mecanismos de protección en la aplicación. Kaspersky Mobile SDK proporciona protección de datos a los clientes, así como detección de malware, conectividad segura y mucho más.

Noticias de Empresa