Miles de bases de datos en la nube de aplicaciones móviles han quedado expuestas en la red

Open Lock
(Crédito de imagen: Pixabay)

Las empresas siguen dejando sus bases de datos en la nube sin protección online a pesar del riesgo de que los datos de la empresa e incluso los de los usuarios queden expuestos.

Tras un estudio de tres meses, Check Point Research (CPR) encontró 2.113 aplicaciones móviles cuyas bases de datos estaban desprotegidas en la nube y a las que podía acceder cualquier persona con un navegador. 

Las aplicaciones móviles con bases de datos expuestas iban desde las que tenían más de 10.000 descargas hasta aplicaciones muy populares con más de 10 millones de descargas. CPR encontró una gran variedad de datos sensibles de las aplicaciones en cuestión, incluyendo mensajes de chat, fotos personales, números de teléfono, emails, nombres de usuario, contraseñas y más.

Lotem Finkelsteen, jefe de inteligencia e investigación de amenazas de Check Point Software, explicó cómo los investigadores de seguridad de la empresa pudieron encontrar fácilmente estas bases de datos expuestas utilizando la herramienta gratuita online VirusTotal:

"En esta investigación, mostramos lo fácil que es localizar conjuntos de datos y recursos críticos que están abiertos en la nube para cualquiera que pueda acceder a ellos simplemente navegando. Compartimos un método sencillo de cómo los hackers pueden hacerlo. La metodología consiste en buscar en repositorios públicos de archivos como VirusTotal aplicaciones móviles que utilicen servicios en la nube. Un hacker puede consultar en VirusTotal la ruta completa al backend en la nube de una aplicación móvil. Compartimos algunos ejemplos de lo que pudimos encontrar allí nosotros mismos. Todo lo que encontramos está disponible para cualquiera. En definitiva, con esta investigación demostramos lo fácil que es que se produzca una violación o explotación de datos. La cantidad de datos que se encuentra abiertamente y que está disponible para cualquiera en la nube es una locura. Es mucho más fácil de vulnerar de lo que pensamos".

Apps móviles con bases de datos expuestas

En una nueva publicación de su blog, CPR ha proporcionado varios ejemplos de su estudio sin mencionar los nombres de las apps móviles que han dejado sus bases de datos en la nube sin protección.

La primera aplicación es la de una gran cadena de grandes almacenes de Sudamérica que se ha descargado más de 10 millones de veces. Buscando en VirusTotal, CPR pudo encontrar las credenciales de la pasarela API y una clave API. Para empeorar las cosas, estas credenciales estaban en texto simple y cualquiera podría leerlas y utilizarlas para acceder a las cuentas de los clientes de los grandes almacenes.

La siguiente aplicación es una aplicación de seguimiento de carreras diseñada para seguir y analizar el rendimiento de un competidor y ha sido descargada más de 100.000 veces. Su base de datos contenía las coordenadas GPS de los usuarios y otros parámetros de salud como sus frecuencias cardíacas. Con esta información en la mano, un delincuente podría crear mapas para rastrear el paradero de los usuarios de la aplicación.


Posteriormente, CPR encontró la base de datos expuesta de una aplicación de citas para personas con discapacidad. Esta base de datos contenía 50.000 mensajes de chats privados junto con fotos de los remitentes. CPR también encontró la base de datos expuesta de una aplicación de creación de logos muy utilizada que se ha descargado más de 10 millones de veces. Dentro de la base de datos había 130.000 nombres de usuarios, correos electrónicos y contraseñas.

Además de estas aplicaciones, CPR también encontró las bases de datos no seguras de un popular lector de PDF, así como de una aplicación de contabilidad.

Al igual que los expertos en seguridad recomiendan que los consumidores protejan sus móviles, tablets y ordenadores portátiles con contraseñas fuertes y complejas, las empresas que utilizan bases de datos en la nube para almacenar datos para sus aplicaciones móviles también deberían hacerlo, y con una responsabilidad mucho mayor.

Antonio Romero

Editor en TechRadar España de día, guitarrista de blues y friki de los cómics de noche. ¿O era al revés?

Aportaciones de