Las aplicaciones de rastreo fueron la respuesta tecnológica a la que muchos países recurrieron para tratar de hacer más segura la circulación de personas en medio de la pandemia de coronavirus.
Estos programas, que cuentan en muchos casos con el respaldo de países y hasta importantes empresas, permiten el acceso a un diagnóstico temprano contra el coronavirus y a recopilar estadísticas sobre la enfermedad.
Pero estas “COVID trackers”, que utilizan smartphones la conexión Bluetooth, el GPS y la localización basada en la red de los smartphones, rápidamente pasaron a ser cuestionadas por diferentes aspectos vinculadas con la seguridad de los datos que manejan.
El Laboratorio de Investigación de la compañía de ciberseguridad ESET realizó un estudio en el que analizó las aplicaciones para Android más relevantes relacionadas al Covid-19 en Latinoamérica y descubrió que de las 17 plataformas examinadas, 14 de ellas utilizaban Firebase Realtime Database de Google para almacenar los datos recopilados de los usuarios.
El siguiente paso fue estudiar la seguridad de este soporte y su resultado fue preocupante: los investigadores detectaron que dos appsde rastreo, ambas de Argentina e impulsadas por gobiernos provinciales y municipalidades locales, eran vulnerables a posibles ataques.
Estas aplicaciones se conectaban con bases de datos públicas para procesar la información privada de más de 6.000 usuarios, incluidos nombres, apellidos, fechas de nacimiento, DNI, correos electrónicos, puntos de geolocalización, números de teléfono y hasta la historia clínica donde se reflejaba si se les realizó un hisopado y si resultaron positivos.
Cabe destacar que las vulnerabilidades encontradas ya fueron corregidas por los desarrolladores.
“La buena noticia es que este tipo de errores es completamente evitable”, sostuvo Denise Giusto Bilic, analista de Seguridad Informática de ESET Latinoamérica.
“Solo debemos cerciorarnos de que entendemos cómo funciona la autenticación y autorización en la suite de Firebase, qué información queremos proteger y realizar testeos sobre nuestras bases de datos”, sentenció la especialista.