Estudio de IBM revela que ms del 60% de las apps para encontrar

pareja son vulnerables a ataques cibernticos

La mitad de las empresas analizadas por IBM tienen empleados que

acceden a aplicaciones para agendar citas a ciegas en dispositivos
mviles laborales.

IBM ofrece consejos para que consumidores y empresas puedan

protegerse.

ARMONK (Nueva York). 11 de febrero de 2015. Un anlisis realizado por la

unidad de Seguridad de IBM descubri que ms del 60% de las aplicaciones de
citas lderes estudiadas son potencialmente vulnerables a una variedad de
ataques cibernticos que ponen en riesgo la informacin personal de los
usuarios y los datos de las empresas.
El estudio de IBM revela que muchas de estas aplicaciones de citas tienen
acceso a caractersticas adicionales en dispositivos mviles, como cmara,
micrfono, almacenamiento, ubicacin GPS e informacin sobre facturacin de
billetera mvil que, sumado a las vulnerabilidades, puede convertirlos en
blanco de hackers. IBM tambin hall que casi el 50% de las organizaciones
analizadas tienen por lo menos una de estas populares aplicaciones de citas
instaladas en dispositivos mviles utilizados para acceder a informacin de la
empresa.
En la actual cultura conectada, las aplicaciones de citas son una forma comn
y cmoda en que solteros de todas las edades pueden encontrar nuevos
intereses sentimentales. De hecho, un estudio de Pew Research revel que uno
de cada 10 norteamericanos o aproximadamente 31 millones de personas,
utiliz algn sitio o aplicacin de citas, mientras que la cantidad de personas
que tuvo una cita con alguien que conoci por internet aument a 66% en los
ltimos ocho aos.
Muchos consumidores usan y confan en sus telfonos mviles para una
variedad de aplicaciones. Es esta confianza lo que da a los hackers la
oportunidad de aprovecharse de vulnerabilidades como las que encontramos
en estas aplicaciones de citas, coment Caleb Barlow, Vicepresidente de IBM
Security. Los consumidores deben ser cuidadosos y no revelar demasiada
informacin personal en estos sitios al intentar entablar una relacin. Nuestra
investigacin demuestra que algunos usuarios pueden estar comprometidos en
una situacin peligrosa: cuanto ms informacin comparten, ms sacrifican su
seguridad y privacidad.
Los investigadores en materia de seguridad de IBM Security identificaron que
26 de las 41 aplicaciones de citas que analizaron en la plataforma mvil
Android tenan vulnerabilidades de gravedad media o alta. El anlisis se realiz
sobre la base de apps disponibles en el App Store de Google Play en Octubre
de 2014.

Las vulnerabilidades descubiertas por IBM hacen posible que un hacker

obtenga valiosa informacin personal sobre un usuario. Mientras que algunas
apps tienen medidas de privacidad instaladas, IBM descubri que muchas son
vulnerables a ataques que podran derivar en las siguientes situaciones:
La aplicacin de citas es usada para bajar Malware: Los usuarios bajan
la guardia cuando prevn que van a recibir inters de una potencial cita. Ese es
el momento que los hackers aprovechan.
Uso de informacin GPS para seguir los movimientos: IBM descubri
que el 73% de las 41 apps de citas analizadas tienen acceso a la informacin
sobre ubicacin GPS actual y pasada. Los hackers pueden captar la ubicacin
del usuario para saber dnde vive, trabaja o pasa el tiempo.
Robo de nmero de tarjeta de crdito: 48% de las 41 apps de citas
analizadas tienen acceso a la informacin de facturacin de un usuario
almacenada en su dispositivo.
Control remoto de la cmara o el micrfono de un telfono: Un hacker
puede acceder a la cmara o el micrfono de un telfono incluso si el usuario
no est conectado en la app. Esto significa que un atacante puede espiar y
escuchar a los usuarios o inmiscuirse en las reuniones confidenciales de la
empresa.
Sabotaje del perfil en la aplicacin de citas: Un hacker puede alterar el
contenido y las imgenes en el perfil de citas, hacerse pasar por el usuario y
comunicarse con otros usuarios de la app, o dejar que la informacin personal
se filtre al exterior, para afectar la reputacin de la identidad de un usuario.
Los hackers pueden interceptar cookies de una app a travs de una conexin
Wi-Fi o falso punto de acceso y luego sabotear otras caractersticas del
dispositivo, como la cmara, el GPS y el micrfono, a los cuales la app tiene
permisos de acceso. Tambin pueden crear una pantalla de inicio de sesin
falsa a travs de la app de citas, para captar las credenciales del usuario, de
modo que cuando traten de conectarse a un sitio web la informacin tambin
se comparta con el atacante.
Precauciones ante posibles ataques relacionados con aplicaciones de
citas
Si bien IBM descubri una serie de vulnerabilidades en ms del 60% de las
apps de citas Android ms populares, hay acciones que tanto los consumidores
como las empresas pueden tomar para protegerse de las amenazas.
Qu pueden hacer los consumidores?
Sea misterioso: No divulgue demasiada informacin personal en estos
sitios, como dnde trabaja, su cumpleaos o perfiles de medios sociales, hasta
sentirse cmodo con la persona con la que est interactuando a travs de la
app.

 Permisos adecuados: Decida si va a usar una app verificando los permisos

que pide, visualizando las configuraciones en su dispositivo mvil. Cuando se
actualizan, las apps a menudo reconfiguran automticamente los permisos que
determinan a qu caractersticas del telfono tienen acceso, como su libreta de
direcciones o datos GPS.
Mantngalo exclusivo: Utilice contraseas exclusivas para cada cuenta
online que tenga. Si usa la misma contrasea para todas sus cuentas, puede
dejar mltiples frentes de ataque abiertos en caso de que una cuenta se vea
comprometida.
Parches puntuales: Aplique los ltimos parches y actualizaciones a sus
apps y a su dispositivo cuando estn disponibles. As se solucionarn
problemas identificados en su dispositivo y aplicaciones y tendr una
experiencia ms segura.
Conexiones confiables: Utilice slo conexiones de Wi-Fi confiables en su
aplicacin de citas. A los hackers les encanta usar puntos de acceso de Wi-Fi
falsos para conectarse directamente con su dispositivo y ejecutar estos tipos
de ataques. Muchas de las vulnerabilidades encontradas en esta investigacin
pueden ser explotadas por Wi-Fi.

Qu pueden hacer las empresas?

Las empresas tambin deben estar preparadas para protegerse de las
aplicaciones de citas vulnerables que se encuentran activas dentro de sus
infraestructuras, especialmente en aquellos casos en que los empleados
pueden traer sus propios dispositivos mviles al trabajo (Bring Your Own
Device, BYOD). IBM encontr que casi el 50% de las organizaciones relevadas
para esta investigacin tienen por lo menos una de estas conocidas apps de
citas instaladas en dispositivos mviles de la compaa o del personal,
utilizados para el trabajo. Para proteger sus activos confidenciales, las
empresas deben:
Adoptar la proteccin correcta: Aproveche las soluciones de gestin de la
movilidad empresarial (Enterprise Mobility Management, EMM) con
capacidades de administracin de amenazas mviles (Mobile Threat
Management, MTM) para permitir a los empleados utilizar sus propios
dispositivos y al mismo tiempo mantener la seguridad de la organizacin.
Definir Apps descargables: Permita a los empleados bajar aplicaciones
solo de tiendas de aplicaciones autorizadas, como Google Play, iTunes y la
tienda de aplicaciones corporativa.
La educacin es clave: Capacite a los empleados para que conozcan los
peligros que implica bajar aplicaciones de terceros y qu significa otorgar a
esas aplicaciones permisos especficos en los dispositivos.
Comunicar amenazas potenciales de inmediato: Defina polticas
automatizadas en smartphones y tablets, que acten de inmediato si se

descubre que un dispositivo est comprometido o si se encuentran aplicaciones

maliciosas. Esto permite proteger los recursos corporativos en tanto que se
soluciona el problema.

Sobre esta investigacin

Los analistas de IBM Security que forman parte del equipo IBM Application
Security Research utilizaron la nueva herramienta IBM AppScan Mobile
Analyzer para analizar las principales 41 apps de citas en dispositivos Android,
con el objetivo de identificar vulnerabilidades que pueden dejar a los usuarios
abiertos a potenciales ataques y amenazas cibernticas. Estas aplicaciones
tambin se analizaron para determinar los permisos otorgados, con lo cual se
descubri una gran cantidad de privilegios excesivos. Para comprender la
adopcin por parte de los usuarios empresariales de estas 41 apps de citas, se
analizaron los datos de las apps con IBM MobileFirst Protect, anteriormente
conocido como MaaS360. Antes de dar a conocer esta investigacin al pblico,
IBM Security la divulg a todos los proveedores de apps impactadas
identificadas en esta investigacin.
Para una prueba gratuita por 30 das de IBM AppScan Mobile Analyzer, clic
aqu: http://ibm.co/1zNBl6u
Para una prueba gratuita por 30 das de IBM MobileFirst Protect (antes conocido
como MaaS360), clic aqu: http://bit.ly/1DG5AtF
Sobre IBM Security
La plataforma de seguridad de IBM ofrece la inteligencia en materia de
seguridad para ayudar a las empresas a proteger en forma holstica sus
personas, datos, aplicaciones e infraestructura. IBM ofrece soluciones para la
gestin de identidades y accesos, gestin de informacin y eventos de
seguridad, seguridad de bases de datos, desarrollo de aplicaciones,
administracin de riesgos, gestin de puntos terminales, proteccin de
intrusiones de prxima generacin y ms. IBM opera una de las organizaciones
de investigacin, desarrollo y entrega de la seguridad ms amplias del mundo.
Para ver ms informacin, visite www.ibm.com/security, siga @IBMSecurity en
Twitter o visite el IBM Security Intelligence blog.