Las aplicaciones desarrolladas por gobiernos estatales de Puebla, Chihuahua y Sonora durante la pandemia de COVID-19 han expuesto información sensible de más casi 70 mil personas debido a fallas de seguridad en su programación, informó la consultoría mexicana Seekurity.
El análisis revisó las aplicaciones que estos gobiernos pusieron a disposición de la ciudadanía durante los primeros meses de la pandemia. La investigación detectó que las apps presentan vulnerabilidades como fallas en el cifrado, exposición de credenciales, facilidad para acceder a bases de datos con información sensible que permitirían a un actor malicioso robarla.
Por ejemplo, la aplicación del gobierno de Puebla ─la cual ya fue retirada de Google Play─ no tenía una comunicación cifrada por protocolo HTTPS; las credenciales para ingresar al servicio que soporta la app estaban expuestas en el código fuente; y la aplicación, tras una petición especial de Seekurity, expuso más de 260 registros de personas usuarias que contenían datos como: nombre, fecha de nacimiento, seguridad social, municipio de residencia, número telefónico, ubicación y sintomatología.
La aplicación del gobierno de Chihuahua tampoco contaba cifrado para el tráfico de la app, sino que se encontraba en texto plano y permitía el acceso a los registros de 65 mil personas usuarias almacenados en el servidor.
Finalmente, la aplicación de Sonora también expuso la información de más de 3 mil personas usuarias; sin embargo, la consultoría reservó la información sobre la vulnerabilidad hasta poder notificar a las autoridades.
Una de las principales preocupaciones de Seekurity fue la falta de canales y procedimientos apropiados para notificar y recibir reportes de seguridad para que sean atendidos de forma rápida y adecuada, ya que a pesar de notificar estas vulnerabilidades en las apps, las autoridades no se han pronunciado al respecto ni se tiene certeza de que se hayan solucionado.
Durante la pandemia de COVID-19, se ha dado un auge en el mundo en el uso de herramientas tecnológicas y apps para la detección de casos de la enfermedad; sin embargo, algunas por omisión y otras por diseño, pueden poner en riesgo la privacidad e información de las personas, por lo que su uso debe estar acotado en el tiempo y regulado bajo fuertes estándares de derechos humanos.
Imagen de EneasMx (CC BY-SA 4.0)