En la carrera por hacer que el desarrollo de aplicaciones móviles sea más ágil e iterativo, y sobre todo barato, la seguridad de las aplicaciones es siempre el aspecto que se pasa por alto. En algunos casos, se omite intencionadamente en un esfuerzo por cumplir con plazos y costes ajustados.
Las brechas de seguridad y de datos en las aplicaciones móviles no sólo son costosas desde el punto de vista financiero, sino que también lo son en términos de pérdida de confianza de los consumidores y de los empleados. En caso de infracción, siempre se culpa a la empresa afectada, ya que los usuarios confiaron en ella para salvaguardar sus datos sensibles.
El estado de la seguridad móvil y sus costes
En su análisis de más de 400.000 aplicaciones móviles, NowSecure descubrió que el 25% de todas las aplicaciones móviles tienen al menos un fallo de seguridad de alto riesgo. También descubrió que las aplicaciones empresariales tenían tres veces más probabilidades de perder las credenciales de sus usuarios que otras aplicaciones.
Otros hallazgos preocupantes fueron que el 35% de todas las comunicaciones enviadas por los dispositivos móviles no estaban cifradas y que el 11% de todas las aplicaciones tendían a filtrar datos sensibles a través de la red.
Según el Instituto Ponemon e IBM, la filtración de datos media puede costar unos asombrosos 3,5 millones de dólares en términos de demandas, daños a la imagen de marca y pérdida de la confianza del cliente.
Para poner las cosas un poco más en perspectiva, el informe de inteligencia sobre amenazas de IBM X-Force calcula que un solo registro perdido/robado puede costar a una empresa 136 dólares.
¿Cómo protegerse contra las violaciones de la seguridad móvil y sus costes?
¿Cómo puedes tu, como propietario de una aplicación, garantizar la seguridad de la misma? Para empezar, contrata a desarrolladores de aplicaciones que hagan un esfuerzo consciente por incluir la seguridad en su ciclo de desarrollo. A continuación, puedes informarte sobre las mejores prácticas de programación/desarrollo que pueden mejorar la seguridad de una aplicación.
Como desarrollador, ¿cómo puedes asegurarte de que tu aplicación no acabe siendo una de las estadísticas de estudios como el de NowSecure?
Sea cual sea el sombrero que lleves, propietario o desarrollador de aplicaciones, debes asegurarte de que tu aplicación sigue estas sencillas pero efectivas mejores prácticas que incorporan la seguridad a tu solución móvil desde el principio.
1. Escaneo automático de aplicaciones
Las herramientas y el software de exploración de aplicaciones analizan el código fuente en tiempo real, a medida que el desarrollador escribe el código. Estas herramientas pueden identificar una serie de problemas de seguridad, como los definidos por el Open Web Application Security Project (OWASP).
Proporcionan información instantánea al desarrollador sobre las vulnerabilidades de seguridad que podrían introducirse en la aplicación debido a una determinada línea de código que estás escribiendo.
Implementar estas herramientas desde el inicio del ciclo de desarrollo significa que las pruebas de seguridad no se dejan para el final de la fase de desarrollo, sino que se convierten en un proceso iterativo.
Sin embargo, estas herramientas deben considerarse más como ayudas que como soluciones, ya que hay muchas vulnerabilidades de seguridad que no están equipadas para identificar.
Algunas herramientas populares de análisis de código fuente son OWASP SWAAT Project, IBM Security AppScan Source, VeraCode, etc.
2. Implementar arquitecturas ya probadas
Si tu objetivo es crear una solución móvil completa, tendrás que acceder a datos en tiempo real sobre la marcha y realizar diferentes transacciones. Esto requerirá una integración fuerte y segura con la nube y otros sistemas in situ. En resumen, tendrás que asegurarte de que tus controles del lado del servidor son infalibles y eficaces.
Entonces, ¿cómo puedes garantizar la seguridad de estas pasarelas? Utilizando e implementando la arquitectura de terceros (middleware) que han perfeccionado su arte, en lugar de construir tus propias pasarelas móviles a medida.
3. Cifrar siempre los datos sensibles
Convertir tus datos sensibles en un formato protegido e ilegible parece una obviedad, pero lamentablemente, como destaca NowSecure en su informe, el 35% de las aplicaciones móviles no cifran los datos sensibles que envían a través de la red.
Añade otra capa de seguridad creando el hábito de no guardar nunca tus datos sensibles, como los números de las tarjetas de crédito, en la aplicación o en el propio dispositivo móvil. OWASP ha considerado que el almacenamiento inseguro de datos es el segundo mayor riesgo de seguridad para los dispositivos móviles y las aplicaciones.
Incluir algoritmos de purga de datos en tus aplicaciones, que eliminen los datos sensibles del usuario de forma automática, contribuye en gran medida a mantener la seguridad de la aplicación.
Conclusión
La amenaza de que los ciberdelincuentes pirateen las aplicaciones móviles es real. Sin embargo, en esta época, la seguridad de las aplicaciones móviles se ha convertido innecesariamente en el proverbial hombre del saco para empresas, propietarios de aplicaciones y usuarios.
La seguridad de las aplicaciones no es tan difícil como se propaga. La mayoría de las veces, la seguridad de las aplicaciones puede ser un proceso muy sencillo si se siguen las mejores prácticas en cada fase del proceso de desarrollo de la aplicación.
Hay otras innumerables estrategias de seguridad lógicas que puedes integrar en el desarrollo de tu aplicación, aparte de estas 3 simples. Pero empezar con estas es una forma segura de empezar en el camino correcto.
