A pesar de los constantes avances en seguridad que los fabricantes de celulares han implementado en los últimos años, hay una amenaza latente que los teléfonos móviles aún no han podido eliminar: el mal uso de las claves y los nombres de usuario por parte de las aplicaciones.
A este tipo de información personal y seguridad se le conoce como credenciales, y son la puerta de entrada a servicios y aplicaciones. A través de ellas, accedemos a correos electrónicos, redes sociales, cuentas bancarias, entre otros servicios críticos. Pero, aunque los usuarios confían en que sus datos están protegidos por la seguridad de sus dispositivos, el riesgo proviene de un ámbito menos visible: los desarrolladores de aplicaciones.
Según el informe OWASP Mobile Top 10, el mal uso de credenciales es una de las principales amenazas de seguridad en los dispositivos móviles en 2024. Este riesgo no tiene que ver tanto con la seguridad del dispositivo en sí, sino con la forma en que los desarrolladores de aplicaciones manejan la información confidencial de los usuarios.
Algunos desarrolladores optan por integrar estas credenciales directamente en el código fuente de la aplicación, un error grave que puede facilitar el acceso de terceros malintencionados a la información si logran violar la seguridad del código.
Cómo los desarrolladores fallan al proteger las credenciales
El mal uso de las credenciales no es un problema nuevo, pero sigue siendo una vulnerabilidad importante debido a la creciente cantidad de aplicaciones que se utilizan en la vida diaria. Los desarrolladores, en ocasiones, por razones de conveniencia o falta de conocimiento en ciberseguridad, recurren a prácticas inseguras como la codificación directa de contraseñas en el código fuente de la aplicación.
Cuando las contraseñas están en el código, si un atacante logra acceder a este código, puede descubrir fácilmente estas credenciales y obtener acceso a los servicios o cuentas vinculadas. Esto es especialmente preocupante en aplicaciones que manejan datos financieros o información personal sensible.
Además, muchos desarrolladores no implementan medidas adecuadas de encriptación para proteger las credenciales almacenadas o transmitidas entre la aplicación y los servidores. La falta de encriptación fuerte o el uso de protocolos obsoletos deja expuestos los datos de los usuarios a potenciales ataques de intercepción, donde terceros pueden robar las credenciales durante su transmisión.
La lucha de los celulares frente a este riesgo
Es común pensar que, al contar con un teléfono con la última tecnología y las actualizaciones de seguridad más recientes, los usuarios están completamente protegidos. Sin embargo, aunque los fabricantes de teléfonos móviles han hecho grandes avances en la protección contra malware, virus y otras amenazas externas, no pueden controlar el comportamiento interno de cada aplicación.
Las tiendas de aplicaciones como Google Play y App Store cuentan con medidas de control para identificar vulnerabilidades en las aplicaciones antes de que sean publicadas. Sin embargo, algunos errores de seguridad logran escapar de estos filtros, y la seguridad del dispositivo no puede contrarrestar las malas prácticas de los desarrolladores. Incluso con un sistema operativo bien protegido, los usuarios están en riesgo si las aplicaciones que instalan no manejan adecuadamente sus credenciales.
Esto significa que, aunque el hardware y el software del teléfono funcionen de manera óptima, la verdadera debilidad está en las aplicaciones. La protección que ofrece el dispositivo tiene sus límites y no puede defender al usuario cuando las vulnerabilidades están presentes dentro de las propias apps.
Cómo saber si una aplicación maneja correctamente tus credenciales
Aunque no es posible verificar todos los detalles técnicos de una app, existen algunos indicios que pueden ayudar a los usuarios a identificar aplicaciones inseguras.
Primero, es recomendable revisar la política de contraseñas de la aplicación. Si una app no requiere contraseñas fuertes —por ejemplo, no solicita un número mínimo de caracteres o la inclusión de símbolos—, es posible que el resto de sus prácticas de seguridad también sean deficientes. Las aplicaciones que permiten contraseñas débiles o poco complejas probablemente no están invirtiendo lo suficiente en otras medidas de protección.
Otro aspecto a observar son los mensajes de error. Cuando un intento de inicio de sesión falla, una buena práctica de seguridad es ofrecer una respuesta genérica, como “Credenciales inválidas”. Si el mensaje de error es muy específico —por ejemplo, “El nombre de usuario no existe”—, esto podría facilitar a los atacantes descifrar si un nombre de usuario es válido, lo que es un indicio de una falla en la seguridad.
Además, es importante descargar aplicaciones solo de fuentes confiables, como las tiendas oficiales de Google y Apple, o de repositorios seguros como GitHub. Aunque no eliminan completamente el riesgo, estas plataformas realizan revisiones de seguridad que hacen menos probable que aplicaciones vulnerables lleguen a los usuarios.
Por último, es fundamental revisar los permisos que solicita una aplicación al momento de su instalación. Si una aplicación pide acceso a información que no parece relevante para su funcionamiento —como fotos o datos de ubicación en una app que no los necesita—, podría ser un indicio de que la app está recopilando datos innecesarios, lo que también es un riesgo de seguridad.