Pages Menu
TwitterRssFacebook
Categories Menu

Posted by on Mar 16, 2015 in Actualidad, Seguridad | 0 comments

¿Las aplicaciones móviles respetan nuestra vida privada?

¿Las aplicaciones móviles respetan nuestra vida privada?

Cada día aumenta el número de aplicaciones móviles para consultar el correo en la App Store o en Google Play. Pero, ¿qué es lo que hacen realmente?, ¿respetan nuestra vida privada?, ¿se puede confiar en ellas?

Estado actual

La mensajería, ya sea personal o profesional, contiene una parte de vuestra vida. En el caso de la mensajería personal, es nada más (y nada menos) que la vida privada… Conversaciones con amigos, familia, así como cierta información sobre vuestros gustos y compras en Internet.

Con esta información una empresa puede saber bastantes cosas sobre vosotros, no forzosamente sobre vuestra personalidad, pero sí como un blanco de marketing, que no es poco. Con la mensajería profesional la cosa cambia. Hablamos de vuestra comunicación interna con clientes, clientes potenciales o vuestra estrategia de empresa. Dicho de otra manera, según el puesto y responsabilidades, vuestra mensajería contiene una parte de vuestros secretos profesionales, y esto es algo muy importante.

¿En qué momento introducís el login? Cuando configuráis el PC o el smartphone. Evidentemente, los programas como Outlook, Thunderbird, Mail en Mac OS, o el cliente de correo por defecto suelen ser fiables, no vamos a polemizar con esto. Además, en el momento en que se seleccionan protocolos protegidos (por defecto en general), no deberíais correr demasiado peligro.

Sin embargo, puede que os entre la tentación de instalar una app en el Smartphone: es en este punto en el que queremos centrar nuestra atención.

Instalar una app en un smartphone es sencillo, demasiado sencillo. 2 o 3 clics son suficientes. Solemos pensar que están mejor hechas que las aplicaciones instaladas por defecto: « lo mismo pero mejor ». Más bonitas, más sencillas, prometiéndote una gestión automática del buzón de entrada, o un swype « super-cool », y acabáis cayendo. Pero, ¿qué son realmente?

En detalle

En este artículo queremos completar el análisis de dos de las aplicaciones que han realizado nuestros compañeros en Francia para su blog labs.alinto.com: myMail y CloudMagic.

Oímos hablar de la app myMail, y según las notas de las aplicaciones, ningún motivo para desconfiar. Son muy apreciadas por los usuarios y altamente recomendables. No hemos revisado los millares de comentarios, pero las primeras páginas se componen prácticamente de elogios.

Sin embargo, os vamos a demostrar que ciertas apps como estas tienen todas las herramientas necesarias para hacer lo que quieran con vuestras cuentas de correo. Después entraremos en aspectos más técnicos, pero una de las cosas que pretendemos que os quede clara es que, una vez introducís vuestro usuario y contraseña en una de estas aplicaciones, esta información se almacena en servidores en Rusia (para myMail) o en la nube de Amazon (para CloudMagic). ¿A que no lo sabíais? Esto no quiere decir forzosamente que se aprovechen de ello, pero, ¿facilitaríais vuestro usuario y contraseña personal y profesional a sabiendas?

Muy bien, ahora que hemos captado vuestra atención, ¿os hacéis una idea de lo que podrían hacer?

Como ya hemos visto, una cuenta de correo contiene parte de nuestra vida. Para ellos solo somos un blanco de marketing, pero bueno, a esto ya nos tienen acostumbrados Google y Facebook. Sin embargo, también tienen la posibilidad de enviaros emails pasando por encima de vuestro antispam. Y sí, gracias al IMAP o ActiveSync, pueden dejar correos directamente en vuestro buzón de entrada. ¿Genial, verdad?

Para que nos vamos a engañar… es astuto. 🙂

Además, por si esto no fuese suficiente suficiente, la app recupera el resto de tus informaciones gracias a las autorizaciones. Sí, esas que no se lee nadie porque piensa que si las piden es porque es necesario… Estas autorizaciones incluyen detalles sin importancia como:

  • vuestro número de teléfono

  • vuestras otras cuentas

  • vuestros contactos

  • los datos de acceso a redes sociales

  • y como tienen acceso a vuestro correo, también lo tienen a toda la correspondencia, es decir, todos los emails y direcciones de vuestros contactos

Y si por alguna casualidad se os ha ocurrido introducir una cuenta profesional, aunque sea una cuenta Microsoft Exchange o compatible, gracias al ActiveSync, también tendrán acceso a:

  • vuestro anuario de empresa, tu calendario, notas, etc…

Detalles sin importancia, ¿a que sí?

Técnicamente

A grandes rasgos, esto es lo que demuestra el artículo:

Como lectores de este blog, la mayoría probablemente tengáis nociones más avanzadas sobre el email que la mayoría de los usuarios. Para recuperar información de una cuenta de correo distante, un cliente de mensajería utiliza uno de los protocolos siguientes: IMAP, POP3, o Active Sync. En todo caso, son los que se proponen por defecto en los clientes de correo de vuestro iPhone o Android. Gracias a estos protocolos, el cliente de correo de vuestro smartphone se comunica directamente con tu servidor de mensajería, sin servidores de terceros.

Sin embargo, las dos apps de las que hablamos, entre otras, se comunican con servidores intermediarios. La aplicación envía peticiones HTTPS hacia sus servidores, éstos se conectan en IMAP , en ActiveSync, almacenan la información en su nube, y envían los datos hacia la App. Esto quiere decir que tu login y contraseña se almacena forzosamente en estos servidores, y además, incluso después de desinstalar la aplicación, el acceso al servidor de mensajería continúa abierto.

En otros términos, una vez instalado e introducidos tus datos de acceso, ya es demasiado tarde. Te han “aspirado” los emails, y seguirá siendo así a menos que cambies la contraseña (después de desinstalar la aplicación, claro).

Conclusión

Seguro que a alguno ya le ha entrado miedo… Y con razón.

Cada vez más personas, entre las que me incluyo, temen la grandeza de gigantes como Google o Microsoft, sobre todo después de los escándalos de escuchas, pero, ¿qué pueden hacer los rusos con nuestra información? Quién sabe, en cualquier caso esperamos que no os hayáis instalado ninguna de estas apps, pero si lo habéis hecho, lo mínimo que tenéis que hacer cuando la desinstaléis es cambiar la contraseña.

Si todo esto os hace pensar dos veces la próxima vez que vayáis a introducir vuestros datos de login en algún sitio, ¡nos daremos por satisfechos!

Sources: Labs.alinto.com, image

Post a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *