Seguridad base en Apps
Logo de Críptica.org en mi teléfono

Seguridad base en Apps

Hay aplicaciones que ya instalamos en un Smartphone nada más identificarnos por que las usamos continuamente, bien por temas personales, laborales o ambos.

Hay aplicaciones que su preocupación es la comunicación y bien por intereses de su negocio bien por otras razones, las opciones de seguridad y privacidad de forma que protejan al usuario no vienen aplicadas por defecto.

No es recomendable ceder la operativa de la seguridad a unas aplicaciones y olvidarse del resto. El principal actor de la seguridad debe ser el propio usuario, viendo, por ejemplo, si los permisos que pide esa aplicación son necesarios o son excesivos y, por tanto, esa aplicación pretende hacer negocio con nuestros datos personales u otros datos importantes.

En este post, realizado en verano de 2019 y actualizado recientemente con alguna novedad, voy a exponer algunas recomendaciones de seguridad para una serie de aplicaciones más que comunes. Está basado en un gran libro más que interesante y muy recomendable de Críptica, una ONG preocupada por la privacidad. (Aviso, no pertenezco a esta ONG, pero estoy totalmente de acuerdo con sus ideales e objetivos)

Hay configuraciones que van por aplicación, por lo que si estamos usando una cuenta en diversos dispositivos tendremos que repetir las acciones en todos los dispositivos donde tengamos la sesión iniciada. Recomiendo, por si acaso, revisarlo en todos los dispositivos.

APPS MÁS USADAS

TWITTER

Una aplicación de una red social para comunicarse mediante unos mensajes de hasta 280 caracteres, con opción de añadir imágenes, vídeos o etiquetas a los mismos.

Nada más darse de alta, la aplicación registra la ubicación GPS donde se hace. Es un dato que se quedan para siempre y no todo el mundo conoce, aunque lo indican en su política al darte de alta.

En el apartado de “Configuración y Privacidad” y luego en “Privacidad y Seguridad” hay varias configuraciones a tener en cuenta:

  • Ubicación exacta. Si está activada, envía como metadatos la ubicación desde donde se tuitea y mirará de generar publicidad y ofertas específicas según la ubicación detectada.
  • Personalización y datos. Opción de personalización de la publicidad que se recibe de Twitter mediante tuits promocionados que se ven en medio de nuestro TL.
  • Muestra tus datos de Twitter. Permite descargarse un fichero con toda la información que Twitter tiene de nosotros. En este apartado, además, se puede ver qué dispositivos tienen la sesión iniciada o a qué aplicaciones se les ha dado permiso de acceso a la cuenta.

FACEBOOK

La red social por excelencia.

Vía web hay más opciones, pero por la app se pueden configurar ciertas cosas interesantes:

En el apartado de “Configuración y privacidad” y luego en “Configuración” hay varias opciones a tener en cuenta:

  • Configuración de la cuenta. Permite actualizar nuestros datos personales así como determinar quién se hace cargo de nuestra cuenta en caso de fallecimiento (para que la mantenga o la borre), esto último solamente desde la web.
  • Aplicaciones y sitios web. Donde hemos iniciado sesión y a qué aplicaciones se les ha dado permiso para acceder a nuestros datos así como si permitimos que nos loguemos a otras webs con la credencial de Facebook y qué datos pueden ver.
  • Configuración de privacidad. Podemos seleccionar quien puede ver lo que escribimos, los grupos a los que formamos parte, nuestras historias, que nuestro perfil esté enlazado por motores de búsqueda externos … con la idea de tratar de limitar la exposición de nuestros mensajes.
  • Reconocimiento facial. Para que Facebook te pueda reconocer, o no, en fotos que otras personas cuelguen en la red social.
  • Ubicación. Permite ver el historial que Facebook tiene de nuestras ubicaciones. Dónde hemos publicado, donde le damos “me gusta”, donde generamos actividad.
  • Estado “Activo”. Se recomienda deshabilitarlo, es la opción de mostrar en plataforma como “Messenger” cuando estamos delante del dispositivo con la app encendida.
  • Acceder a tu información. Nos permite ver lo que Facebook tiene sobre nosotros. Podemos descargar el fichero que genere o ver por partes como Comentarios, publicaciones, fotos y vídeos compartidos, amistades, mensajes, grupos, … Como novedad permite ver qué aplicaciones han hecho llegar a Facebook nuestra actividad fuera de él, por la que ha recopilado información extra. Se puede desactivar y borrar lo que tiene hasta ahora.
  • Anuncios. Preferencias de anuncios basados en nuestros intereses. Podemos modificar esos intereses o, incluso, oponernos a ese tratamiento o perfilado.

En el caso de usar Facebook desde navegador web, se recomienda usar plugins de navegadores como Cookie AutoDelete (Elimina cookies Chrome o Firefox), uBlock Origin (Bloquea publicidad) o Facebook Container (limitar las cookies de Facebook) para evitar que Facebook nos “siga” por donde naveguemos fuera de su web y no pueda ver nuestra actividad para mostrarnos publicidad específica. Hay más plugins, se recomienda usar alguno.

INSTAGRAM

Red social de fotografías y vídeos, propiedad de Facebook.

Si desde “Privacidad de la cuenta” no se hace que ésta sea privada, todo el mundo podrá ver lo que se publica. No hay opción de esconder los seguidores a la gente que nos sigue.

En el apartado de “Configuración” y luego “Privacidad” hay pocas opciones, pero algunas interesantes:

  • Estado de Actividad. Nos permite dejar ver a nuestros seguidores si estamos conectados o no.
  • Historia. Nos permite seleccionar si otros pueden enviar nuestras publicaciones o historias como mensajes a terceras personas. Podemos también seleccionar compartir nuestras historias en Facebook o no, depende de si tenemos las cuentas enlazadas y queremos que se publiquen automáticamente.

En el apartado de “Configuración” y luego ”Seguridad” tenemos otras opciones:

  • Autenticación en dos pasos. Permite activar autenticación en dos pasos para verificar que somos nosotros y poner un problema más a los que intenten robar la cuenta.
  • Acceder a datos. Permite ver lo que Instagram tiene de nosotros (cambios de contraseña, cambios de privacidad, números de teléfono, textos en la biografía, …)
  • Descargar datos. Permite descargar la información que Instagram tiene de nosotros.
  • Historial de búsqueda --> Borrar historial de búsqueda. Permite borrar lo que hemos buscado hasta ahora en la aplicación.

WHATSAPP

No es una red social, pero es una aplicación de comunicación muy usada. También es propiedad de Facebook.

En el apartado de “Configuración” --> “Cuenta” --> “Privacidad” podemos marcar quien puede ver si estamos activos, nuestra última conexión, confirmación de lectura de los mensajes…

En el apartado de “Configuración” --> “Cuenta” --> “Seguridad” podemos marcar si queremos ver un mensaje cada vez que un usuario se cambia de dispositivo físico, que es lo que llaman notificaciones de seguridad.

En el apartado de “Configuración” --> “Cuenta” --> “Verificación en dos pasos” permite configurar el acceso a la aplicación de forma más segura, con un segundo factor de autenticación.

En el apartado de “Configuración” --> “Cuenta” --> “Cambiar número” permite migrar la información de un número a otro.

En el apartado de “Configuración” --> “Cuenta” --> “Información de la cuenta” permite descargar un fichero con la información que Whatsapp tiene sobre nosotros.

En el apartado de “Configuración” --> “Cuenta” --> “Eliminar la cuenta” permite eliminar la cuenta de Whatsapp.

Sobre las copias de seguridad que la aplicación hace. Mientras que los ficheros de texto con los mensajes escritos están cifrados y solamente nuestra aplicación de Whatsapp las podría descifrar, todo el resto de adjuntos (imágenes, notas de voz…) se guardan, al menos hasta ahora, sin cifrar.

APLICACIONES RECOMENDADAS

Una pequeña ayuda puede ser instalar algunas aplicaciones de seguridad que, recordemos, no hemos de dejar toda la seguridad a ellas, pero hay unas aplicaciones que nos pueden ayudar a proteger nuestro Smartphone.

KOODOUS

Solamente para Android. Antivirus gratuito que revisa las acciones de las aplicaciones. Se basa principalmente en las recomendaciones y denuncias de la gente. Desarrollado originalmente por la gente de Hispasec donde la comunidad puede ir subiendo aplicaciones para probar su funcionamiento y hacer comentarios sobre lo que detectan desde esta web.

No alt text provided for this image

CONAN MOBILE

Versión beta de una aplicación desarrollada por el OSI que revisa las configuraciones de seguridad de nuestro dispositivo. (Acceso a redes wifi inseguras, si el dispositivo muestra la contraseña, …) Actualmente solamente para plataforma Android.

https://www.osi.es/es/conan-mobile

No alt text provided for this image

No he encontrado ninguna aplicación para iOS, toda sugerencia es bienvenida!

RECOMENDACIONES GENÉRICAS SOBRE APLICACIONES

La recomendación principal es la de controlar los permisos que se dan a las aplicaciones y limitarlos al máximo.

Por ejemplo, si no vamos a grabar vídeos y solamente hacemos fotografías con Instagram, podemos desactivar el acceso al micrófono por parte de la aplicación, así, nos aseguramos que no esté “escuchando” o realizando acciones más allá de lo estrictamente necesario. Si no queremos que una aplicación nos posicione, quitamos el permiso al GPS. Si lo necesitamos, se recomienda mirar de dar el permiso, realizar la acción y una vez finalizada, retirar el permiso y dejarlo como estaba. Es algo que significa un pequeño trabajo extra, pero el objetivo es la protección y control de nuestros datos personales.

Si vamos a instalar un juego o cualquier aplicación, vigilar los permisos que necesita. Si, por ejemplo, es una aplicación para encender o apagar el flash para simular una linterna, pero nos pide acceso a los contactos, la tarjeta SD, los datos de la Wifi y al GPS nos debería hacer sospechar que esa aplicación no es buena y no la deberíamos instalar.

Espero que os resulte interesante. ¿Comentarios?

Cristina Páez Ramirez

Especialista en Marketing y Estrategia Digital en Grupo Caja Ingenieros

4 años

Muy interesante. Todos tenemos que tener mas cuidado con lo que nos instalamos en el móvil. Gracias Xavi!

Ramón Muñoz

Comedia para particulares & empresas. Generación de contenido para RSS con toques de humor. Guionista de monólogos y discursos.

4 años

¡Muy interesante! Gracias por escribirlo.

Miguel Lorenzo Gawenda

Director, docente y asesor de Seguridad Integral

4 años

Sumamente interesante. Eso sí, la privacidad, aún siendo un derecho es como los Reyes Magos (no existen) perdón si desilusiono a alguna persona ;-)

Xavi, gracias por el aporte

Inicia sesión para ver o añadir un comentario.

Otros usuarios han visto

Ver temas