Durante años, la percepción general ha sido que el ecosistema de iOS resulta más seguro en comparación con Android. Sin embargo, una investigación reciente presenta resultados que contradicen esta creencia, al exponer una serie de vulnerabilidades notables en la privacidad y protección de datos de las aplicaciones disponibles en la App Store de Apple.

El informe, elaborado por la firma de ciberseguridad Zimperium, desmiente la idea de superioridad en seguridad de las apps de iOS. De acuerdo con el estudio, las aplicaciones del sistema operativo de Apple no solo filtran datos como las de Android, sino que llegan a hacerlo en mayor proporción, abriendo un escenario inédito de riesgo para millones de usuarios a nivel global.

El análisis indica que más de la mitad (50%) de las aplicaciones en la App Store exponen información sensible de sus usuarios, mientras que en Google Play ese porcentaje afecta a una de cada tres aplicaciones (33%).

Este resultado pone en duda la protección de Apple en materia de privacidad, evidenciando que el control de calidad y la revisión de seguridad en la tienda oficial no resultan lo suficientemente efectivos para evitar estos riesgos.

Zimperium concluye que las aplicaciones móviles han desplazado a las plataformas tradicionales para convertirse en el principal espacio de batalla para los ataques dirigidos a API, el canal por el que apps y servidores intercambian datos.

Los atacantes logran interceptar llamadas API en dispositivos iOS y pueden hacerlas pasar por legítimas. Esta capacidad de inmiscuirse en las comunicaciones entre la app y los sistemas empresariales incrementa la posibilidad de fraudes y robos de datos críticos para personas y organizaciones.

Los datos recolectados revelan que uno de cada cinco dispositivos Android en uso ya ha detectado actividad de malware “en estado salvaje”, aunque la prevalencia de infecciones en iOS tampoco permite confiar en la inmunidad de la plataforma de Apple. El estudio cita que tres de cada 1.000 dispositivos móviles ya incorporan algún tipo de software malicioso, contribuyendo a la exposición masiva de información confidencial.

Las apps de viajes y finanzas aparecen entre las más vulnerables en ambos ecosistemas. En el caso de las aplicaciones de viajes en iOS, el 20% evidencia vulnerabilidad a ataques cibernéticos que comprometen los datos personales de los usuarios a través de llamadas API.

Por otro lado, uno de cada tres programas financieros para Android tampoco logra evitar este tipo de amenazas, demostrando que el sector financiero continúa siendo un blanco prioritario.

Uno de los vectores de riesgo más relevantes es la deficiencia de las herramientas tradicionales para proteger la información. Las técnicas como la fijación SSL, una de las más reconocidas para prevenir ataques ‘man-in-the-middle’ al validar la autenticidad de los servidores al conectar mediante API, tampoco aseguran protección total.

El informe subraya que, a pesar de contar con SSL pinning, uno de cada cinco aplicativos de viajes en iOS y uno de cada tres de finanzas en Android sigue presentando puertas abiertas a los ciberdelincuentes.

El informe detalla que muchas aplicaciones ni siquiera protegen adecuadamente los datos que se almacenan en el dispositivo. El registro de la consola, así como el almacenamiento externo y local, suelen convertirse en puntos de fuga.

Por ejemplo, el documento destaca que el 6% de las 100 aplicaciones más populares de Android escribe información de identificación personal en los registros de la consola, el 4% la almacena en memoria externa (accesible para otras aplicaciones) y casi un tercio de todas las aplicaciones (31%) y el 37% del top 100 envía esta información a servidores remotos, la mayoría de las veces sin la debida encriptación para proteger la privacidad del usuario.

El informe resalta que la defensa contra ataques sobre API dentro de las propias aplicaciones es una asignatura pendiente. Según los encargados del informe, es común que los atacantes intercepten y alteren las llamadas API en el lado del cliente antes de que lleguen a los sistemas de respaldo, una técnica que los mecanismos de seguridad tradicionales no logran frenar.

Al residir la lógica de acceso y los endpoints de API en dispositivos de los usuarios (potencialmente no confiables), cualquier vulnerabilidad deja a la aplicación expuesta a ingeniería inversa, manipulación y robo de datos.

Los riesgos se vuelven aún mayores cuando las aplicaciones no actualizan sus métodos de almacenamiento y transferencia segura de información. Más allá de la penetración creciente del malware en dispositivos móviles, la prioridad debe centrarse en asegurar las comunicaciones y los datos almacenados en el terminal.

De lo contrario, el crecimiento constante en el número y complejidad de ataques a dispositivos móviles seguirá mostrando que ni el ecosistema iOS ni Android ofrecen garantías absolutas de privacidad y protección.