Una vulnerabilidad descubierta por un desarrollador español, compromete información personal de usuarios de apps deportivas en 16 países.
Actualmente existen muchísimas aplicaciones móviles de temática deportiva mundialmente conocidas. Unas aplicaciones que nos ayudan en nuestra rutina de ejercicio físico y que además de ello, nos controlan cada detalle del entrenamiento como el calendario, la comida, los parámetros fisiológicos..etc. Pero todas estas aplicaciones a las que cada vez más gimnasios se suman, no tienen en cuenta algunos posibles riesgos cibernéticos.
Durante el pasado mes de junio, un desarrollador español hacía sonar las alarmas acerca de estas aplicaciones deportivas con el descubrimiento de una vulnerabilidad que ponía en riesgo la información personal y los datos médicos de los clientes de más de 1.600 establecimientos según publican desde Panda Security.
¿Cómo se produce esta vulnerabilidad? Según la investigación llevada a cabo por el experto en white hacking y ciberseguridad, Deepack Daswani, las vulnerabilidades descubiertas en muchas aplicaciones de gimnasios permiten suplantar la identidad de los socios o inscritos al establecimiento y obtener de esta manera las contraseñas almacenadas. Igualmente, la investigación expone que este fallo en la seguridad de miles de aplicaciones deportivas afecta a 16 países entre los cuales, se encuentra España.
Este experto que ha realizado la investigación sobre dicha vulnerabilidad, ha trabajado anteriormente en instituciones tan reconocidas como el Instituto Nacional de Ciberseguridad (INCIBE), haciendo públicas sus conclusiones sobre la vulnerabilidad durante su conferencia en Mundo Hacker Day, un evento celebrado en Madrid.
En su conferencia, advirtió igualmente de que los hackers podrían aprovechar dicha vulnerabilidad para acceder a documentos PDF personalizados para cada miembro de cada gimnasio, unos documentos que recogerían todos los datos acerca del usuario y entre los cuales estaría su DNI por ejemplo o sus informes de salud.
No sólo los dispositivos móviles son susceptibles de esta vulnerabilidad sino que también pueden acceder a través de las aplicaciones instaladas en el PC o en los espacios físicos habilitados en el propio centro. Y es que según publica Panda Scurity,un criminal podría usurpar la identidad de un socio sin demasiados problemas si se está compartiendo una misma red Wifi o si el hacker se halla en dichos espacios habilitados. Una vez dentro, se pueden consultar todas las actividades y añadir o eliminar clases, además de acceder a dichos datos.