Agendas digitales infantiles II – La Seguridad Contraataca.

Hace un tiempo escribí acerca de las agendas digitales que últimamente se utilizan tan alegremente en muchas guarderías y colegios. Es más, este tipo de aplicaciones parecen que salen de debajo de las piedras, levantas una y ahí aparece otra nueva. ¡Champiñones las llamaría yo!

Bien, en mi último post con el que tuve el placer de deleitar a nuestros queridos lectores, hablé concretamente de la seguridad (o falta de ella) de la aplicación que se utiliza en la guardería donde va mi “enano”. Comenté que seguiría investigando para ver hasta qué punto la aplicación en cuestión era segura, pero lamentándolo mucho, unas veces por la carga de trabajo y otras por motivos personales, me ha sido imposible llevar a cabo esta acción.

Sin embargo, hay otros padres entendidos en la materia, que sí han podido llevar a cabo esa importante labor. Si es que al final, al que le gusta “trastear” siempre encuentra tiempo para ello. El caso es que hace poco me llegó información sobre un padre informático que, en la guardería de sus hijos, utilizan también esta misma aplicación, y vaya, ¡qué casualidad! ¡Es experto en seguridad!

Pues resulta que este padre descubrió una vulnerabilidad en la APP en cuestión, lo que no me extrañó en absoluto. La vulnerabilidad descubierta básicamente deja expuesta toda la información de la aplicación a cualquier usuario anónimo, esté o no habilitado para poder acceder a ella. Nada, una tontería, ¿verdad?

Recordemos que en este tipo de aplicaciones se almacenan, entre otras cosas, datos de salud de los menores (intolerancia a alimentos, enfermedades, etc), datos especialmente protegidos por la Agencia Española de Protección de Datos. También se guardan los datos personales de alumnos, tutores (padres o madres), fotos de los menores, así como comunicaciones y chats privados entre maestros y padres.

Seguro que os estaréis preguntando sobre la vulnerabilidad en cuestión, ¿a que sí? Bueno, pues resulta que a esta aplicación se accede con las credenciales que proporcionan las guarderías a los padres cuando se les da de alta en el sistema. Hasta aquí algo normal y natural. La APP se comunica entonces por https con un servidor web mediante REST, recibiendo respuestas en formato JSON.

La vulnerabilidad es que existe una desprotección total de la API REST, de forma que sin comprobar ninguna cookie ni ningún sistema de autenticación y de forma totalmente anónima, una vez se conocen los parámetros y las URL de la API, se puede acceder a TODA la información guardada en el sistema: datos de guarderías, datos personales de alumnos y padres (fotos, móviles, nombres, datos de salud), chats privados, etc.

Este hecho no sólo vulnera la privacidad de los menores, sino que además, incumple la LOPD y su reglamento (RDLOPD). Así por encima podríamos decir que la aplicación incumpliría mínimo 3 artículos:

LOPD Artículo 9. Seguridad de los datos.
El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.
RDLOPD Artículo 91. Control de acceso.
1. Los usuarios tendrán acceso únicamente a aquellos recursos que precisen para el desarrollo de sus funciones. […]
3. El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados.
RDLOPD Artículo 93. Identificación y autenticación.
1. El responsable del fichero o tratamiento deberá adoptar las medidas que garanticen la correcta identificación y autenticación de los usuarios.
2. El responsable del fichero o tratamiento establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado.

El problema no es sólo esta vulnerabilidad, que lo es, sino que no es la única. Por ejemplo, esta aplicación también permite, entre otras más cosas, realizar ataques de fuerza bruta contra el login, por lo que también incumpliría el artículo 98. Identificación y autenticación del RDLOPD para datos de nivel medio, en el que dice:

El responsable del fichero o tratamiento establecerá un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información.

¡Vamos, que la aplicación es una delicia!

Y aquí es cuando uno se da cuenta que muchas aplicaciones, sobre todo las APP para móviles, se desarrollan pensando más en su funcionalidad que en su seguridad; que no me parece mal, no me malinterpretéis; pero cuando se realiza una herramienta que por defecto va a almacenar información de menores, se debería poner un poco más de cariño en este aspecto.

De todas formas, y aunque la aplicación tenga vulnerabilidades claras de seguridad, debemos recordar que la responsabilidad de que los datos estén seguros es de las guarderías o centros que contratan este tipo de aplicaciones, ya que son los responsables de los datos, y como tal, deben asegurarse que las empresas externas que traten esos datos (encargados de tratamiento), cumplan con las medidas de seguridad.

En fin, me da que este tema va para largo, pero no os preocupéis queridos lectores. que os mantendré puntualmente informados.