Aplicaciones desarrolladas con Microsoft Power Apps podrían filtrar la información personal del usuario

Las aplicaciones mal configuradas construidas con Microsoft Power Apps dejan expuestas millones de entradas de información personal de identificación.

¿Cómo es que la información que las empresas recopilan cae en las manos equivocadas? En ocasiones, los infiltrados la venden y otras veces el hackeo dirigido provoca la filtración; pero en la mayoría de los casos, la información personal de identificación se filtra a través de servicios o programas mal configurados. Además de la vasta evidencia a este respecto, los investigadores de UpGuard encontraron que la información personal de identificación de 38 millones de personas había sido expuesta. La fuente de la filtración es alguna aplicación web mal configurada creada con la plataforma Microsoft Power Apps. Por fortuna, parece que los malhechores no obtuvieron acceso a la información.

Mala configuración de Power Apps

Como herramienta que ayuda a las empresas a construir aplicaciones y portales web sin la necesidad de fuertes inversiones en desarrollo, Power Apps de Microsoft utiliza el principio low-code (es decir, no requiere código de escritura como tal). Las reseñas de los usuarios alaban la capacidad para hacer realidad cualquier idea sin contar con experiencia en TI y programación.

Esa simplicidad es la raíz del problema. Al utilizar Power Apps, las personas que no solo carecen de experiencia en TI, sino que también ignoran la seguridad de la información, crearon herramientas que –¡sorpresa!– no eran seguras. Los investigadores encontraron 47 empresas y agencias gubernamentales que utilizaron Power Apps para crear herramientas que recopilan información personal pero que no mantenían la confidencialidad de esta.

Para resumir una explicación larga y técnica, Power Apps permite que los usuarios creen herramientas tanto para compartir datos como para recopilarlos. En ambos casos, los datos se almacenan en tablas y el creador de la aplicación puede habilitar los permisos de acceso a estos. Por defecto, los permisos estaban deshabilitados. Por un lado, esto permitió que los creadores habilitaran un intercambio fácil de datos. Por el otro, en esencia, las tablas ahora eran públicas. Por este motivo, la información recopilada seguía disponible desde empresas externas.

Cómo proteger a tu empresa y a tus clientes contra las filtraciones de datos

Después de que los investigadores notificaron la filtración, Microsoft cambió los ajustes predeterminados de la plataforma. Ahora, cuando alguien crea un proyecto nuevo que recopila datos personales, almacenará cualquier información que recopile de manera que personas ajenas no pueden acceder a ella. Sin embargo, las aplicaciones y los servicios Web que se crearon antes de la actualización de Microsoft podrían todavía ser vulnerables. Si tu empresa utiliza Microsoft Power Apps, deberías revisar todas las opciones de configuración de manera minuciosa para evitar este tipo de filtración, especialmente si tus aplicaciones recopilan y almacenan información personal de identificación.

Sin embargo, el problema es en realidad mucho más grande. Power Apps está lejos de ser la única plataforma con low-code utilizada por personas sin experiencia en TI para crear servicios, aplicaciones y sitios web. Estas herramientas, que en muchos casos las empresas utilizan solo para tareas internas, pueden pasar completamente desapercibidas por los departamentos de seguridad. Mientras tanto, pueden contener vulnerabilidades en el código fuente, errores que ocurren durante la integración con otros procesos empresariales, o, como en este caso, las malas configuraciones.

Por lo tanto, recomendamos que las empresas que utilizan plataformas low-code hagan lo siguiente:

  • Revisar con cuidado los ajustes de seguridad y privacidad tanto de aplicaciones publicadas como de las que aún no se publican.
  • Educar a los departamentos de seguridad de la información sobre el uso de estas plataformas en procesos empresariales.
  • Emplear expertos externos(si no cuentan con especialistas internos) para evaluación de la seguridad.
Consejos