{"id":22781,"date":"2021-09-08T08:48:42","date_gmt":"2021-09-08T14:48:42","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=22781"},"modified":"2021-09-08T08:48:42","modified_gmt":"2021-09-08T14:48:42","slug":"power-apps-exposure","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/power-apps-exposure\/22781\/","title":{"rendered":"Aplicaciones desarrolladas con Microsoft Power Apps podr\u00edan filtrar la informaci\u00f3n personal del usuario"},"content":{"rendered":"

\u00bfC\u00f3mo es que la informaci\u00f3n que las empresas recopilan cae en las manos equivocadas? En ocasiones, los infiltrados la venden y otras veces el hackeo dirigido provoca la filtraci\u00f3n; pero en la mayor\u00eda de los casos, la informaci\u00f3n personal de identificaci\u00f3n se filtra a trav\u00e9s de servicios o programas mal configurados. Adem\u00e1s de la vasta evidencia a este respecto, los investigadores de UpGuard encontraron que la informaci\u00f3n personal de identificaci\u00f3n de 38 millones de personas hab\u00eda sido expuesta<\/a>. La fuente de la filtraci\u00f3n es alguna aplicaci\u00f3n web mal configurada creada con la plataforma Microsoft Power Apps. Por fortuna, parece que los malhechores no obtuvieron acceso a la informaci\u00f3n.<\/p>\n

Mala configuraci\u00f3n de Power Apps<\/h2>\n

Como herramienta que ayuda a las empresas a construir aplicaciones y portales web sin la necesidad de fuertes inversiones en desarrollo, Power Apps de Microsoft utiliza el principio low-code<\/em> (es decir, no requiere c\u00f3digo de escritura como tal). Las rese\u00f1as de los usuarios alaban<\/a> la capacidad para hacer realidad cualquier idea sin contar con experiencia en TI y programaci\u00f3n.<\/p>\n

Esa simplicidad es la ra\u00edz del problema. Al utilizar Power Apps, las personas que no solo carecen de experiencia en TI, sino que tambi\u00e9n ignoran la seguridad de la informaci\u00f3n, crearon herramientas que \u2013\u00a1sorpresa!\u2013 no eran seguras. Los investigadores encontraron 47 empresas y agencias gubernamentales que utilizaron Power Apps para crear herramientas que recopilan informaci\u00f3n personal pero que no manten\u00edan la confidencialidad de esta.<\/p>\n

Para resumir una explicaci\u00f3n larga y t\u00e9cnica, Power Apps permite que los usuarios creen herramientas tanto para compartir datos como para recopilarlos. En ambos casos, los datos se almacenan en tablas y el creador de la aplicaci\u00f3n puede habilitar los permisos de acceso a estos. Por defecto, los permisos estaban deshabilitados. Por un lado, esto permiti\u00f3 que los creadores habilitaran un intercambio f\u00e1cil de datos. Por el otro, en esencia, las tablas ahora eran p\u00fablicas. Por este motivo, la informaci\u00f3n recopilada segu\u00eda disponible desde empresas externas.<\/p>\n

C\u00f3mo proteger a tu empresa y a tus clientes contra las filtraciones de datos<\/h2>\n

Despu\u00e9s de que los investigadores notificaron la filtraci\u00f3n, Microsoft cambi\u00f3 los ajustes predeterminados de la plataforma. Ahora, cuando alguien crea un proyecto nuevo que recopila datos personales, almacenar\u00e1 cualquier informaci\u00f3n que recopile de manera que personas ajenas no pueden acceder a ella. Sin embargo, las aplicaciones y los servicios Web que se crearon antes de la actualizaci\u00f3n de Microsoft podr\u00edan todav\u00eda ser vulnerables. Si tu empresa utiliza Microsoft Power Apps, deber\u00edas revisar todas las opciones de configuraci\u00f3n de manera minuciosa para evitar este tipo de filtraci\u00f3n, especialmente si tus aplicaciones recopilan y almacenan informaci\u00f3n personal de identificaci\u00f3n.<\/p>\n

Sin embargo, el problema es en realidad mucho m\u00e1s grande. Power Apps est\u00e1 lejos de ser la \u00fanica plataforma con low-code<\/em> utilizada por personas sin experiencia en TI para crear servicios, aplicaciones y sitios web. Estas herramientas, que en muchos casos las empresas utilizan solo para tareas internas, pueden pasar completamente desapercibidas por los departamentos de seguridad. Mientras tanto, pueden contener vulnerabilidades en el c\u00f3digo fuente, errores que ocurren durante la integraci\u00f3n con otros procesos empresariales, o, como en este caso, las malas configuraciones.<\/p>\n

Por lo tanto, recomendamos que las empresas que utilizan plataformas low-code<\/em> hagan lo siguiente:<\/p>\n