Controla las apps que autorizas

El otro día recibí spam especial en mi correo. Lo enviaba un amigo. “Saca tus apps autorizadas y ponlas donde yo las pueda ver”, le dije apuntándole con el ratón.Mi hipótesis era que mi amigo había autorizado una aplicación de reputación cuestionable para que accediese a su cuenta de Google y, en consecuencia, a su cuenta de correo Gmail.En otras palabras: bajo la promesa de algo maravilloso, mi amigo había autorizado un sitio web ubicado en Rusia para que pudiese acceder a su cuenta de Google con todos los permisos posibles e imaginables, incluido el de enviar un e-mail en su nombre.La sospecha era fundada: en cuanto revisé la lista de sitios y aplicaciones autorizadas de mi amigo, vi un sitio de nombre raro. Lo busqué en Google y descubrí que se trataba de una página de aspecto dudoso. Le pedí que revocara el permiso a ese sitio.
¿Qué son las apps o sitios autorizados?

En Internet, los datos que almacenas en Google, Facebook o Twitter son muy valiosos. Hay apps y sitios web que acceden a ellos a través de permisos especiales que concedes tú mismo. Y para qué, te estarás preguntando.
Las apps y sitios de terceros piden permisos por los motivos más diversos. En general, sus cometidos son muy útiles, y enriquecen las aplicaciones que ya usas. Algunos ejemplos de apps y sitios que necesitan acceder a tus datos son…
Versiones móviles de tus páginas favoritas (oficiales o no) 
Sitios web en los que puedes identificarte sin contraseña 
Accesorios para gestionar mejor tu correo y redes sociales 
Aplicaciones que conectan varios servicios, como IFTTT
Apps que hacen copias de seguridad de tus datos 
Apps de vanidad: ¿quién te sigue y deja de seguir en las redes?

Tiene sentido, ¿verdad? Al fin y al cabo, siempre estás conectado a Google o Facebook, así que, ¿por qué no usar esas cuentas para entrar en otras páginas? ¿Por qué no permitir que las aplicaciones usen tus datos para tu beneficio?
El problema es que ni todas las apps o sitios de terceros son seguros, ni todos se portan bien con tus datos. Si autorizas la app equivocada las consecuencias pueden ser molestas… o desastrosas.
¿Por qué este sistema de autorizaciones?

A partir de 2007, los peces gordos de la red empezaron a habilitar un estándar de identificación y autorización llamado OAuth (autorización abierta). Es el estándar que se usa cuando te identificas en una página a través de Google o Facebook.

Con OAuth, el sitio nunca tiene tu password, sino únicamente un "token" (fuente)

La razón de ser de OAuth es simple: antes, para que esas aplicaciones accediesen a tus datos tenías que introducir la contraseña del servicio, una contraseña que se podía capturar o almacenar, con todos los riesgos que eso suponía.Con OAuth ya no hay que escribir contraseñas: la autenticación como usuario de Google se lleva a cabo en el sitio de Google o Facebook. Ya no tienes que darle tu clave al sitio de terceros, sino que ese sitio pide permiso al sitio madre.
El lado oscuro de las autorizaciones de sitios

Autorizamos apps y sitios con excesiva ligereza, sin fijarnos en su calidad o confiabilidad. Y así ocurre que, alentados por promesas extraordinarias, dejamos entrar malware peligroso o simplemente molesto.

Una app autorizada que envía spam a través de Twitter (fuente)

Dependiendo de los permisos que hayas concedido en un primer momento, una app maliciosa podrá hacer más o menos daño en tus cuentas:
Borrar correos, actualizaciones, contactos 
Enviar publicidad no-solicitada en tu nombre 
Publicar fotos privadas en sitios públicos 
Sacar información personal (como contraseñas)

No siempre estas acciones tienen un origen malicioso. A veces, un sitio autorizado está mal configurado o diseñado. El daño, sin embargo, es el mismo. Pero se puede prevenir fácilmente: basta con revocar permisos.
¿Cómo se revocan o quitan los permisos?

Todos los servicios que conceden permisos deben permitir consultarlos y revocarlos. Pero a veces no es sencillo, bien por lo oculta que está la opción necesaria, bien por lo poco comprensible que es el sistema de revocación.




Para mayor sencillez, puedes usar la fantástica página MyPermissions.org y sus aplicaciones para iPhone y para Android, que vigilan tus servicios y te recuerdan hacer limpieza de las autorizaciones periódicamente.
Algunos consejos antes de acabar

Limpiar periódicamente la lista de apps autorizadas es bueno para tu salud: evitas problemas a largo plazo, cuando esas aplicaciones son abandonadas o atacadas por hackers. Pero no es suficiente.Debes pensar antes de autorizar una app o sitio de terceros. ¿Qué es lo que estás autorizando? ¿Es confiable la página? ¿Qué permisos solicita? Si huele a chamusquina, si parece prometer demasiado y tiene un aspecto cutre... empieza a sospechar.Otro consejo útil es que cambies periódicamente tus contraseñas por unas fuertes y fáciles de recordar en tus servicios principales y que uses una diferente para cada uno. Si usas la misma contraseña para todo, caído un servicio, caídos todos.

Comentarios

Entradas populares de este blog

Ejercita tu cerebro con estas siete actividades

Cómo crear un USB de arranque para instalar Windows o Linux

Sample Focus, una sencilla web para descargar muestras de sonidos