Los últimos datos sobre Heartbleed eran que Github ha indicado que más de 600 de los principales 10.000 sitios son vulnerables. En el momento del análisis, entre los afectados se encontraban Yahoo, Flickr, OkCupid, la revista Rolling Stone y Ars Technica. Pues bien, Trend Micro va más allá y no sólo los sitios web son vulnerables, sino que las apps móviles también están en riesgo.

Lo hace tras realizar un análisis entre más de 390.000 aplicaciones de Google Play, y confirmar que 1.300 pueden ser vulnerables a HeartBleed, entre ellas 15 apps relacionadas con bancos, 39 con servicios de pago online y 10 con tiendas online. También, según informa en un comunicado, la compañía ha encontrado varias apps populares que muchos usuarios utilizan a diario, como aplicaciones de mensajería instantánea, de salud y apps de configuración de teclado.

Para Trend Micro, es preocupante el tema de las aplicaciones de pago por móvil, puesto que “utilizan minería de datos de información sensible tanto personal como financiera, y sólo hace falta que los cibercriminales estén listos para recogerla”, explica.

Recomendaciones

Respecto a este tema, el especialista de Trend Micro, Veo Zhang, cree que no hay demasiado que se pueda hacer. “Le diríamos que cambiara su contraseña, pero eso no ayudará a los desarrolladores de aplicaciones ni tampoco a los proveedores de servicios web. No solucionaría totalmente el problema. Esto supone la actualización de la versión parcheada de OpenSSL, o al menos una de las versiones no vulnerables”, señala.

Hasta que no se produzca, la recomendación es dejar de realizar compras desde la aplicación  o cualquier transacción financiera durante un tiempo (incluidas actividades bancarias), hasta que el desarrollador de su aplicación emita un parche que elimine la vulnerabilidad.

Dominios afectados

Por otro lado, Trend Micro ha escaneado los principales nombres de dominios para medir el impacto de Heartbleed, y ha descubierto un porcentaje global de alrededor del 5 cinco en términos de sitios afectados por CVE-2014-0160. Entre los dominios de primer nivel con mayor porcentaje de sitios vulnerables se encuentra .KR y .JP.  Los sitios web con extensión .GOV ocupan el quinto puesto del ranking.