Una empresa global promedio tiene aproximadamente 2 mil 400 aplicaciones instaladas en ambientes móviles, indica Veracode tras un estudio realizado en distintos corporativos.

Basado en un análisis a cientos de miles de aplicaciones móviles instaladas en entornos corporativos actuales, a través de varias industrias incluyendo servicios financieros, medios de comunicación, manufactura y telecomunicaciones, Veracode encontró 14 mil aplicaciones inseguras de las cuales:

• 85 % exponen información sensible del dispositivo, incluyendo información de la tarjeta SIM como la localización del teléfono, historial de llamadas, contactos telefónicos, registros de mensajes SMS, los ID de dispositivo y la información de soporte. 
• 37% realizan acciones de seguridad sospechosas, como comprobar si el dispositivo está rooteado (con privilegios de administración) o tiene jailbroken (lo cual permite a las aplicaciones realizar acciones como superusuario, tales como grabar conversaciones, deshabilitar herramientas antimalware, reemplazar el firmware o ver credenciales almacenadas en caché), instalación o desinstalación de aplicaciones, grabación de llamadas telefónicas o ejecutar otros programas. 
• 35% recuperan o comparten información personal acerca del usuario como el historial de navegación y calendarios, usualmente mandando información a lugares sospechosos en el extranjero y permitiendo a los atacantes elaborar un perfil completo de los usuarios y sus conexiones sociales.

Phil Neray, vicepresidente de seguridad estratégica de Veracode, dijo a Help Net Security: "Los hallazgos demuestran que las empresas suelen tener una gran cantidad de aplicaciones inseguras instaladas en los dispositivos de sus empleados. Por ejemplo, una aplicación se considerada insegura si tiene acceso a la información de la tarjeta SIM como geolocalización, historial de llamdas, bitácora de mensajes SMS y los ID del dispositivo, o bien si manda información sensible a lugares extranjeros sospechosos sin razón aparente."

"Hay muchas maneras de la cual los ciberatacantes pueden aprovechar las aplicaciones riesgosas. Por ejemplo, pueden ser usadas para espiar empleados con acceso a información confidencial, rastreando la ubicación de los empleados, grabando sus llamadas telefónicas y desarrollando un perfil de sus conexiones sociales, todo con el fin de robar propiedad intelectual de las corporaciones o conseguir algún beneficio negociando información privilegiada. También pueden ser usadas para robar credenciales bancarias o insertar adware agresivo. Los Estados Nación podrían usarlas para dar seguimiento a individuos de alto perfil", agregó Neray.

De acuerdo con Gartner, "Durante 2015, más del 75 porciento de las aplicaciones móviles fallarán en pruebas básicas de seguridad." Al mismo tiempo, los cibercriminales y las naciones están constantemente buscando la manera de explotar las aplicaciones inseguras con el fin de robar propiedad intelectual, rastrear individuos de alto perfil o insertar adware agresivo para generar ganancias monetarias.

Esto crea un reto para las empresas que quieren incrementar su productividad y la satisfacción de sus empleados proveyendo programas  "Trae tu propio dispositivo" (Bring Your Own Device, BYOD) o dispositivos propios de la corporación. Modernos sistemas MDM (Mobile Device Management) y EMM (Enterprise Mobility Management) son diseñados para reforzar políticas corporativas o gestión de dispositivos, pero se necesita un mecanismo automatizado y escalable para mantener actualizada la información de miles de aplicaciones inseguras que están siendo constantemente añadidas a tiendas de aplicaciones públicas alrededor del mundo.

Los enfoques existentes para hacer frente a las aplicaciones inseguras, como listas negras manualmente creadas, son difíciles de escalar debido al tamaño y a la naturaleza constantemente cambiante del problema. Como resultado de ello, o bien no logran mantenerse al día con las amenazas móviles o los empleados quedan frustrados al prohibir aplicaciones sin ninguna razón.