Varias empresas se han movido rápidamente para añadir cifrado a sus aplicaciones móviles, después de que se descubrió que habían fallado en el cifrado de la información de las tarjetas de pago, lo que ponía en riesgo a los usuarios. 

Las aplicaciones no estaban utilizando SSL/TLS (Secure Sockets Layer/Transport Layer Security), un protocolo de cifrado que codifica los datos que se envían a través de Internet, de acuerdo con Wandera, un proveedor de seguridad y cómputo en la nube.

Con tantas brechas de seguridad y costosos incidentes de pérdidas de datos en las noticias, es difícil creer que algún negocio dejaría de tomar precauciones básicas, como cifrar tráfico sensible cuando se esté transmitiendo para o desde una página web,” dijo Michael J. Covington, gerente senior de producto en un video subido el miércoles.

Las fugas de información pueden ser costosas para las empresas; el cómo proteger mejor la información de las tarjetas de pagos ha sido una gran pregunta.

Cinco de 16 empresas mencionadas por Wandera en la entrada de blog ya han corregido sus problemas de seguridad, dijo un vocero de Wandera el miércoles. Todas estas compañías fueron notificadas del problema por Wandera. Se estima que estas atienden en conjunto a 500 mil clientes al día.

La compañía detectó los problemas cuando analizaba flujos de tráficos de clientes que utilizaban su aplicación de seguridad y su tecnología de puerta de enlace.

El uso de SSL/TLS durante la transmisión de información, como las credenciales de acceso, información personal y datos de tarjetas de pago, son consideradas prácticas estándar para protegerse contra violaciones de seguridad. Las conexiones cifradas se reconocen en la barra URL de los navegadores mediante un ícono de candado y la leyenda "https".

Si la información no está cifrada, cualquiera en la misma red, como en un punto de conexión público, puede recolectar el tráfico y ver la información en texto plano.

Convigton dijo que en algunos casos las páginas web usaron cifrado, pero esos mismos servicios no estaban protegidos al utilizar aplicaciones o navegadores móviles.

Las aplicaciones móviles usualmente tienen múltiples conexiones a servicios de backend, por lo que todo debe ser tratado con la misma protección, dijo Covington. En enero, Wandera encontró que la aplicación móvil de la NFL filtró nombres de usuario y contraseñas debido a una llamada a la API (Application Programming Interface) no cifrada, de acuerdo con una aviso de seguridad. El problema fue corregido posteriormente.