Las PWA son simples ¿pero seguras?

Hola, hoy quiero llamaros la atención sobre unas "aplicaciones" que suelen aparecernos cuando navegamos por la web y son las PWA o Aplicaciones web Progresivas.


Una aplicación web progresiva (PWA por sus siglas en inglés) es un tipo de software de aplicación que se entrega a través de la web, creado utilizando tecnologías web comunes como HTMLCSS y JavaScript. Está destinado a funcionar en cualquier plataforma que use un navegador compatible con los estándares. La funcionalidad incluye trabajar sin conexiónnotificaciones push y acceso al hardware del dispositivo, lo que permite crear experiencias de usuario similares a las aplicaciones nativas en dispositivos móviles y de escritorio. Dado que una aplicación web progresiva es un tipo de página web o sitio web conocido como aplicación web, no hay ningún requisito para que los desarrolladores o usuarios instalen las aplicaciones web a través de sistemas de distribución digital como Apple App Store o Google Play.

Algunos ejemplos

Siendo uno de los principales en usarlo Google, ya que dotaba a los ChromeBook de un entorno de aplicaciones basado en las PWA. Existen otras web que han usado esta tecnologia, como Spotify o Youtube.





El navegador por excelencia compatible con las PWA es Chrome, si queremos conocer las aplicaciones instaladas, escribimos en la barra de direcciones:

 chrome://apps





Desde aquí podremos desinstalar. o configurarlas, para saber a que tiene acceso estas aplicaciones que se han instalado en nuestro ordenador.


¿Problemas?

Bueno. las Aplicaciones Web Progresivas (PWA) son una interesante combinación entre sitios web y aplicaciones móviles, por lo que aunque ofrecen ventajas, también pueden ser utilizadas para hacer phishing y por tanto engañarnos visitando sitios. que no son válidos. 

Una característica de una PWA es que elimina la barra del navegador, por tanto no podemos usar el navegador más que para esa aplicación, pero tampoco podemos saber si la web que se nos muestra es correcta o una simulación.


Es importante tener en cuenta:

Origen seguro: Las PWA deben cargarse a través de HTTPS para garantizar la seguridad de los datos transmitidos entre el usuario y el servidor.

Política de contenido: Las PWA pueden definir políticas de contenido (Content Security Policy, CSP) para mitigar riesgos como ataques XSS (Cross-Site Scripting).

Actualizaciones seguras: Las actualizaciones automáticas de PWA son convenientes, pero deben implementarse de manera segura para evitar la descarga de código malicioso.

Privacidad: Las PWA pueden solicitar permisos (como acceso a la cámara o ubicación), por lo que es importante que los usuarios estén informados y controlen sus datos.

Por tanto, debemos asegurarnos siempre la procedencia de lo que instalamos verificando la URL que esta sea segura y emplee el protocolo https.

Si queremos usar las PWA, siembre debe provenir de la Fuente de la aplicación y no de una ventana emergente, en una web que visitamos pues detrás de esto es probable que exista una web falsa.

Validando las direcciones webs es posible, aunque tedioso pues a ninguno nos apetece estar comprobando si la web que nos han dado es correcta o no, sin embargo un mínimo de esfuerzo como chequear la dirección en:



Es posible practicar el phishing en las Aplicaciones Web Progresivas (PWA). Los ciberestafadores han encontrado una nueva técnica para ello. Aquí está cómo funciona:
  1. Los atacantes crean ventanas con URLs que parecen legítimas en la PWA. Estas ventanas imitan las del navegador y pueden mostrar direcciones web convincentes

  2. La víctima es persuadida para instalar la PWA falsa. Una vez instalada, se le solicita que ingrese sus credenciales de inicio de sesión en un formulario, proporcionándolas directamente a los atacantes


Conclusión

La recomendación en el uso de las PWA, como siempre mantén un ojo crítico y si algo parece sospechoso, seguramente lo sea y por tanto no merece tu tiempo.
Recuerda que las PWA son accesibles a través de navegadores web, lo que elimina la necesidad de descargar e instalar desde tiendas de aplicaciones

En internet hay prácticas "extrañas", como por ejemplo....

¿Porque AliExpress quiere acceso a los sensores del ordenador?



Saludos,

Pedro.