Hace una semana, se hacía público que un individuo 'no autorizado' había accedido a los datos personales de casi 750.000 habitantes del estado de Indiana (EE.UU.), que habían sido rastreados por COVID-19. La empresa de ciberseguridad UpGuard desvelaba poco después que sólo era un caso más entre docenas de entidades que habían visto sus datos expuestos, y a los que unía únicamente la plataforma que habían elegido para almacenarlos: Power Apps.

Según Greg Pollock, vicepresidente de UpGuard, uno de sus analistas

"notó cómo funcionaba la API [de Power Apps] y se dio cuenta de que al hacer llamadas directas a la misma, ésta devolvía datos que no deberían haber sido accesibles directamente".

En total, 47 entidades privadas y públicas vieron expuestos sus datos confidenciales (38 millones de registros en total) por culpa de una deficiente configuración de las Power Apps, la plataforma de programación low-code desarrollada por Microsoft con el objetivo de proporcionar un modo sencillo de crear y desplegar aplicaciones corporativas.

En Genbeta

Qué son la programación 'low-code' y la 'no-code', qué se diferencian y cómo están democratizando la creación de aplicaciones

Concretamente, el problema residía en que la configuración por defecto era inadecuada para proteger los datos almacenados: ésta protegía de accesos indebidos a los datos almacenados en tablas, pero no a aquellos organizados en formato lista. Las organizaciones deberían haber alterado manualmente dicha configuración de acuerdo a su uso concreto de la …