BLOG

Buscar
  • José Antonio Ces Franjo

¿ Estás seguro ?

Actualizado: 31 de ene de 2019

Cuatro de cada cinco móviles son Android. Bien podríamos decir que es el estándar (de facto) de la movilidad mundial. Con el permiso de Apple, que explota de manera muy rentable su 20%. La base "open source" del sistema operativo de Google hace que sus posibilidades sean muy altas. Pero también lo hace frágil en su seguridad... ¿o no?



Hace algo más de un año, Microsoft anunció el fin de su plataforma móvil Windows Phone. Se ponía punto y final a una carrera de obstáculos que arrancaba con la adquisición por parte de los de Redmond de la otrora compañía líder de la movilidad: la finlandesa Nokia. En su libro ("Hit Refresh"), Satya lo explica como una decisión de compañía. Para concentrar sus esfuerzos en la carrera por la captación de usuarios en su nube pública. En "su" Azure. Entre líneas, puede sacarse la conclusión de que las cosas hubieran sido bastante diferentes si las riendas del liderazgo del gigante informático las hubiese tomado otro directivo. Pero lo cierto es que la decisión se tomó y hoy estamos entregados a un duopolio. El que forman Google y Apple con sus respectivos Android e iOS. Dos sistemas operativos similares, que dan cobijo a dos modelos de negocio muy diferentes.

En la movilidad hoy estamos entregados al duopolio que forman Google y Apple

Abanderado por un diferencial en el diseño, que tan bien trabajó Steve Jobs durante toda su vida, Apple ha logrado situar un producto bueno en precios de un producto mejor. La consecuencia es un margen muy alto. Algo muy raro para un mercado en el que la competencia es brutal y la diferenciación no existe. En este mundo hostil Apple se diferenció generando un deseo en los usuarios. Un deseo que toma una fuerza irracional en una sociedad donde la apariencia es más que la ciencia. Apple ha llegado a concentrar en algún momento (que yo recuerde en 2015) más del 90% de los beneficios que toda la telefonía móvil extraía del mercado. Nada más y nada menos.


Android objetivo de "los malos"

Pero volvamos al tema que nos ocupa, que me desvío. La seguridad. Para hablar de seguridad en los móviles me centraré en Android por dos razones.


La primera es que iPhone no es un entorno abierto. Su filosofía es contraria a todo ello e impone una ley que bloquea mucha funcionalidad usuaria a costa de evitar que sucedan cosas que pongan en riesgo la seguridad del dispositivo. Si sólo puedes ir a 80 Km/h y la carretera es recta, tendrás menos posibilidades de tener un accidente que si no existe limitación de velocidad y el trazado está lleno de curvas. Eso no quiere decir que en el primer caso no puedas accidentarte. Sólo que es menos probable. Hay mucho imprudente tirando de "jailbreak" para poder hacer cosas prohibidas con un iPhone. Y aquí están sus principales problemas.


La segunda es que Android es la plataforma favorita en todo el mundo por un aplastante 85% frente a menos del 15% de los dispositivos de Apple. Esta diferencia no es tan grande en Estados Unidos (60% para Android y 40% para iPhone) o en Europa (69% frente al 29% pues aún queda por ahí algún equipo "vintage"). En Asia Android supone el 82% del mercado y en latinoamérica el 87%. En España el 80% prefiere Android y el 19% apuesta por el iPhone. Así que si yo fuese un "malo malón" y estuviese desarrollando un malware para meter en un móvil, está muy claro donde pondría el foco.


Porque los malos también saben de negocios ;)


Fragmentación

Las políticas de seguridad que dispone Android son muchas y variadas. Y además evolucionan con cada nuevo release del sistema operativo. Podría decirte que la seguridad es el punto donde más foco pone Google a la hora de revisar las versiones de su interpretación de la movilidad. Esta misma semana ha anunciado que obligará por contrato a los fabricantes a introducir mejoras de seguridad de manera constante y frecuente. Y es que la fragmentación es un tema que preocupa. Pero seguro que no sabes bien qué es esto de la fragmentación, porque te veo esa cara rara que siempre pones. Te lo explico.

La fragmentación es un problema que preocupa mucho a Google y esta semana ha forzado ciertas actuaciones por parte de los fabricantes para evitarla

Por fragmentación se entiende la diversidad de versiones de sistema operativo que hay activos en los móviles, puesto que no todo el mundo se actualiza a la última versión. Y esto es un problema. Especialmente en materia de seguridad. Aquellos dispositivos que no están "a la última" carecen de defensas. Y esto los hace vulnerables. Para que comprendas mejor la dimensión del problema, te doy algunos numeritos. El pasado 21 de agosto de 2017, coincidiendo con el eclipse solar total que pudo verse en Norte América, Google lanzó su versión 8.0 de Android. Oreo. La que seguramente tengas en tu móvil instalada. Pues bien. En abril de 2018, más de medio año después, el porcentaje de "Oreo" instalado en los móviles de todo el mundo era de menos del 5%. Pero su versión 7.0, "Nougat", lanzada un año antes (el 22 de agosto de 2016) esta instalada sólo en un porcentaje del 30,8%. Y la 6.0, "Marshmallow", en un 26%. No sigo. Creo que lo has pillado. Si tu dispositivo no se actualiza, y en las actualizaciones vienen incluidas revisiones de las aplicaciones que protegen tu móvil, pues tu móvil estará menos protegido que otros que se hayan actualizado. De cajón.

Por fragmentación se entiende la diversidad de versiones de sistema operativo que hay activos en los móviles

Está claro que aquí hay un problema que, fíjate tú, poco tiene que ver ya con Google. Tiene que ver primero con que los fabricantes fuercen esas actualizaciones de software en el dispositivo. La mayoría lo hacen, pero alguno habrá que no lo haga. Y es que hay mucho mercado en China y la India que no vemos los europeos. Que no todo es como aquí. El segundo factor que desencadenaría la actualización es el dueño del teléfono, que tiene que aceptar la actualización. Y aquí empieza el baile. Porque "lo técnico" pierde protagonismo y lo gana "lo humano". Y es que la mayoría (una mayoría muy grande) de los problemas de seguridad deriva de actuaciones humanas no deseadas.


Los tres pilares de la seguridad en Android

Hablemos de alguna de las características intrínsecas al sistema operativo para que comprendas qué elementos despliega Android para hacer frente a los "malos". Hablaré sólo de los fundamentales, porque tras tanta versión son ya muchas las medidas que se apilan ya en este sistema operativo.


El primero de los elementos de seguridad intrínseco a Android es un contenedor para cada aplicación instalada. El "sandboxing". Este espacio privado evita que los "datos" de una aplicación puedan ser accedidos por otras aplicaciones. Esto es muy bueno, porque si se nos "cuela" una aplicación maliciosa que quiere "ver" los datos que tiene otra, con este simple mecanismo no podrá. Simple pero eficaz.

Mediante el "sandboxing" Android dispone un contenedor para cada aplicación instalada con el fin de hacerlas completamente independientes

El segundo tiene bastante que ver con el primero. Puesto que Android establecía este aislamiento entre contenedores, debía habilitar algún mecanismo de comunicación "controlado" entre ellos. Para eso crea un mecanismo de permisos que restringen las operaciones que se pueden llevar a cabo, como por ejemplo, el acceso a Internet, el uso de la cámara, etc. Por defecto, una aplicación no tiene ningún permiso asociado. El desarrollador deberá declararlos y, además, el usuario concederlos. Antes de la versión 6.0 (Marshmallow) estos permisos se asignaban en bloque en el momento de la instalación. Una puerta de "inseguridad" que Google cerró con esta versión lanzada en octubre de 2015. Pero es que el hecho de depositar gran parte de la seguridad de Android en el uso de los permisos venía siendo un tema muy discutido en la comunidad tecnológica porque éstos, en última instancia, requieren de la intervención humana. Hum. La solución que se le dio fue requerir la autorización permiso a permiso y en el momento de la ejecución. Esto evita, por ejemplo, que una aplicación de linterna abra los permisos de acceso a la cámara o controle el Wi-Fi (por ejemplo), uno de los métodos más utilizados en su día por los malos.


El tercer mecanismo que considero de primer nivel es lo que se llama la signatura de código. Toda aplicación en Android está contenida en un archivo .apk, al que Google obliga a contener una firma digital. De lo contrario, Android denegará su instalación en el dispositivo. Mediante la signatura de código se consigue identi ficar al autor de una aplicación e identificar las actualizaciones que ésta requiera. Además, permite que dos o más aplicaciones de un mismo desarrollador puedan interactuar con mayor facilidad.

El gran problema de la seguridad es la escalada de permisos, un problema que siempre nace en nuestro lado humano, y no en la tecnología

A partir de aquí muchas variantes y añadidos. Porque estas tres son básicas casi desde los inicios. La encriptación de los datos o la protección para los accesos incontrolados a memoria son piezas clave que también vienen de serie en Android. Sin embargo nada es poco para evitar que los "atacantes" se cuelen e intenten por cualquier método lograr la ansiada escalada de privilegios que les convierta en los "dueños" absolutos del dispositivo y dispongan todo lo que tiene que ver con él. Y es que los malos suelen ser muy malos. Saben lo que quieren y lo buscan. Nosotros (los buenos) no estamos pensando todo el tiempo en protegernos. Tenemos otras cosas que hacer. Y eso les da ventaja a ellos. Lo digo en mi libro al final. Las mejores lanchas en la ría eran las de Sito Miñanco, porque se preocupaban bien de ello. Las de los vigilantes no eran malas, pero no les iba la vida en ello. Al menos hasta que entraron los colombianos. Pues aquí igual. Los que atacan nuestra propiedad ponen sus cinco sentidos en ello las veinticuatro horas del día. Y eso nos obliga a tener mecanismos que estén activos las veinticuatro horas del día, y por aquí evoluciona la seguridad. Especialmente cuando la cosa ya no va de proteger un terreno acotado, sino de cuidar la integridad de un dato que viaja entre nubes, dispositivos y redes.


Un mundo que evoluciona mucho

Nos queda mucho por ver todavía en tecnología relacionada con la seguridad. Probablemente empezaremos a trabajar este mes con un proveedor de una tecnología que se denomina "deception". En ciberseguridad es una tendencia que emergió hace unos cuatro años, aunque empezamos a verla comercialmente activa ahora. Su fundamento es crear señuelos para que los malos tomen vías sin retorno, y esto nos dé pistas a los buenos para conocer sus intenciones y protegernos de ellos. Otras tendencias implementan sistemas que supervisan constantemente los parámetros fundamentales del software para avisarnos de cualquier anomalía en los mismos, que pueda significar que "algo raro" está pasando. Son dos tendencias novedosas que nos hacen ver evolución en este complejo mundo. Dos ejemplos entre muchos.


Pero lo cierto es que toda la tecnología se hace inútil en el momento en que alguien se deja una contraseña olvidada. O la basa en algo obvio. O no tiene cuidado con las aplicaciones que instala. O hace "jailbreak" en iOS o "root" en Android. O concede mal los permisos. Existen aplicaciones "fantasma" que se cuelan en nuestro móvil y que no se detectan, pero fijan una especie de "captura" de nuestro teclear en otras aplicaciones. Un malware efectivo que nos roba las contraseñas. Y este malware no entra sólo en el móvil. Le damos acceso nosotros de alguna manera. Y aquí es donde toda la tecnología no sirve para nada.


En definitiva, si somos cuidadosos en lo humano, la tecnología nos protegerá de manera 100% fiable. Pero como ese punto no lo vigilemos la fiabilidad no es baje algún punto, sino que desaparecerá por completo. En Android, en iOS, en Windows y en cualquier entorno informático que se nos ponga delante.


Avisado estás ;)

0 vistas
  • LinkedIn - Círculo Negro
  • Twitter - Círculo Negro
  • Facebook - Círculo Negro

Room714 © 2019

Madrid | Spain