seguridad_apps_thinkbig

Las aplicaciones son nuestra principal vulnerabilidad

Cada año se desarrollan la friolera de alrededor de 3 millones de aplicaciones nuevas. Por razones obvias, los controles de seguridad a los que pueden ser sometidas son cada vez más escasos. Y es que, de esos tres millones, más de 500.000 son retiradas por no considerarse ‘apps seguras’ o violar los términos y condiciones de los markets de aplicaciones.

Cualquiera que cuente con las herramientas mínimas puede lanzarse a la carrera del desarrollo de aplicaciones. Alguien con una idea innovadora quizás quiera cristalizarla en una aplicación, con el objetivo de ofrecer ‘su servicio’ a toda la comunidad de usuarios. Pero, ¿conocerá ese emprendedor todos los requerimientos en materia de seguridad que se necesitan para que su creación no venga con algún ‘regalito’ sorpresa? ¿Serán capaces los markets de identificar las vulnerabilidades de seguridad asociadas a las apps antes de publicarlas?

El problema es que, al contrario que en un ordenador personal, los usuarios por norma no suelen contar con ningún software de protección en sus dispositivos móviles. Por lo tanto, cualquiera de estos dispositivos es relativamente vulnerable y, además, pueden ser un puente perfecto para acceder a todos nuestros datos, incluso los que sí tenemos protegidos en el ordenador.

Veracode, en el State of Software Security Report, afirma que más del 80% de dispositivos móviles tiene algún defecto de seguridad.

La amenaza fantasma

Existen algunas amenazas frente a las que, en principio, no tenemos manera de protegernos, ya que forman parte intrínsecamente de la propia aplicación que nos descarguemos. Aun así, nunca está de más conocer estas vulnerabilidades en la seguridad, de cara a que seamos cada vez más conscientes del riesgo que corremos al utilizarlas.

No existe ningún sistema seguro

No solo los sistemas operativos ‘de andar por casa’ son los que enfrentan los principales problemas de seguridad. Incluso Apple y Google tienen que lidiar constantemente con estos fallos, llegando incluso a producirse en ocasiones escándalos sonados por problemas importantes en su software.

Ambas compañías han sufrido las consecuencias de la inseguridad, con casos como el famoso Hearthbleed de Google, o la vulnerabilidad de la versión 9.0 de iOS.

Con esto, queremos decir que ningún software, por muy grande que sea la empresa a la que pertenece, es infalible. Cuanto más grande, más número de usuarios tiene. Y cuantos más usuarios haya, mayor será el número de ciberdelincuentes que luchen por hacerse con los datos de estos.

Si no está en la store, por algo será

Como ya hemos comentado, prácticamente cualquiera puede desarrollar aplicaciones móviles. Las tiendas de aplicaciones de Google y Apple están relativamente ‘supervisadas’ (mucho más la segunda que la primera), de cara a proteger a los usuarios de software malicioso. Pero claro, si es el propio usuario el que se salta esta barrera y descarga contenido desde fuentes externas, podría pasar cualquier cosa.

Ya sea para conseguir un producto gratis, que de otra manera tendrían que pagar, o porque simplemente la app solo está disponible desde alguna página diferente a la oficial, muchos usuarios optan por descargarse las aplicaciones desde el otro lado de la barrera, saltándose los controles establecidos por los markets oficiales de aplicaciones. Y sin controles, cualquier ciberdelincuente puede añadir a su aplicación, aparentemente inofensiva, cualquier tipo de malware.

Si tú eres uno de esos inconscientes usuarios, ¡solo podemos desearte suerte!

Pero aunque esté, tampoco te fíes

Aunque Apple cuenta con algunos controles más estrictos para las publicaciones de aplicaciones en su tienda, lo cierto es que Google Play es mucho más flexible y tolerante, sobre todo con las aplicaciones que contienen publicidad embebida. Esto ha favorecido, por una parte, que un gran número de desarrolladores se lancen a crear sus maravillosas aplicaciones en la plataforma de Google, y por otra parte, que una parte de estos desarrolladores tengan objetivos maliciosos en mente al hacerlo.

Aunque ambas tiendas ‘limpian’ sus productos cada cierto tiempo, siempre cabe la posibilidad de que topemos con algún elemento que se les haya pasado por alto.

Android tiene sus ventajas, y sus desventajas

Uno de los principales problemas con los que cuenta Android, frente a iOS, es que permite a sus usuarios no tener sus sistemas operativos actualizados, y que, sin embargo, sean plenamente operativos. En estos momentos, podemos encontrarnos personas que tengan el sistema a la última, frente a otras que no lo hayan actualizado ni siquiera una vez.

De hecho, según Android, solo un 18% de todos los terminales cuentan con la última versión del último OS en el mercado, mientras que el 82% restante utiliza sistemas anteriores, atrasados, y vulnerables. Al final, esto favorece que, aunque Google trabaje para parchear las vulnerabilidades que detecta en su sistema, algunos usuarios no lleguen a beneficiarse de estas reparaciones nunca.

En un primer momento, puede parecer que cualquier sistema Android es mucho más vulnerable que otro que funcione con iOS, pero esto no es del todo cierto. Aunque Apple revise y controle todas las aplicaciones que se publican en su store, hay que tener en cuenta que un solo elemento infectado en el ecosistema de la manzana puede llegar a influir tanto como miles de programas de  malware en dispositivos Android.

De esta forma, este nuevo escenario de amenazas requiere de nuevas herramientas, capaces de explotar la inteligencia proveniente no sólo de las aplicaciones móviles, sino también de los markets, a fin de descubrir “singularidades” introducidas por los desarrolladores que permiten identificarles.

Tacyt, la herramienta de ciberinteligencia para apps maliciosas en Android de Eleven Paths , proporciona acceso a un histórico de aproximadamente 4 millones de apps publicadas en distintos markets móviles, así como a los metadatos de las mismas, lo cual facilita la identificación de amenazas móviles en tiempo real.

Resumiendo, garantizar nuestra seguridad depende en gran medida de nosotros mismos. Tenemos que pensarnos dos veces lo que descargamos, y, sobre todo, los permisos que damos a esos elementos descargados.

Sobre el autor

RELACIONADOS