Aunque todavía no ha hecho una gran mella en el mercado de las tabletas - o quizás deberíamos llamarlo el mercado del iPad - el sistema operativo Android de Google ha sido la plataforma de teléfonos inteligentes más vendida durante un tiempo. Esto también significa que es un objetivo principal para estafadores y desarrolladores de malware deseosos de robar datos y dinero de usuarios desprevenidos de Android. El año pasado trajo algunas estadísticas terribles, con empresas de seguridad como McAfee y Lookout reclamando fuertes aumentos en el malware de Android, e incluso que
>
>
>
>
"tres de cada diez dispositivos Android se convertirán en malware. Juniper Network informó de un famoso aumento del 472% en el malware para Android entre julio y noviembre de 2011, y Google ha estado
>
>
>
>
"sacando aplicaciones maliciosas del mercado Android (ahora Google Play) y acaba de lanzar Bouncer, una nueva herramienta que intenta eliminar automáticamente las aplicaciones malas antes de que salgan al mercado. Aún así, las nuevas amenazas parecen llegar con regularidad, ya sean aplicaciones maliciosas que
>
>
>
>
"Grabar llamadas telefónicas o hacerse pasar por aplicaciones bancarias para obtener credenciales y potencialmente instalar más software.
¿Qué tipo de amenazas potenciales enfrentan los usuarios de Android y es realmente necesaria la paranoia? En última instancia, ¿cómo pueden los usuarios de Android protegerse a sí mismos y a todos los datos que fluyen a través de sus dispositivos?
¿Por qué Android tiene malware?
La razón más sencilla por la que Android tiene más malware que las plataformas móviles de la competencia es que es el objetivo más grande. La gran mayoría de los programas maliciosos dirigidos a los ordenadores tradicionales apuntan a Windows porque, históricamente, Windows ha tenido la mayor cuota de mercado. Aunque Android sólo se ha convertido en la plataforma líder de teléfonos inteligentes comparativamente recientemente, ese surgimiento coincidió claramente con el interés masivo de los consumidores por los teléfonos inteligentes. Por lo tanto, Android es el objetivo más grande. Sin embargo, también hay aspectos del ecosistema de Android que pueden hacer que sea más vulnerable, y los usuarios de Android.
¿Es el código abierto un problema? - Android ha sido criticado en algunos círculos como una plataforma inherentemente insegura porque partes importantes están construidas sobre tecnologías de código abierto como Linux y WebKit. Algunos críticos argumentarían que debido a que Google ofrece el código fuente completo de Android a cualquiera que quiera examinarlo y detectar defectos, la plataforma es intrínsecamente menos segura que las plataformas (como BlackBerry, Windows Phone e iOS de Apple) que guardan su código fuente (o partes significativas de él) como un secreto muy bien guardado.
Aunque no se puede negar que Android ha visto más problemas de malware que las plataformas móviles de la competencia: el iOS de Apple y el BlackBerry de RIM han quedado relativamente intactos, y puede que aún sea demasiado pronto para decirlo en el caso de Windows Phone 7, la presencia de malware para Android parece tener mucho más que ver con el ecosistema de Android que con las tecnologías sobre las que se ha construido. Si uno quiere atacar la seguridad de Android porque usa tecnología de código abierto, también tiene que hacer el mismo ataque contra Linux (que nunca ha tenido un problema significativo de malware) e iOS (que está basado en Unix BSD y usa la misma tecnología de navegación WebKit). Y la tecnología ha recibido algunos golpes en los últimos meses. OpenSSL está ampliamente implementado en casi todas las plataformas del planeta, y es de código abierto. Lo mismo se aplica a un gran número de utilidades y bibliotecas utilizadas en la mayoría (si no en todas) las plataformas móviles. Ningún software es perfecto, pero los esfuerzos de código abierto con suficiente interés por parte de los desarrolladores han demostrado constantemente que pueden mantener altos niveles de calidad a largo plazo.
¿O tal vez el mercado abierto? - En lugar de derivar de la procedencia de su código, la situación del malware de Android parece derivar del ecosistema de aplicaciones de Google. Mientras que Apple, RIM y Microsoft han ofrecido experiencias de mercado de aplicaciones curadas, Google Play ha sido casi un juego gratuito: en esencia, cualquiera puede contribuir con una aplicación y hacer que se distribuya en un mercado que está disponible para la gran mayoría de los dispositivos Android. Y Google Play ni siquiera es la única fuente para obtener aplicaciones. Google esencialmente permite a cualquiera configurar sus propios mercados para aplicaciones Android: La App Store de Amazon es probablemente la más conocida, pero hay una miríada de otras tiendas de aplicaciones por ahí. Los mercados internacionales son especialmente atractivos para las tiendas que no pertenecen a Google Apps, donde poder ofrecer una tienda de aplicaciones Android en un idioma local -quizás con aplicaciones específicas para un país o una región en particular- puede ser una propuesta atractiva. Algunos de estos mercados alternativos están gestionados por operadores móviles; otros no están tan claros.
¿Qué hay de los fabricantes y portadores de dispositivos? - Si aparece un problema de seguridad en Android, Google es responsable de desarrollar y publicar una solución. Sin embargo, en ese momento corresponde a los fabricantes de dispositivos y a los transportistas hacer llegar la actualización a sus clientes. En muchos casos, los operadores han sido notoriamente lentos a la hora de hacer llegar las actualizaciones de Android a sus clientes. Un ejemplo: el malware DroidDream que atacó el Android Market hace aproximadamente un año. Google descubrió la vulnerabilidad que llevó a DroidDream en agosto de 2010, y desarrolló un parche para ello muy rápidamente. Sin embargo, más de medio año después, la mayoría de los teléfonos Android aún no tenían el parche, y DroidDream fue capaz de seguir explotando un defecto conocido. Hasta 250.000 usuarios de Android pueden haber sido afectados. Contraste esta situación con un modelo de implementación como el de Apple, en el que la empresa puede enviar actualizaciones a los propietarios de dispositivos sin tener que involucrar a los operadores.
¿Qué pasa con las redes publicitarias? - La naturaleza de "todo va" del mercado Android, junto con la insistencia de Google en que las compras se realicen a través de Google Checkout, ha creado una situación en la que un gran número de aplicaciones Android generan sus ingresos únicamente a través de anuncios, en lugar de ser compradas directamente por los usuarios. La creación de aplicaciones gratuitas y basadas en anuncios permite a los desarrolladores evitar los dolores de cabeza de Google Checkout (que no está disponible en muchos mercados y tiene implicaciones fiscales complicadas; a diferencia de Apple, Google no gestiona nada de eso para los desarrolladores). La creación de redes publicitarias en aplicaciones móviles es tan habitual en el ecosistema Android que muchas aplicaciones incluso admiten redes publicitarias múltiples . Y, por supuesto, estos proveedores de publicidad quieren saber todo sobre los usuarios de Android: dirección de correo electrónico, información de contacto, identificadores únicos y, a veces, incluso la ubicación.
Incluso si un desarrollador de Android tiene buenas intenciones, es posible que no tenga el tiempo o la capacidad para investigar las redes publicitarias, especialmente si existe una barrera idiomática. Recuerde, muchos desarrolladores de aplicaciones ambiciosos son sólo una o dos personas con una idea y algo de tiempo libre. Es posible que simplemente ofrezcan soporte para cualquier red publicitaria que les prometa el mayor rendimiento, sin prestar mucha atención a la seguridad de los datos de sus usuarios, a lo que esas redes hacen con esos datos o, potencialmente, a la seguridad del software de la red publicitaria. Si aparece un fallo de seguridad importante en una biblioteca suministrada por una red publicitaria, cientos o miles de aplicaciones podrían de repente ser vulnerables a la explotación. Y no olvidemos la idea de que los estafadores pueden crear sus propias redes publicitarias y construir ellos mismos las puertas traseras.
Tipos de amenazas
Es importante tener en cuenta que la plataforma Android no tiene virus tradicionales, es decir, programas maliciosos que se propagan entre dispositivos. Un virus Android no es imposible, pero ciertamente no es probable. En cambio, los creadores de malware se han centrado en otros tipos de exploits, la mayoría de los cuales implican engañar a los usuarios de Android para que hagan algo que no deberían hacer.
Aplicaciones de malware - El malware para Android más común es una aplicación que afirma hacer una cosa pero hace otra, a menudo a espaldas de un usuario o sin su conocimiento. A menudo se trata de troyanos clásicos: Muchos adoptan la forma de imitaciones o versiones gratuitas de juegos de pago; otros juegan con productos de moda o tendencias de entretenimiento. La idea es atraer a los usuarios para que descarguen un juego gratuito o con grandes descuentos, conseguir que lo lancen e instalen malware clandestinamente a sus espaldas. Ese malware podría intentar obtener contraseñas y pulsaciones de teclas; podría reenviar correo electrónico, mensajes y libretas de direcciones a ciberdelincuentes; podría utilizarse para hacerse cargo de una cuenta de Google. Todo es posible, pero los fabricantes tienen que engañar a la gente para que descargue y ejecute la aplicación. A menudo es más fácil si hay una barrera idiomática.
Explotaciones de Drive-by - Las descargas de Drive-by-downloads son un poco más desagradables. La idea es atraer a los usuarios de Android para que visiten un sitio web que contiene código que explota una debilidad conocida en un navegador. Una vez que los usuarios visitan el sitio, el malware se instala. Dependiendo del mecanismo exacto, el malware puede bloquear deliberadamente el dispositivo para que los usuarios lo reinicien, ejecutando una carga útil desagradable. Las técnicas Drive-by no son exclusivas de Android (las fugas de la cárcel de iOS han utilizado técnicas Drive-by), pero son cada vez más comunes en el mundo Android.
Los ataques desde el automóvil a menudo utilizan ingeniería social o técnicas de phishing para conducir a los usuarios hacia sitios infectados. Por ejemplo, es posible que reciba un mensaje SMS que parece provenir de un operador o proveedor de servicios, instándole a que descargue una actualización urgente.
La conclusión es que cada vez que se instala una aplicación o se visita un sitio web, existe la posibilidad de que no todo sea como parece.
Cómo mantenerse seguro
Sí, la situación del malware de Android es complicada - y no va a ser más simple en un futuro próximo. Sin embargo, hay algunas cosas simples que usted puede hacer que reducen en gran medida las posibilidades de que tenga problemas.
Usar sólo tiendas de aplicaciones de confianza - En primer lugar: No descargue cualquier aplicación de cualquier fuente que encuentre. Ve al menú Configuración de aplicaciones de tu dispositivo Android y desactiva la opción "fuentes desconocidas" para instalar aplicaciones. Esto evitará que el dispositivo instale aplicaciones a través del correo electrónico, la Web o cualquier otra fuente que no sea Google Play. Desafortunadamente, también desactiva las fuentes potencialmente legítimas como Amazon App Store y las tiendas específicas del operador. Si esto es importante para usted, habilite "fuentes desconocidas" sólo cuando compre específicamente en esos mercados de confianza.
Compruebe la aplicación y el editor - Antes de descargar una nueva aplicación, compruebe la reputación de la aplicación y el editor. Esto significa mirar más allá de las reseñas publicadas en cualquier mercado que estés utilizando - los editores sin escrúpulos son famosos por escribir sus propias reseñas de cinco estrellas. Busque revisiones de fuentes independientes.
No instale APKs - No instale APKs (archivos de paquetes de aplicaciones Android) directamente, digamos desde una tarjeta SD o un dispositivo USB. A menos que seas un desarrollador experto de Android (con herramientas), casi no hay forma de determinar qué hará un APK hasta que ya lo hayas ejecutado; en ese momento, normalmente no hay vuelta atrás. Existe la idea equivocada de que, dado que todos los APKs de Android tienen que estar firmados digitalmente por sus desarrolladores, están seguros. Eso es engañoso: Aunque todos los APKs deben estar firmados, es sólo para verificar que los archivos no han sido dañados o corrompidos desde que el desarrollador los creó. Una firma no confirma de ninguna manera que una aplicación no es maliciosa, y no hay requisitos de que las firmas sean verificadas por un tercero. De hecho, es práctica habitual que los desarrolladores autofirmen sus propias aplicaciones.
Compruebe siempre los permisos - Siempre que descargue o actualice una aplicación, Android le presentará una lista de los permisos que necesita para ejecutarla. No se limite a navegar a través de la lista con tanta prisa por llegar a la aplicación: A ver si tiene sentido. ¿Realmente necesita una aplicación de papel tapiz conocer tu ubicación? ¿Una aplicación que te permite hacer un seguimiento de las estadísticas de los jugadores de béisbol realmente necesita tener acceso a tu libreta de direcciones? Probablemente no. Si las aplicaciones piden cosas inapropiadas, es posible que no sirvan para nada - o que sean apoyadas por una red de publicidad que quiera saber todo sobre ti.
Y, sobre todo, que no cunda el pánico. El malware aún no es un problema tremendo para Android, pero los límites del ecosistema están empezando a ser bastante imprecisos. Los usuarios bien informados que entienden cómo funciona el mundo Android deberían estar en poco peligro, pero cuanto menos entienda la tecnología y el ecosistema, más probable es que se metan en problemas sin darse cuenta.
