Estos problemas se ven agravados por el hecho de que el ecosistema que rodea a Android es complicado. La fragmentación hace que resulte increíblemente difícil actualizar la plataforma; diferentes fabricantes de dispositivos construyen miles de diferentes teléfonos y tabletas que ejecutan diferentes versiones de Android. Como resultado, las actualizaciones con arreglos de seguridad en cada uno de ellos tardan meses en desplegarse o, peor aún, nunca lo hacen. Algunos fabricantes sólo actualizan sus productos más populares, dejando vulnerabilidades en dispositivos antiguos o de menor precio, que podrían poner a los usuarios en riesgo.
Consideremos una vulnerabilidad como Stagefright, que podría dar a los hackers el control de un dispositivo Android a través de un código malicioso en un archivo de audio o video. Los informes sugirieron que hasta el 95 por ciento de los dispositivos eran vulnerables. Pero, ¿cuántos fueron realmente afectados?
«Aquí estamos, a un año y medio, casi dos años después desde que nos enteramos por primera vez, y todavía no sabemos que alguien realmente esté afectado», dijo Adrian Ludwig, Director de Android Security de Google, a Digital Trends.
La preocupación fue que aunque Google resolvió las correcciones relativamente rápido y las lanzó a la línea de Nexus de dispositivos de Google, los parches para otros dispositivos salieron a la discreción de los fabricantes.
Eso significa que si tienes un Google Pixel con el último Android 7.0 Nougat, te beneficias de la seguridad más reciente, pero alguien con un teléfono con KitKat (20% de los dispositivos Android) que no ha visto una actualización durante un año o más podría haber estado en riesgo.
Es un tema que no es fácil de resolver, pero el equipo de seguridad de Android ha trabajado constantemente para reducir el riesgo para los usuarios. Las estadísticas son interesantes, pero ¿se merece Android la reputación que tiene por la supuesta falta de seguridad?
«Creo que tenemos un cierto problema de percepción, pero es muy diferente del riesgo real del usuario», explicó Ludwig. «La plataforma Android es más segura y confiable que nunca. El trabajo criptográfico en el que hemos estado trabajando, el sandboxing que hemos estado haciendo, y una gran parte del trabajo para hacer ataques más difíciles está confluyendo muy bien».
En Digital Trends hablamos con el Director de Android Security, Adrian Ludwig, para averiguar el estado actual de la seguridad de Android, preguntar si la gente debería estar realmente preocupada por las vulnerabilidades que se leen en las noticias o por el malware, y conocer más sobre lo que Google está haciendo sobre la fragmentación para permitir actualizaciones de seguridad más amplias. Esta fue nuestra conversación.
¿Es Android realmente inseguro?
No, no es inseguro. Hay muchas cosas que hemos hecho que han avanzado las expectativas en el último par de años. Para Mac o Windows, tenías que tener protección antivirus de terceras compañías, pero dijimos que lo haríamos para todos y lo haríamos de forma gratuita.
Creo que estamos en un punto de inflexión donde incluso con los estándares de Android vamos a empezar a ver mejoras bastante significativas con respecto al malware.
La aplicación de sandboxing es un concepto relativamente nuevo en el mundo de la seguridad de Android: la idea de que las aplicaciones no tienen acceso a todos los datos de usuario, sino sólo tienen acceso a sus propios datos es totalmente nuevo, no es algo que existe en Mac ni en Windows.
También está la encripción o cifrado de dispositivos. La mayoría de las empresas no lo tienen activado todo el tiempo. Una expectativa se ha fijado en el espacio móvil que todo debe ser cifrado todo el tiempo y hay incluso una expectativa de que va a ser cifrado tan bien, que va a ser difícil incluso para un ataque sofisticado tener acceso a esos datos sin la autorización del usuario.
También hemos aprendido mucho sobre cómo funcionan los ataques maliciosos y lo que están tratando de hacer. Las tasas de malware, por ejemplo, se han mantenido relativamente planas en los últimos tres o cuatro años, pero creo que este es el año en el que vamos a verlas caer, tal vez caer significativamente, porque hemos llegado al punto en que tenemos suficiente habilidad y experiencia. Ahora somos capaces de movernos con más rapidez que los hackers, y actuar más eficazmente de lo que podíamos antes en todo el ecosistema.
Creo que estamos en un punto de inflexión donde incluso con los estándares de Android vamos a empezar a ver mejoras bastante significativas con respecto al malware. Todavía hay más por hacer, pero es fácil olvidar lo lejos que hemos llegado en los últimos cinco años.
Vemos muchos informes sobre vulnerabilidades con estadísticas preocupantes. ¿Cuál es el riesgo real de que los dispositivos Android sean explotados o secuestrados? Por ejemplo, se dijo que algo como Stagefright impactaría potencialmente el 95% de los dispositivos Android. ¿Tenemos una idea de cuántos han sido atacados usando esa vulnerabilidad?
Aquí estamos, a un año y medio, casi dos años desde que nos enteramos por primera vez y todavía no sabemos que alguien realmente está afectado. Hay rumores de que un pequeño número de dispositivos podrían haber sido afectados, pero incluso de aquellos no tenemos ninguna evidencia justificada.
Y confía en mí cuando te digo que siempre que escuchamos un rumor como ese, tratamos de perseguirlo. Hablamos con la empresa que está haciendo esa declaración. Le preguntamos si hay datos que pueden compartir. Nunca hemos sido capaces de justificar ninguno de esos números.
Ciertamente, los titulares que corrían en los medios y las emociones que provocaban eran desproporcionadas con la realidad y es posible que nadie se sintiera afectado. Lo cual es increíble, creo, incluso mirando hacia atrás siempre hay una preocupación de que puede haber algo que no estás viendo, pero el tiempo parece ser lo que está revelando esos puntos ciegos.
Una y otra vez estamos avanzando en lo que estamos buscando, y los controles que estamos haciendo, y los servicios que estamos proporcionando para buscar a los actores maliciosos, pero no estamos viendo ningún daño real.
Dicho esto, queremos ser tan cautelosos como sea posible y por lo tanto, estamos invirtiendo en servicios para buscar en todos esos pequeños callejones oscuros. También estamos trabajando con socios para asegurarnos de que son capaces de responder lo más rápido posible. Por eso, hemos invertido mucho en actualizaciones de seguridad, no porque estamos viendo mucha explotación real, sino porque no queremos que eso sea un riesgo que nunca se revise.
Mucho de ello se trata de mantenerse por delante y nunca dejar que lleguemos a un punto donde exista un problema.
También hemos visto muchas historias de malware. ¿Está en peligro el usuario promedio de Android, que nunca descarga aplicaciones fuera de Play Store?
Desde Play, el número de malware es de alrededor del 0,05 por ciento, que es 5 de 10.000 aplicaciones, por lo que es bastante bajo. En términos de qué porcentaje de los dispositivos se infectan, si no hablaríamos de ello, nadie sabría que estaba sucediendo.
Hablamos de ello para asegurarnos de que hay transparencia sobre el nivel de riesgo. A menudo las plataformas no quieren hablar de cosas. Hacen la vista gorda. Nos gusta tener transparencia en los actores externos y en nuestras políticas y procesos, para que podamos crear confianza. No queremos que la gente confíe ciegamente.
Mi conjetura sería, sin duda en el ecosistema de Android, Play Store es la tienda de aplicaciones más limpia. Me imagino que se compara de manera similar a otras tiendas de aplicaciones con ecosistemas que están más cerrados.
Habiendo discutido con mucha gente, anecdóticamente, no conocemos a nadie que haya tenido un problema de software malicioso de Android. Pero he tenido problemas de Windows yo mismo. ¿Por qué crees que todos hablan mayormente de la seguridad de Android?
Creo que nos hemos aburrido del malware de Windows y por eso no llama la atención hablar de ello más. Android fue algo nuevo y emocionante.
Simplemente comparar Samsung a iOS que son aproximadamente 20 veces más complejos ya, en términos de este dispositivo frente a ese otro dispositivo.
Todo lo que he visto se muestra a través del ecosistema de Android. Los cientos de millones de dispositivos que se instalan desde Google Play tienen un orden de magnitud más limpio que una flota corporativa administrada de dispositivos Windows. Nuestra tasa de infección es de un medio por ciento global, mientras que para los dispositivos Windows es más alta, y para los hogares de consumidores la tasa de infección para los dispositivos Windows es aún mayor.
Pero Android es emocionante. Es un mercado en crecimiento para los consumidores, pero creo que es también un mercado creciente para la industria de la seguridad, por lo que están muy interesados en asegurarse de que la gente está consciente y pensando en esas cosas. Esa es la forma de comunicación alrededor de la plataforma.
Cuando encuentran malware, ¿qué tipo es el más común?
La mayoría de lo que estamos viendo es de naturaleza comercial. Por lo general están tratando de ganar dinero y el mecanismo para monetizar en el móvil es instalar aplicaciones. Vemos casos de nichos de aplicaciones que van tras contraseñas bancarias o cosas por el estilo, pero la forma más sencilla de monetizar es instalar una aplicación. Un porcentaje muy grande está relacionado con lo que llamamos descargadores hostiles.
Lo interesante es que las aplicaciones que instalan no son perjudiciales. Podría ser un juego que está buscando obtener una promoción, o podría ser otro servicio en el que se benefician de la distribución del mercado. El resultado final no es el tipo de cosas que la gente piensa cuando se preocupa por malware. A menudo no es alguien tratando de robar sus datos.
También está el spyware. No quiero sugerir que no existe. Incluso hicimos una publicación esta semana describiendo un spyware muy sofisticado que encontramos, pero que estaba en solo 25 dispositivos. Ciertamente no es el tipo de cosa que es común o más popular en todo el ecosistema.
¿Hay algo inherentemente menos seguro acerca de Android en comparación con otros sistemas operativos móviles?
No creo que haya algo inherentemente menos seguro sobre la plataforma. Creo que la complejidad hace que sea más difícil hacer declaraciones a nivel de plataforma.
Una cosa que hace que el aprendizaje de la máquina funcione realmente bien es encontrar otras aplicaciones que también son malware.
A la gente le encanta comparar iPhone con Android. El iPhone es un dispositivo con un sistema operativo de un fabricante, de hecho, se trata de cinco dispositivos diferentes. Si miramos a un fabricante de Android, como Samsung que es el más grande, tienen cientos de modelos de dispositivos diferentes. Simplemente comparar Samsung a iOS que son aproximadamente 20 veces más complejos ya, en términos de este dispositivo frente a ese otro dispositivo. No es una comparación razonable.
¿Cómo se puede combatir el lento despliegue de las actualizaciones de seguridad de los dispositivos Android que ya no están disponibles?
Realmente apreciamos cuántas personas han adoptado Android y cuántos dispositivos tienen Android en ellos. La realidad de esa gran diversidad del ecosistema es que algunos fabricantes se mueven muy rápidamente y otros se mueven más lentamente.
Hemos pasado mucho tiempo durante el último año para tratar de ayudar a aquellos que se mueven más lentamente a resolver algunos de sus desafíos tecnológicos, resolver algunos de sus desafíos de ingenier
ía y, en algunos casos, sus retos organizacionales. Puede que les falte un equipo de ingenieros para proporcionar actualizaciones. Tal vez no pensaron en eso, así que preguntamos ¿qué podemos hacer para llegar a un punto en el que lo hayas pensado y tenga sentido?
Definitivamente hace las cosas más complicadas, pero también es el núcleo de por qué Android ha tenido tanto éxito, porque un montón de diferentes personas fueron capaces de empezar a construir dispositivos.
¿Qué medidas ha tomado el equipo de Android para que la plataforma sea más segura, y cuál es la siguiente área que les gustaría abordar o mejorar?
Creo que todas las piezas se están uniendo muy bien. Ha sido un viaje de varios años, pero el trabajo criptográfico que hemos estado haciendo, el sandboxing que hemos estado haciendo, todo el trabajo para hacer la explotación más difícil está desarrollándose muy bien, así que esas son las áreas en las que vamos a seguir trabajando.
¿Por qué el concepto de «caja de arena» o «sandboxing» es importante?
Sandboxing en un nivel fundamental se trata sobre cómo aislar una aplicación de otra. Un juego es un ejemplo perfecto, donde la gente no piensa en ello, pero en una PC, los juegos suelen estar conectados en red. Son una de las pocas cosas en ese tipo de dispositivo que tiene servicio de puerto de red, por lo que es una de las piezas más vulnerables de software que se está ejecutando en la mayoría de los dispositivos de consumo. Si comprometen un juego, el autor del juego puede ser perfectamente benigno, pero ese juego tiene acceso a todo lo que tengas en tu computadora.
Mientras que en Android ese no es en absoluto el caso, se tendría que también comprometer el sistema operativo principal para poder ir más allá. Para nosotros, eso era realmente, muy importante para asegurarnos de que siempre se tiene que comprometer el código de Google, el código de Android, para llegar al punto en el que se puede hacer algo que realmente perjudica a un usuario.
¿El aprendizaje automático comienza a desempeñar un papel importante? ¿Tiene suficientes datos para que sea eficaz?
Tenemos una gran cantidad de datos ahora y hemos comenzado a encontrar algunas técnicas de aprendizaje de máquina que funcionan muy bien para diferentes tipos de cosas.
Una cosa que hace que el aprendizaje de la máquina funcione realmente bien es encontrar otras aplicaciones que también son malware. Cuando encontremos una aplicación incorrecta, podríamos ser capaces de eliminar un millar o más aplicaciones ese mismo día que sabemos están relacionadas basadas en técnicas de aprendizaje automático.
¿Mayor seguridad significa perder algo de la apertura y personalización que ha ayudado a que Android sea el sistema operativo móvil más popular del mundo?
De ningún modo. La apertura, personalización y seguridad de Android están entre sus mayores fortalezas. Creemos que es posible seguir mejorando en los tres.
Estamos comprometidos a hacer de las protecciones gratuitas proporcionadas por Google Play la mejor protección en el mundo.
Cuando nos enfrentamos a una característica que parece poner en conflicto estos principios, hacemos todo lo posible para encontrar un enfoque equilibrado. Una estrategia común es que el valor predeterminado sea más seguro para proteger al mayor número posible de usuarios, al tiempo que permite a los usuarios elegir, para permitir la personalización.
Hacemos lo mismo con los OEM, o fabricantes de dispositivos, definiendo un modelo de seguridad robusto, pero también proporcionando una gran variedad de oportunidades para innovar y personalizar. La diversidad resultante es en sí una mejora de la seguridad, ya que los monocultivos son conocidos por ser más susceptibles al riesgo sistémico. Y en algunos casos, esa personalización lleva a innovaciones de seguridad innovadoras, que es una bendición para el ecosistema.
¿Crees que se necesitan antivirus, antimalware y otras aplicaciones de seguridad de Android para terceros?
Estamos comprometidos a hacer de las protecciones gratuitas proporcionadas por Google Play la mejor protección en el mundo. Ya pensamos que hemos logrado eso y seguiremos publicando información que hace posible que otros lo revisen y confirmen por sí mismos.