Que tan seguros los smartphones?


flor-rosa0958

A medida que los smart phones se van asemejando cada vez más a computadoras completas, los analistas dedicados a la seguridad de los aparatos cibernéticos señalan que es cuestión de tiempo que los delincuentes digitales empiecen a trasladar sus programas de spyware de los PC a los objetivos móviles que llevamos en los bolsillos. Cuando por fin nos ataquen, según estos investigadores, lo más probable es que seamos nosotros mismos los que les abramos la puerta, porque los compraremos en una tienda de aplicaciones. En dos congresos que se han celebrado recientemente sobre seguridad, los investigadores han mostrado unas aplicaciones diseñadas para mostrar cuántos datos personales puede obtener una aplicación de smart phone maliciosa. Aunque empresas como Apple, RIM y Google afirman que filtran los programas para evitar que entren correos basura (spam) y software malintencionado (malware), los investigadores afirman que puede ser demasiado fácil introducir una función de recogida de datos en lo que, aparentemente, no es más que una aplicación inocente. En fotos: Qué saben de nosotros las aplicaciones del iPhone Los mejores juguetes electrónicos para los viajes Facebook: los juguetes que mejor combinan Cómo proteger su reputación en internet Consejos y trucos para las contraseñas en línea En el congreso Black Hat de principios de febrero, Nicolas Seriot, investigador especializado en ciberseguridad de la Universidad Suiza de Ciencias Aplicadas, mostró una aplicación, a modo de demostración, que llega hasta el fondo de la información personal contenida en un iPhone de Apple. Su programa, denominado Spyphone, puede recoger información como una lista de contactos del usuario, los números de teléfono y las direcciones de correo electrónico, hasta una localización a través de redes WiFi y sistemas GPS. Según Nicolas Seriot, estas funciones se pueden camuflar fácilmente detrás de un juego o cualquier otra aplicación aparente inocua. “Quién quiere usar un dispositivo en el que el juego de Breakout que nos encanta en realidad esté accediendo en secreto a la agenda de contactos y modificándola”, afirma Seriot. Días más tarde, en el congreso sobre seguridad ShmooCon, el investigador de seguridad de Veracode, Tyler Shields hizo una demostración similar con una BlackBerry. En este caso, utilizó una aplicación denominada TXSBBSpy que puede supervisar las llamadas, los mensajes de texto, el historial de navegación web e incluso activar el micrófono del dispositivo. “Imagínense una aplicación de grabación de voz gratuita -dice Shields-. Si han activado la función del micrófono, pueden escuchar lo que quieren y extraer los datos de sonido.” No hay ninguna duda, afirma Shields, de que los teléfonos siguen estando más a salvo de los programas de espionaje que los PC, en los que se puede instalar software desde cualquier fuente, a menudo de modo invisible, como en el caso de las “descargas involuntarias”, desde páginas web infectadas o con adjuntos de correo electrónico con trampa. Sin embargo, los privilegios que se otorgan ampliamente a las aplicaciones de los teléfonos siguen creando vulnerabilidades explotables en los dispositivos, afirma Shields. A medida que el modelo de tienda de aplicaciones pasa de los teléfonos a dispositivos como el iPad de Apple, es posible que algunas técnicas de recogida de datos puedan entrar en algunas aplicaciones. “En realidad, no hay transparencia y hay una falsa sensación de seguridad”, afirma Shields. La amenaza de los programas espía en la tienda de aplicaciones es más bien teórica, pero los investigadores citan algunos casos tempranos. En septiembre del año pasado, usuarios del iPhone informaron al blog francés Mac4Ever de que una aplicación de supervisión del tráfico, denominado MogoRoad, recopilaba subrepticiamente números de teléfono y llamaba a los usuarios para intentar convencerlos de que actualizaran su software gratuito a versiones de pago. Dos meses más tarde, los usuarios de iPhone presentaron una acción popular contra la empresa desarrolladora de juegos, Storm8, cuyo software estaba recopilando números de teléfono. Storm8 afirmó más tarde que solo había recogido los números para identificar los dispositivos específicos y eliminó la función. En enero, la empresa de seguridad finlandesa F-Secure advirtió de que una serie de aplicaciones bancarias de la tienda de aplicaciones de Android podría tener un código capaz de robar las contraseñas. Las aplicaciones, escritas por un desarrollador conocido como 09Droid, se anunciaban como interfaces para docenas de bancos, pero en realidad se limitaban a abrir los sitios web de los bancos, al tiempo que accedían a cualquier información que introdujera el usuario. F-Secure no pudo determinar si las aplicaciones se habían usado realmente para robar información, pero Google eliminó las aplicaciones de la tienda y varios bancos enviaron a sus clientes advertencias sobre los programas no autorizados. Un portavoz de Apple escribió en una declaración que la empresa “se tomaba la seguridad muy en serio”, que revisaba minuciosamente cada una de las aplicaciones y “la identidad de cada desarrollador” y que eliminará las aplicaciones y prohibirá el acceso a los desarrolladores si se descubre que tienen fines “maliciosos”. Una portavoz de Google dijo en un correo electrónico que Google no revisa las aplicaciones antes de agregarlas al Android Market, pero que las retira si infringen sus políticas. Añadió que a los usuarios se les pide permiso para acceder a las funciones del teléfono, como la localización del dispositivo o el acceso a internet, y que cada usuario puede aceptar o rechazar el acceso. El planteamiento menos estricto de Google con respecto a la venta de aplicaciones tiene como consecuencia que el sistema operativo Android puede estar más expuesto a abusos desde la tienda de aplicaciones, afirma Neil MacDonald, analista de la empresa de investigación tecnológica Gartner. Recientemente, argumentaba en su blog que las tiendas de aplicaciones deberían analizar el código de las aplicaciones para detectar posibles abusos antes de ponerlas al alcance del público. “Se convierte en un modelo reactivo -explica-. ¿No podríamos interceptar este tipo de material de forma proactiva, antes de que ocurra algo?” Por ahora, hay demasiados sistemas operativos para que una tienda de aplicaciones sea un objetivo atractivo para los programas maliciosos furtivos, afirma MacDonald. Sin embargo, advierte de que las plataformas iPhone, RIM y Android podrían llegar a tener una cuota de mercado lo suficientemente grandes como para que los hackers los encuentren objetivos rentables. El problema es que Google, RIM y Apple están más interesados en acumular un gran número de aplicaciones que en examinarlas como deberían, afirma. “Es más fácil minimizar el problema que reducir el número de aplicaciones que se presentan -afirma MacDonald-. A lo mejor tiene que ocurrir algo grave para que las tiendas de aplicaciones se ocupen del asunto.”

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s