La (IN)Seguridad de las aplicaciones móviles
WhatsApp, una de las reinas y que mas éxito han tenido, es también el ejemplo de aplicación que ha optado por el camino mas duro: el de tener que ir añadiendo seguridad según iba quedando en evidencia.
"El ser humano es el único animal que tropieza dos veces con la misma piedra", frase lapidaria que se torna en axioma en el mundo de la tecnología, al menos, en cuanto a seguridad se refiere.
Hasta hora y salvo muy contadas excepciones, el mundo de la tecnología siempre ha tenido la seguridad como algo secundario, muy en segundo plano y siempre a considerar cuando alguien "rompe algo". Siempre curar y casi nunca prevenir.
Tal vez el ejemplo mas evidente es Microsoft. Para la gente que haya tenido contacto con la tecnología durante la época 2000-2005 recordará las feroces críticas que recibió Microsoft por la seguridad de su plataforma, el siempre manido "Linux es seguro, Windows no", frase que, elementos de malware como Blaster o Slammer (que se replicó en apenas 10 minutos por todo Internet, colapsando la red a nivel mundial) hicieron que tuviese mucho sentido.
Microsoft basó su estrategia en potenciar la experiencia de usuario, en lanzar nuevas tecnologías y dejó a un lado las consideraciones de seguridad. El resultado fue una mala fama que les persiguió durante décadas.
Una vez aprendida la lección, Microsoft dio un giro radical y hoy día es una empresa pionera en esa materia, innovando y aportando mucho I+D del que se aprovechan otras plataformas.
Parece que en el mundo de las aplicaciones para smartphones y tablets está sucediendo algo muy similar a la "experiencia Microsoft", el auge de estas tecnologías y la avidez de las empresas en lanzar sus aplicaciones para estas plataformas está generando toda una horda de aplicaciones pobremente programadas, con fallos que en ocasiones comprometen seriamente la seguridad del usuario.
De entrada, las plataformas base (Android e IOS) están bastante por detrás frente a sus hermanos mayores del PC en tecnologías como DEP o ASLR , que son un pilar importante en la seguridad de un sistema operativo. De hecho, el famoso 'Jailbreak' para IOS ha sido posible gracias a varias vulnerabilidades en el navegador Safari que, una vez explotadas, permitía acceso total al sistema. Incluso una web lo realizaba directamente con solo navegar sobre ella.
En el caso de las aplicaciones de terceros, el panorama no es mucho mejor. WhatsApp, una de las reinas y que mas éxito han tenido, es también el ejemplo de aplicación que ha optado por el camino mas duro: el de tener que ir añadiendo seguridad según iba quedando en evidencia.
WhatsApp ha tenido fallos que permitían registrar (suplantar) un número ajeno dentro de la red en varias ocasiones. Además ha tenido importantes problemas de privacidad que han permitido saber muy certeramente el número de móviles registrados en España (casi 10.000.000, todo un éxito).
Tampoco es que estas aplicaciones sean especialmente cuidadosas con la privacidad del usuario, Path, una de las aplicaciones más conocidas en el mundo IOS, enviaba toda la agenda del usuario al servidor de la compañía. WhatsApp guardaba en una base de datos interna todos los mensajes enviados y recibidos (incluso los borrados) sin cifrar los datos, además añadía información de geolocalización si los mensajes se enviaban con el GPS activado.
Y estos, no son casos aislados, la aplicación móvil de Citibank sufrió una vulnerabilidad bastante seria. Facebook tampoco se libró de padecer una vulnerabilidad , incluso Apalabrados también presenta problemas de seguridad.
Otro problema añadido es el ecosistema de estas aplicaciones, los famosos Markets. Apple ha apostado por un ecosistema controlado donde las aplicaciones deben ser aprobadas; Google ha hecho su market totalmente abierto sin aplicar apenas restricciones, y se ha convertido en un caldo de cultivo donde proliferan aplicaciones maliciosas. No obstante y en menor medida, también se la han colado a Apple en alguna ocasión.
En definitiva, el mundo de las aplicaciones para smartphones a día de hoy es extremadamente competitivo, los plazos de desarrollo son cortos y parece que la seguridad queda relegada a fases posteriores en el ciclo de vida del producto. Tendrá que pasar un tiempo hasta que el mercado madure y los niveles de seguridad se equiparen a los tradiciones PCs de siempre.