La seguridad de Android es un tema clave para Google, ya que el sistema operativo móvil es, con diferencia, el más popular del mundo. Si la compañía de Mountain View publica cada mes actualizaciones de seguridad, no todos los smartphones son iguales de cara a esta operación de mantenimiento.
Desarrollado activamente por Google desde 2007, Android es ahora el sistema operativo móvil más utilizado en el mundo. Cada año, el gigante web implementa una, a veces dos, nuevas versiones del sistema que traen innovaciones más o menos significativas. Para garantizar el correcto funcionamiento y la seguridad de la plataforma y sus diferentes versiones, Google ha establecido un sistema de actualizaciones mensuales accesibles de forma gratuita en línea. Estas actualizaciones, que incluyen correcciones para vulnerabilidades de seguridad, optimizaciones del sistema e incluso nuevas funciones, son particularmente importantes. Por desgracia, está claro que no todos están en el mismo barco. Si las últimas versiones del sistema y las actualizaciones se envían automáticamente a los terminales recientes del gigante web (Nexus y Pixel), la historia es diferente para los vendidos por los fabricantes y operadores de telefonía móvil, que siguen siendo libres de usarlos, se apliquen o no.
Boletín mensual de Google
Si Google ha decidido ofrecer actualizaciones mensuales para Android es porque, como todo SO, son fundamentales para mantener un buen nivel de seguridad. Basta con examinar uno de los últimos boletines de actualización de Android de octubre de 2017 para ver que incluyen nada menos que 32 parches de seguridad clasificados por su nivel de peligrosidad: Crítico (5), Alto (12), Moderado (12) y Bajo ( 3). El informe aclara que la última vulnerabilidad más grave descubierta en el sistema podría ser aprovechada por un atacante para ejecutar código malicioso con el objetivo de robar datos, espiar al usuario, etc.
Tenga en cuenta que los parches disponibles cubren todas las versiones de Android desde KitKat 4.4 hasta el último Oreo 8.0. Por su parte, Google se encarga de impulsar los nuevos parches directamente en sus terminales domésticos (Nexus y Pixel) durante un plazo mínimo de dos años para los primeros y de tres años para los segundos desde la fecha de compra. A modo de comparación, Apple actualiza sus iPhones y iPads durante cinco años.
¿Cómo manejan los fabricantes las actualizaciones?
Los fabricantes de teléfonos inteligentes y los socios (operadores, fabricantes de componentes, etc.) de Android son alertados sistemáticamente sobre la disponibilidad de nuevos parches para el sistema operativo, pero siguen siendo libres de aplicarlos o no. Para facilitar su despliegue por parte de los fabricantes, Google modificó recientemente su programa de actualizaciones, separando las actualizaciones de seguridad comunes a todos los smartphones Android, y las destinadas a componentes.
Está claro que los fabricantes y operadores siguen siendo reacios a desplegar rápidamente actualizaciones, que deben optimizar para cada dispositivo para el que aún gestionan soporte en cada país donde se comercializan. Dado que la gran mayoría de los fabricantes y operadores personalizan la GUI del sistema operativo y agregan sus propias características y servicios, deben realizar una batería de pruebas y validaciones antes de poder implementar una actualización, incluso una menor.
Esto implica un trabajo de desarrollo significativo y, por supuesto, un costo significativo. Algunos observadores creen que los fabricantes y operadores no actualizan sus terminales móviles como deberían, para animar a los consumidores a comprar nuevos. Por norma general, fabricantes como Samsung, LG, Huawei o HTC dan soporte de software a sus dispositivos Android por un periodo de entre año y medio y dos años. De hecho, sin embargo, esto queda a su discreción, porque nada los compromete contractualmente a realizar actualizaciones o migraciones a la última versión del sistema operativo. Se da prioridad a los modelos más populares y de gama alta. Al beneficiarse de las actualizaciones sin demora, los dispositivos aún elegibles vendidos por Google son los terminales Android más seguros del mercado. Un criterio de peso en un momento en que las amenazas dirigidas a Android nunca han sido tan virulentas...
Los buenos y los malos estudiantes.
Seamos claros, a los fabricantes no les gusta hablar de actualizaciones de Android. La razón es simple: salvo algunas excepciones, las actualizaciones como las últimas versiones del sistema a menudo se reservan para los modelos más recientes y, en particular, para los modelos de gama alta. En concreto, cada fabricante decide por sí solo si aplica o no las actualizaciones. Según un estudio de Apteligent en América del Norte, Motorola, LG y HTC fueron los tres fabricantes que implementaron las actualizaciones de Android más rápidamente en 2016. Para presionar a los fabricantes, Google ahora publica regularmente en su blog una lista de los dispositivos Android más seguros en el mercado, es decir, aquellos que han recibido las últimas actualizaciones lo más rápido posible.
En una tabla publicada el 1 de junio de 2017, Google enumeró los 42 modelos de teléfonos inteligentes más seguros, incluidos varios modelos de Nexus y Pixel. Según el gigante de Mountain View, más de 100 dispositivos recibieron los últimos parches del sistema operativo en 90 días. La tabla muestra los 42 buenos alumnos actualizados en menos de dos meses. Varios modelos recientes y de gama alta de Samsung están en la lista (Galaxy S8+, Galaxy S8, Galaxy S7, Galaxy S7 Edge, Galaxy S7 active, Galaxy S6 active). También hay varios terminales de LG (G6, V20, 2V Stylo, DGAP 7.0 LTE), tres de Sony (Xperia XA1, Xperia X), o incluso dos de Motorola (Moto Z, Z Moto Droid). Una de las grandes sorpresas de este ranking viene de la mano del fabricante chino Vivo, que sitúa 3 modelos (Vivo 1609, 1601 y Y55). Imposible no notar la ausencia pura y dura de jugadores importantes como Huawei, ZTE, Xiaomi, Lenovo o incluso HTC.
¿Cuáles son los riesgos incurridos sin actualizaciones?
Es innegable que los teléfonos inteligentes y las tabletas con Android que no se actualizan presentan riesgos de seguridad. Como hemos visto, solo en octubre, Google corrigió más de una treintena de vulnerabilidades, algunas de las cuales se consideran potencialmente muy peligrosas. Cuando hay parches disponibles, es imperativo instalarlos lo antes posible. Con la importante cobertura mediática de los recientes ciberataques como el robo de datos a gran escala (CCleaner, Elifax, Yahoo!...) o el temido ransomware (WannaCrypt, Petya...), cada vez más consumidores son conscientes de la importancia de garantizar su seguridad informática, en particular mediante la actualización periódica de sus dispositivos. Sin embargo, todavía hay una tasa demasiado alta de usuarios que no se preocupan en absoluto y que no aplican las apuestas disponibles.
Sin estos parches, los dispositivos Android están de hecho expuestos a una amplia gama de amenazas (phishing, ransomware, aplicaciones fraudulentas, etc.). Los usuarios de dispositivos Android de más de tres años –el 50% de la flota Android según Google– tampoco se benefician de los cambios relativos a la protección de la privacidad. Desde que se lanzó la versión de Android 6 Marshmallow el 5 de octubre de 2015, Google ha modificado su sistema de administración de permisos de aplicaciones. Una mejora significativa en la protección de la privacidad ya que en lugar de tener que aceptar todos los permisos que solicitan las aplicaciones durante su instalación, los usuarios de la versión 6 y posteriores ahora pueden elegir qué derechos de acceso otorgan a cada una de ellas. Por lo tanto, los usuarios de dispositivos antiguos deben estar más atentos y posiblemente garantizar su seguridad utilizando herramientas de terceros como Lookout Mobile Security, por ejemplo.
¿Cómo verificar la versión del sistema operativo y las actualizaciones de seguridad?
El ritmo sostenido de lanzamiento de nuevas versiones de la plataforma es tal que la mayoría de los nuevos smartphones a la venta en el mercado no se benefician de la última versión del sistema operativo. Cada fabricante es libre de impulsar o no las nuevas versiones del sistema operativo en sus terminales, los consumidores no tienen otra opción que averiguar si su dispositivo es elegible para la próxima actualización del sistema. Tenga en cuenta que la implementación de una nueva versión puede requerir una espera generalmente entre dos meses y un año. Para averiguar la versión de Android utilizada en un terminal, vaya a la configuración del teléfono inteligente, luego haga clic en "Acerca del teléfono" y luego en "Información del software": la versión del sistema operativo se indica en la primera línea de la página que se abre. En el mismo menú "Acerca del teléfono", simplemente seleccione "Centro de actualizaciones" y luego "Actualización de software" para averiguar si hay actualizaciones mensuales o si una nueva versión de la plataforma está disponible.
Conclusión
Con 1,27 millones de teléfonos inteligentes Android vendidos solo en 2016, el sistema operativo de Google captura nada menos que el 85,2 % del mercado (fuente IDC). Como en el mundo de los ordenadores con Windows, este éxito despierta la codicia de los hackers que siempre favorecen a los objetivos más populares, pero también a los más vulnerables. Según el editor de seguridad Avast, las ciberamenazas a los teléfonos inteligentes y tabletas Android aumentaron un 40 % en 2017 en comparación con el año anterior. No tranquiliza, sobre todo porque estos ataques, que se dirigen principalmente a los datos personales de los usuarios, son cada vez más implacables. Desde ransomware en plena expansión, hasta sitios de phishing, pasando por aplicaciones fraudulentas y falsificadas (fake app), anuncios maliciosos (adware) o incluso tomas de control remotas (rooters), las amenazas que pesan sobre Android son múltiples. Google intenta por todos los medios frenar el fenómeno publicando actualizaciones mensuales para sus socios de Android, pero también desarrollando nuevas herramientas para luchar contra el flagelo de las aplicaciones maliciosas. Luego de la conferencia anual Goolge I/O en mayo pasado, la firma lanzó un nuevo servicio dedicado a la seguridad llamado Play Protect.
Accesible en terminales elegibles para actualizaciones a través del menú "Aplicaciones", el servicio permite la verificación automática o manual de las aplicaciones instaladas e informa al usuario cuando detecta una falla. Google Play Protect también está disponible en Google Play a través del menú lateral. Al igual que en un terminal, es posible activar un escaneo automático de aplicaciones directamente a través de la tienda en línea. Apostamos a que estas medidas mejorarán gradualmente la seguridad en Android, aunque queda mucho por hacer para la mitad de los usuarios del mundo que ya no tienen acceso a las actualizaciones. Por lo tanto, los usuarios de Android deben permanecer particularmente atentos. Además de poner a disposición actualizaciones periódicas (sistema, aplicaciones, servicios, etc.), algunas reglas básicas ya pueden ayudar a protegerse contra una buena cantidad de riesgos: personalice el código PIN, configure un código de bloqueo, nunca descargue aplicaciones fuera de Google Juegue, cifre los datos del dispositivo a través de la configuración del sistema, use contraseñas complejas (o un administrador dedicado), haga copias de seguridad de los datos regularmente o evite conectarse a puntos Wi-Fi no seguros...