La seguridad de Android ha mejorado a pasos agigantados en los últimos 10 años: así es como
Android fue descrito como un "estofado tóxico" de vulnerabilidades, pero ese ya no es el caso.
Hoy en día, Android es uno de los sistemas operativos más utilizados y seguros del planeta, pero no siempre fue así. De hecho, en 2014, ZDNet llamó a Android un "estofado tóxico" de vulnerabilidades, que luego fue citado por Tim Cook en el lanzamiento del iPhone de ese año. Cook señaló que Android estaba tan fragmentado y las actualizaciones tardaban tanto en llegar que no había manera de que esas pobres personas que "compraron un teléfono con Android, por error" pudieran disfrutar de la seguridad de sus propietarios de iPhone.
Sin embargo, esa no es la historia completa, y ciertamente no es precisa hoy en día.
Pensando en el primer iPhone, se conectó a través de 2G, tenía en algún lugar del estadio de béisbol de 14 aplicaciones y tomó fotos con una gran cantidad de ruido y grano. Sin embargo, el beneficio para Apple fue que la empresa fabricó el hardware y el software, incluidas las 14 aplicaciones, que, antes de la App Store, era todo lo que podías usar. Apple gobernó toda la experiencia, lo que también significaba que podían enviar actualizaciones en cualquier momento que quisieran.
Por el contrario, los primeros días de Android fueron un poco diferentes, con muchos más cocineros en la cocina proverbial. Primero, Google lanzaría una nueva versión de Android, que luego fue adaptada por los fabricantes de chips para que funcionara en cualquier CPU que usara su teléfono. Luego, el fabricante tuvo que salirse con la suya con Android, agregar nuevas funciones o aplicaciones y, por lo general, cambiar un montón de cosas sobre cómo se veía, a menudo para peor. Luego, tenía que ir a su proveedor si era un teléfono de marca de red, y ellos se asegurarían de que funcionara en su red mientras también cargaban más bloatware solo por el placer de hacerlo.
Luego, si tuvo suerte, tal vez seis meses después del lanzamiento de una nueva versión de Android, usted, como persona normal, la tendría en su teléfono, junto con algunos extras que puede o no haber querido. Para el 99 % del ecosistema de Android, así funcionaban las actualizaciones y era un gran problema. Es como pedir una hamburguesa elegante en un restaurante y luego tener que esperar mientras el dueño de la franquicia y el mesero agregan un montón de ingredientes extraños y asquerosos que no pediste.
Las únicas personas que no tenían sus teléfonos inteligentes Android tardando una eternidad en obtener actualizaciones que a menudo también incluían software adicional eran los propietarios de Google Nexus. Estos teléfonos ejecutaban Android estándar y recibían actualizaciones directamente de Google sin agregar nada encima. El problema era que representaban solo una pequeña porción del pastel de Android en constante expansión.
Toda esta situación fue bastante mala por varias razones, y una importante fue la seguridad. Obviamente, no es bueno si Google o Qualcomm necesitan corregir un error de seguridad más arriba en la cadena alimenticia, y luego tienes que esperar meses adicionales para que realmente llegue a la mayoría de los dispositivos.
Eso empeoró por la naturaleza de Android en ese momento y la actitud de los fabricantes de teléfonos hacia las actualizaciones. Las actualizaciones de software para los teléfonos existentes a menudo se consideraban una tarea ardua, casi como si la hubieras arruinado si tuvieras que hacer una porque, bueno, lo que sea que estés arreglando o agregando debería haber estado en la ROM original. Como resultado, el historial de actualizaciones de casi todos en el mundo de Android en ese entonces era básicamente un basurero según los estándares actuales. Los buques insignia obtendrían una actualización importante del sistema operativo meses después si tenían suerte. Peor aún es que los parches de seguridad aún no existían.
Como si no pudiera empeorar, casi todas las aplicaciones principales importantes de Android todavía estaban integradas en el firmware en este punto. Las actualizaciones del navegador web, por ejemplo, tendrían que empaquetarse en una OTA y esperar a que el fabricante y el operador las certifiquen. Por lo tanto, si aparecía una vulnerabilidad en el código del motor del navegador de, por ejemplo, Google, no había forma de obtener correcciones de manera amplia o rápida. Eso significaba que diferentes personas estarían atrapadas en diferentes versiones con diferentes personalizaciones y diferentes niveles de vulnerabilidad al malware y otras molestias. Por lo tanto: fragmentación de Android.
Vale la pena decir que iOS *de ninguna manera* estuvo libre de problemas de seguridad, especialmente durante las primeras generaciones del iPhone. La falta de una tienda de aplicaciones oficial fue un gran incentivo para que los script kiddies y los hackers de sombrero blanco rompieran el iPhone y lo hicieran hacer cosas nuevas y emocionantes. Al menos una forma importante de hacer jailbreak a los iPhones en ese entonces implicaba explotar un error en el navegador. Básicamente, una página web podría romper la seguridad del iPhone original.
La diferencia era que Apple podía tapar esos agujeros de seguridad mucho más rápido cuando aparecían y hacerlo en una parte mucho más grande de la base de usuarios. No es así en el lado de Android.
Todo eso fue el "estofado tóxico" que supuestamente Google estaba sirviendo en los días de las versiones 4 y 5 de Android. Mirando hacia atrás con el beneficio de la retrospectiva, es fácil decir que Google debería haber hecho más para mantener el control sobre Android... o implemente sistemas desde el principio para ayudar a que las actualizaciones fluyan con mayor libertad y frecuencia.
Sin embargo, vale la pena recordar que cuando Android se desarrolló por primera vez en 2007, el mundo era un lugar diferente. Los teléfonos inteligentes que existían eran principalmente artilugios primitivos de correo electrónico para gente de negocios. Los pagos móviles no estaban ni cerca de ser una realidad. Uber no se fundaría hasta dentro de dos años. El humilde retuit ni siquiera existía.
El punto es que, en ese entonces, no estaba claro cómo, durante la década siguiente, tantas tareas cotidianas esenciales estarían vinculadas a su teléfono, ni cómo se convertiría en un tesoro de datos personales valiosos y pirateables. Para crédito de Google, muchas cosas han cambiado en los últimos años para hacer que Android sea sustancialmente más seguro y hacer que las correcciones de seguridad lleguen más rápido a más personas. Hay un número de razones para esto.
Por ejemplo, Google Play Services es algo que quizás hayas visto actualizar en tu teléfono y quizás no le hayas prestado mucha atención. Sin embargo, en realidad es una parte muy importante de cómo Google mantiene Android seguro y ayuda a traer nuevas funciones de Android 13 al antiguo Galaxy S7 de su abuela que no ha recibido un nuevo firmware en años.
En el caso de Play Services, es una aplicación de sistema, por lo que tiene acceso privilegiado de nivel A+ Platinum de nivel superior a todo en su teléfono. Puede hacer mucho más que una aplicación normal que descargaría de Play Store, como instalar o eliminar otras aplicaciones o incluso borrar de forma remota su dispositivo si se pierde o se lo roban.
Las aplicaciones del sistema, como Play Services, deben ser cargadas en su teléfono por el fabricante, pero una vez que están allí, pueden actualizarse automáticamente en segundo plano. Eso significa que las nuevas versiones pueden agregar de forma segura nuevas características y funcionalidades. Y Play Services tiene tentáculos en todo el sistema operativo, por lo que, por ejemplo, la función de selección de fotos segura de Android 13 podría implementarse en teléfonos que ejecutan versiones mucho más antiguas del sistema operativo sin necesidad de instalar ningún firmware nuevo.
Play Services también incluye Google Play Protect, la capacidad antimalware a nivel del sistema operativo de Android que puede detener las aplicaciones maliciosas antes de que se instalen o eliminarlas si ya están allí. La otra cosa importante sobre Play Services es que admite versiones absolutamente antiguas de Android. Por lo general, Google solo deja de admitir Play Services en versiones de Android que tienen alrededor de diez años. En este momento, es el verano de 2023 y la versión actual de Play Services es compatible desde 2013 con Android 4.4 KitKat. Esa trivia nerd aparentemente aleatoria es importante porque te ayuda a mantenerte razonablemente seguro incluso en versiones mucho más antiguas de Android. Eso en sí mismo es una gran parte de la estrategia de seguridad de Android.
Curiosamente, Play Services desempeñó un papel interesante en la respuesta al COVID-19 de muchos países del mundo. Una actualización distribuida a través de Play Services fue la forma en que Google pudo implementar el Sistema de notificación de exposición que había desarrollado con Apple para prácticamente toda la base de usuarios de Android de una sola vez. Sin Play Services, ese tipo de esfuerzo hubiera llevado meses y no hubiera llegado a tantas personas.
De hecho, es bastante loco pensar que los esfuerzos de Google para arreglar la fragmentación de Android casi una década antes probablemente terminaron indirectamente salvando bastantes vidas durante la pandemia.
Las aplicaciones de malware son una cosa, pero hay otras formas en que los malos actores pueden intentar tomar el control de su teléfono o robar sus datos. Las vulnerabilidades del navegador fueron una parte bastante importante de eso, y ahora tanto el navegador Chrome como el código WebView para contenido web dentro de otras aplicaciones se actualizan a través de Play Store. De hecho, esto se aplica a un montón de partes diferentes de Android que alguna vez requirieron una actualización de firmware. Otros incluyen el marcador de teléfono de Google, mensajes de Android e innumerables aplicaciones detrás de escena.
Entonces, supongamos que se descubre un exploit de navegador desagradable hoy en 2023 donde una página web maliciosa podría bloquear su teléfono o robar sus contraseñas o hacer que la aplicación Starbucks arruine su pedido. No importaría en qué versión de Android esté, Google podría enviar actualizaciones a través de Play Store que cubran tanto Chrome como cualquier otra aplicación que muestre contenido web. En los días del llamado Hellstew tóxico, implementar la misma solución necesitaría una actualización de firmware completa para todos los teléfonos Android: mucho más trabajo para mucha más gente, y habría tomado meses o incluso años. en lugar de días.
Otro tipo de exploit fue una gran noticia en el mundo de la seguridad de Android en 2015. El error "Stagefright" afectó la parte de Android que manejaba la representación de imágenes y videos: una foto que había sido alterada de la manera correcta podría causarle daños su teléfono. Este fue un gran problema porque en aquel entonces, ese componente Stagefright no podía actualizarse sin una actualización completa del firmware. Una vez más: mucho trabajo adicional, certificación y espera mientras, potencialmente, el equivalente digital de una pintura embrujada podría abrir su teléfono en cualquier momento.
Las consecuencias de ese susto de seguridad espeluznante de Stagefright fueron dos: primero, Google comenzó a lanzar parches de seguridad mensuales para Android, vinculando su nivel de seguridad a una fecha específica. No solo eso, sino que hizo que Google se tomara mucho más en serio la modularidad de Android, por lo que partes del sistema operativo como Stagefright podrían actualizarse a través de Play Store sin necesidad de una actualización completa del firmware.
Los nuevos parches de seguridad de Android todavía salen todos los meses hasta el día de hoy. Y también cubren versiones anteriores del sistema operativo, no solo la última, por lo que incluso si un teléfono todavía tiene Android 11 o 12, aún puede estar protegido. En general, los productos insignia de Google Pixel y Samsung reciben primero los parches de seguridad, mientras que otros como Motorola corren sudorosamente detrás del resto del ecosistema, lanzando el mínimo contractual de un parche por trimestre.
Ese es el otro lado de esta ecuación: Google ahora requiere legalmente que los fabricantes de teléfonos se comprometan con un nivel mínimo de soporte si quieren Android con los servicios de Google en sus dispositivos. En 2018, The Verge informó que Google exige dos años de parches de seguridad, saliendo al menos una vez cada 90 días.
En estos días, marcas populares como Samsung y OnePlus prometen cuatro años de actualizaciones del sistema operativo y cinco años de parches de seguridad, posiblemente con el apoyo de Google detrás de escena.
A pesar de que las actualizaciones se publican con mucha más frecuencia hoy en día, aún requieren mucho trabajo preliminar de ingeniería, especialmente cuando se trata de una gran actualización, como una versión completamente nueva del sistema operativo. Android no se parece a One UI de Samsung o ColorOS de Oppo cuando sale de la fábrica de chocolate Mountain View de Google, ¿verdad? Y en los primeros días, usted, como Samsung u Oppo, necesitaría incorporar esa versión completamente nueva de Android en su bifurcación personalizada de la versión anterior. Es como tratar de intercambiar algunos de los ingredientes una vez que la comida ya está cocinada: terminas teniendo que comenzar casi desde cero.
¿La solución de Google? Básicamente, un plato de comida de TV: sirves esa comida en dos secciones diferentes. Separe las personalizaciones del fabricante, todas las cosas de One UI o ColorOS, del sistema operativo central. Y eso significa que puede actualizar uno más fácilmente sin meterse con el otro. Todo este esfuerzo se llama Project Treble, y aunque no puede verlo en su teléfono, es posible que haya notado cómo el dispositivo Android que posee hoy se actualiza un poco más rápido que el que usaba hace siete u ocho años.
Además de eso, Google comenzó a compartir versiones futuras de Android con OEM en una etapa mucho más temprana. Entonces, cuando se hicieron públicas las primeras vistas previas para desarrolladores de Android 14, Samsung probablemente lo había estado mirando detrás de escena durante un par de meses más o menos. En cuanto a los parches de seguridad, se comparten de forma privada un mes antes para dar a los fabricantes una ventaja.
Entonces, si bien todo eso está muy bien, las personas a menudo conservan los teléfonos por más de un par de años. Lanzar un nuevo firmware sigue siendo una cantidad de trabajo no trivial, y esos ingenieros no trabajan gratis. Project Mainline en 2019 hizo que Android sea más modular, con módulos de software para cosas como WiFi, Bluetooth, manejo de medios y mucho más. Estos módulos pueden ser actualizados directamente por Google o el fabricante por separado, sin el rollo de pasar por todo el proceso de actualización del firmware.
Si alguna vez ha visto una actualización del sistema de Google Play en su teléfono, eso es lo que es. Piénselo de esta manera: si se funde una bombilla en su casa, ahora puede simplemente cambiar la bombilla... mientras que antes, saldría, quemaría su casa hasta los cimientos y construiría una nueva encima de él.
Los sustos de seguridad de Android todavía ocurren, incluso en 2023. Pero la diferencia hoy, en comparación con los tiempos tóxicos del infierno, es que hay muchas herramientas para neutralizarlos. Tome la vulnerabilidad Stagefright de 2015, por ejemplo. La parte de Android afectada por ese error es un módulo de Project Mainline hoy, y se actualizó fácilmente hasta Android 10 sin una actualización completa del firmware.
Como otro ejemplo, en 2014, el error "Fake ID" podría permitir que una aplicación maliciosa se hiciera pasar por una con permisos especiales, lo que podría exponer sus datos a un atacante. Si algo así sucediera hoy, Play Protect lo detendría en seco y el error subyacente podría eliminarse rápidamente en una actualización de Mainline para el módulo de tiempo de ejecución de Android. Además de eso, Google también ha hecho mucho bajo el capó en torno al cifrado y la gestión de la memoria para que sea más difícil hacer algo útil con las futuras vulnerabilidades de Android, siempre y cuando surjan.
Ningún software es completamente seguro. Los exploits de día cero, es decir, vulnerabilidades secretas sin parches, existen para todos los sistemas operativos y son utilizados por los estados-nación y vendidos por grandes sumas de dinero en el mercado negro. Hay muchos ejemplos recientes de personas de alto perfil que son el objetivo de malware aterradoramente sofisticado basado en 0 días: personas como Jeff Bezos, Emmanuel Macron y Liz Truss. Según los informes, en 2022, el ex primer ministro del Reino Unido tuvo que cambiar constantemente los números de teléfono después de ser pirateado, supuestamente por agentes rusos. Eventualmente, se consideró que su dispositivo estaba tan completamente comprometido que fue encerrado, básicamente, en el teléfono inteligente equivalente al sarcófago de Chernobyl.
Si se pregunta por qué estaba cambiando su número de teléfono, es posible que su teléfono haya sido atacado por algo como Pegasus, el software espía de fabricación israelí que, según se informa, puede apoderarse de los dispositivos Android o iOS con solo tener su número de teléfono. Según se informa, Rusia no usa spyware fabricado en el extranjero, pero es probable que tengan su propio equivalente local basado en exploits de día cero similares.
Todo esto demuestra que la seguridad al 100 % es una ilusión: es inalcanzable, independientemente del dispositivo o el sistema operativo que utilice. Sin embargo, Android ha dejado de ser un "estofado tóxico de vulnerabilidades" de la misma manera que podrías haber argumentado que lo era hace una década. Está mucho mejor situado para hacer frente a las amenazas comunes que podríamos encontrar aquellos de nosotros que no somos jefes de gobierno o directores ejecutivos de una empresa de un billón de dólares.
Además, es mucho más probable que la persona promedio sea víctima de ingeniería social o alguna otra estafa en lugar de ser picado por malware basado en teléfonos. Este tipo de fraude va en aumento en muchos países, y en el Reino Unido aumentó un 25 % entre 2020 y 2022, y la mayoría de los casos involucran el uso indebido de computadoras. A medida que ha mejorado la seguridad de los teléfonos inteligentes, se podría decir que muchos delincuentes se están dando cuenta de que en realidad es más fácil explotar el componente blando y carnoso adjunto a la pantalla: usted.
Soy Adam Conway, un fanático de la tecnología irlandés con una licenciatura en informática y soy el editor técnico principal de XDA. Realicé mi tesis de licenciatura sobre la viabilidad de la evaluación comparativa de los elementos no funcionales de las aplicaciones y los teléfonos inteligentes de Android, como el rendimiento, y he estado trabajando en la industria de la tecnología de una forma u otra desde 2017. En mi tiempo libre, probablemente me encuentres jugando Counter-Strike o VALORANT, y puedes contactarme en [email protected], en Twitter como @AdamConwayIE, en Instagram como adamc.99, o u/AdamConwayIE en Reddit.
Alex ha estado cubriendo la tecnología móvil durante más de una década. Actualmente lidera el contenido de video de XDA, que implica apuntar cámaras a dispositivos brillantes y hablar por un micrófono.
XDA VIDEO DEL DÍA DESPLAZARSE PARA CONTINUAR CON EL CONTENIDO