El examen de aplicaciones (I)

06/02/2017

Valorar el sitio desde el que vamos a descargar una app es un primer paso en materia de privacidad y seguridad

Hace algunos años, cuando queríamos comprar una aplicación o un juego para nuestro ordenador, pagábamos una cantidad de dinero y a cambio recibíamos un CD. En la actualidad, el precio de las aplicaciones no siempre es tan evidente. Ahora, descargamos las apps en nuestros teléfonos y tabletas a través de internet y empezamos a utilizarlas. Proponemos la realización de un examen de apps en el que hay cuatro temas: la tienda (I), los permisos (II), los términos y condiciones (III), y los datos personales (IV).

En este primer artículo nos centraremos en el primero de ellos y en entradas posteriores abordaremos los siguientes para superar la prueba con seguridad.

La tienda de aplicaciones

Cuando descargamos la app o el juego de la tienda “oficial” del fabricante del dispositivo o del sistema operativo, podemos confiar en que los responsables de este canal han tomado ciertas medidas: por un lado, las aplicaciones han pasado unas mínimas pruebas de seguridad sobre un sistema de características equivalentes al nuestro; también han formalizado un contrato con el desarrollador; y además han identificado sus productos mediante un certificado. No es una garantía absoluta, pero es un primer paso de seguridad.

Algunos colectivos, como grandes corporaciones empresariales y centros gubernamentales, con miles de dispositivos móviles de sus empleados, tienen sus propias tiendas exclusivas de aplicaciones. En ellas solamente se publican aquellas que tienen interés para su misión y que además han superado pruebas de sus propios departamentos de seguridad. En estos colectivos los permisos de descarga de otras tiendas y otras políticas de seguridad de los móviles de los empleados están restringidos. Esto sucede porque cada vez las organizaciones son más conscientes del valor de los datos almacenados en los móviles y tabletas de sus empleados, y empiezan a tomar medidas de seguridad específicas como ya se toman para los PCs y los equipos en red.

Los particulares, si además de la confianza que nos da la propia tienda de aplicaciones queremos garantías adicionales sobre la bondad de una app, tenemos que fijarnos en algunos detalles: por ejemplo, la página de la app en la tienda proporciona información sobre si la aplicación contiene publicidad o ventas, lo que puede ser una pista de por qué se ofrece la app o el juego; el apartado con las demás aplicaciones del mismo desarrollador puede darnos pistas sobre sus intenciones al ofrecer una aplicación gratuita; y las opiniones de otros usuarios que han descargado la aplicación y escriben sobre ella nos pueden dar señales sobre sus problemas o los riesgos que han detectado.

Esta información puede ser verídica, pero hay que tener en mente que en algunos casos puede haberse falseado. Existen incluso servicios profesionales que se encargan de dar buena reputación a aplicaciones dañinas, descargándola o puntuándola miles de veces como si tuviera miles de usuarios entusiastas. También existen mecanismos por los que los usuarios solamente pueden descargar o acceder a funcionalidades de una aplicación tras haberla votado positivamente o haberla recomendado en redes sociales. Las tiendas persiguen este tipo de trampas, pero aun así se dan muchos casos.

Las dudas sobre la reputación de una aplicación o juego no solamente afectan a las descargas nuevas, sino también a las actualizaciones. Tras una nueva versión de un programa o un juego ya instalado puede haber un cambio de proveedor y un cambio de finalidad: puede darse el caso de organizaciones que compran a los desarrolladores sus aplicaciones publicadas en las tiendas con el objetivo de aprovechar la comunidad de usuarios existente para introducir algún tipo de malware en las actualizaciones del código o introducir en ellas su publicidad.

Un caso delicado de tratar son las tiendas que de manera abierta proporcionan aplicaciones no aprobadas por los fabricantes. Si bien es posible que una aplicación no pudiera distribuirse desde una tienda oficial por una simple cuestión de política comercial, en ocasiones las tiendas no oficiales albergan aplicaciones que representan verdaderos agujeros de seguridad y que nunca superarían los controles de otros proveedores. Para ahondar en el riesgo, las aplicaciones ofrecidas por estas tiendas requieren en muchas ocasiones que el móvil o la tableta hayan sido desbloqueados. El desbloqueo o rooteo de un móvil es un proceso por el cual se proporciona al usuario y a las aplicaciones la llave maestra para acceder a ficheros restringidos, o incluso para modificar partes del propio sistema operativo.

El desbloqueo de un móvil y el uso de aplicaciones de tiendas no oficiales pueden proporcionar a determinados usuarios avanzados unas funcionalidades mayores que las que ofrecía el dispositivo de fábrica. Sin embargo, el coste que asumen es un riesgo para la seguridad de sus datos, los sensores de su teléfono o tableta, y para las redes que utilizan y comparten con nosotros. Es un proceso que vulnera las garantías de los fabricantes y deja sin valor las pruebas de seguridad de las aplicaciones instaladas. Es también una alteración de un sistema certificado, equivalente a la manipulación del motor de un coche o de un electrodoméstico, que nunca debe hacerse sin conocer bien las implicaciones que tiene.

En la era de las aplicaciones móviles no debemos andar con miedo, pero sí tomar decisiones conscientes y ser selectivos con la tienda de aplicaciones que nos provee. Solamente así podremos responder con acierto en el primer tema de nuestro examen.

La Agencia Española de Protección de Datos ha lanzado una Guía de privacidad y seguridad en internet elaborada junto al INCIBE que incluye algunas fichas para concienciar (que no asustar) a los usuarios de los riesgos de las apps.