El que una consultora de seguridad como Bit9 elabore un informe alarmista sobre seguridad no es algo que debiera tomarse en mucha consideración, pero hoy hacemos una excepción porque los resultados del estudio, aparte de no pretender vendernos nada, dan mucho que pensar.
Bit9 parte de la teoría de que un sistema operativo correctamente actualizado está mejor protegido contra agujeros de seguridad y fallos por donde podrían quedar expuestos datos sensibles del usuario. Aplicando esta idea a la inversa, un sistema operativo actualizado poco y mal es un blanco más fácil para estos ataques. Siguiendo este razonamiento, la consultora ha elaborado una lista de los terminales Android peor actualizados y, por tanto, más inseguros del mercado.
La lista ha sido confeccionada en atención a los móviles que más se venden, que portan versiones obsoletas de Android y que, además, no se han actualizado nunca o lo hacen con demasiada lentitud. Estos son los 12 del patíbulo de Android.
1. Samsung Galaxy Mini
2. HTC Desire
3. Sony Ericsson Xperia X10
4. Sanyo Zio
5. HTC Wildfire
6. Samsung Epic 4G
7. LG Optimus S
8. Samsung Galaxy S
9. Motorola Droid X
10. LG Optimus One
11. Motorola Droid 2
12. HTC Evo 4G
Resulta que, mientras en otros sistemas operativos, los ratios de adopción de nuevas versiones son de cerca del 90%, en Android, el 56% de los terminales son lo que Bit9 denomina ‘huerfanos digitales’, teléfonos que por distintos motivos no se actualizan como debieran. Los Android tardan una media de siete meses en recibir la primera actualización. Samsung es la marca que peor y más tarde actualiza sus terminales, seguida por HTC y Motorola.
Las razones que Bit9 apunta para estas malas notas son lo mejor del asunto. En primer lugar, Bit9 comenta que los fabricantes tienden a abandonar modelos para centrarse en nuevos lanzamientos que sí que obtienen las nuevas versiones de software, prácticamente obligando al consumidor a cambiar de dispositivo si quiere tener su sistema operativo al día.
Demasiados cocinerosLa segunda razón que hace de Android el sistema menos actualizado y más inseguro es lo que Bit9 denomina el problema de tener ‘demasiados cocineros en la misma cocina’. En octubre de este año, HTC detectó una vulnerabilidad grave en la seguridad del interfaz HTC Sense que podría permitir a terceros acceder a datos del usuario. En la nota de prensa en la que anunciaron que estaban solucionándolo se decía que HTC y la operadora Sprint estaban trabajando en ello codo con codo.
Desde Bit9 se preguntan ¿Que tiene que ver una operadora con un fallo de seguridad en un sistema operativo?. La respuesta es que demasiadas personas meten mano en la misma olla. Google desarrolla el sistema operativo de base pero, a partir de ahí, cada marca lo personaliza con su propio software y después es la operadora la que vuelca su estética, contenidos y restricciones por encima de la personalización. Eso por no mencionar que muchas veces da más problemas la personalización que el sistema operativo en sí mismo.
En opinión de Bit9, este proceso no sólo dificulta y eterniza los procesos de actualización o los detiene completamente, sino que supone debilitar aún más la seguridad de la plataforma al multiplicar el número de posibles vías de entrada.
La solución a este problema no es fácil. Desde Bit9 comentan que los fabricantes y las operadoras deberían, en primer lugar, dejar las actualizaciones de software en manos de un único responsable que, lógicamente, debería ser Google. Después, recomiendan a Google un sistema de actualizaciones más ágil que permita liberar parches de seguridad cuando sea necesario.
Casi nada, en definitiva. A ver quien es el guapo que le dice a Samsung que renuncie a sus widgets y su TouchWiz o a Movistar que deje de añadir esos inopinados accesos a Keteke.
¿Por qué Android y no IOS o Windows Phone?Si Bit9 ha elegido Android como plataforma para el estudio ha sido precisamente po su falta de un sistema de actualizaciones centralizado. La propia consultora reconoce que analizar de la misma manera los iPhone no tendría sentido ya que sus actualizaciones dependen de una única empresa y no están determinadas por ningún operador. Con todo, el iPhone 4 hubiera obtenido, con arreglo al estudio de Bit9, un decimotercer puesto en el ranking de móviles inseguros, más por su popularidad que por otra cosa, pero sigue siendo un puesto de riesgo.
Algo muy parecido ocurre con Windows Phone 7, donde las actualizaciones maestras de software dependen de Microsoft. Bit9 señala a la familia Nexus de Google como los únicos terminales Android que siguen un patrón de actualización lógico y deseable desde el punto de vista de la seguridad.
Otra de las razones para haber elegido Android es el meteórico ascenso de cuota de mercado de este sistema operativo. Este crecimiento permite albergar razones para pensar que va a ser el blanco favorito de la próxima hornada de ataques a la seguridad. Bit9 prevé un espectacular aumento de los ataques de seguridad a Android en 2012 en tanto en cuanto, los smartphones y tablets cada vez son usados más como un ordenador que como un teléfono.