Hace exactamente siete años, un 23 de septiembre y luego de mucha especulación, Google finalmente reveló su proyecto secreto, uno que cambiaría al mundo móvil. A pesar de los rumores, no se trataba de un nuevo smartphone, sino de algo mucho mayor; un sistema operativo completamente nuevo que, en unos años, se convertiría en la fuerza dominante en el mercado mobile y de dispositivos móviles. Su nombre, claro, fue Android.
Sin embargo, debe decirse que todo ese éxito no se logró sin algunos problemas de seguridad notables y resbalones a lo largo del camino. De hecho, algunos han sido de lo más recientes, como veremos más adelante.
Para empezar, remontémonos a 2013, cuando se dio a conocer un agujero de seguridad llamado Android Master Key. El exploit volvió vulnerables a casi todos los dispositivos con este sitema operativo, permitiendo a los atacantes modificar paquetes de instalación (Android Application Package – APK). Esto significaba que los sistemas no podían detectar los cambios, de forma tal que aplicaciones legítimas podían ser convertidas en troyanos maliciosos.
Otro gran traspié salió a la luz hace pocos meses, en julio de 2015. El bug conocido como Stagefright podía amenazar al 95% de todos los dispositivos con Android del planeta – en números reales, casi mil millones. Solo un MMS enviado por un cibercriminal podía resultar en la pérdida del control del equipo, aunque el usuario no lo abriera ni lo leyera.
Como sistema open source y uno de los más populares, Android también fue noticia gracias al aumento de amenazas de malware. Recientemente, un ransomware de tipo pantalla de bloqueo detectado por ESET como Android/Lockerpin.A se propagaba in the wild y podía cambiar el código PIN del dispositivo infectado. Los cibercriminales detrás de este ataque estuvieron pidiendo 500 dólares para desbloquear los archivos cifrados, aunque este no fue el primer caso de ransomware para Android si nos acordamos de Simplocker.
Otro ejemplo extremadamente reciente fue el caso reportado ayer, 22 de septiembre, por investigadores de ESET: Android/Mapin es un troyano que logró esconderse en juegos de la tienda oficial Google Play a pesar del sistema de detección Bouncer, usando versiones alteradas de aplicaciones populares como Plants vs. Zombies, Candy Crush, Super Hero Adventure o Subway Surfers. Además de instalar un backdoor en el smartphone o tablet de la víctima, Mapin usa un temporizador para demorar la ejecución del payload.
Con ayuda de este código malicioso, un atacante puede tomar el control del dispositivo, convertirlo en parte de una botnet y evitar ser descubierto; de esta forma, cualquier comporamiento extraño se atribuía al juego descargado.
Lo alarmante de Android/Mapin es el hecho de que todo esto se encontró en apps disponibles en la tienda oficial Google Play. Según la telemetría de ESET, la mayoría de las infecciones fueron detectadas en India, constituyendo el 73 por ciento del total.
Tal como la corta pero notable existencia de Android documenta, el sistema operativo móvil más usado todavía tiene algunas debilidades y sigue siendo un blanco atractivo para los cibercriminales. Ese es el problema con dispositivos y sistemas populares: atraen la atención de atacantes tanto como la de usuarios y desarrolladores intrépidos.
Así que, si quieres celebrar los 7 años de Android, sigue estas siete reglas que te ayudarán a estar seguro:
- Actualiza siempre el sistema operativo y las apps de tu dispositivo a la última versión disponible
- Haz una copia de seguridad (backup) de todos los datos en el equipo, o al menos de los más valiosos. ¿Cómo saber cuáles son? Accede a esta infografía para saber si deberías hacer una copia de backup de un archivo o no
- Usa soluciones de seguridad actualizadas provistas por una organización con alta reputación
- Procura utilizar solo la tienda oficial Google Play, donde las probabilidades de infectarte con malware son más bajas (aunque como demuestra Android/Mapin, las aplicaciones son revisadas por el propio Google y a veces por los proveedores de seguridad)
- Usa el bloqueo de pantalla y recuerda que el patrón puede ser fácilmente adivinable y menos seguro que un PIN, y que una contraseña es tu mejor elección
- Cifra el contenido de tu dispositivo
- Trata de evitar "rootear" el dispositivo, a pesar de que sea una opción tentadora
Para conocer más prácticas de seguridad que protegerán tu equipo, accede a la Guía de Seguridad en Android.