Llegamos a ustedes gracias a:



Noticias

Apple da más tiempo para cifrar las comunicaciones

[29/12/2016] Apple ha dado marcha atrás en un plan para obligar a los desarrolladores de iOS a cifrar las comunicaciones de sus aplicaciones para fin de año.

La compañía previamente había anunciado en su Conferencia Mundial para Desarrolladores en junio que todas las aplicaciones enviadas a la App Store tendrán que soportar la funcionalidad App Transport Security (ATS) desde el 1 de enero del 2017. Aún no se ha establecido un nuevo plazo.

ATS es una funcionalidad que fue presentada por primera vez en iOS 9 que fuerza a las aplicaciones a comunicarse con servidores de Internet que usan conexiones cifradas HTTPS (HTTP over SSL/TLS). Es una mejora con respecto los marcos de terceros que los desarrolladores anteriormente usaron para implementar HTTPS, porque asegura que solo se usen protocolos de cifrado y claves estándares de la industria.

Incluso si ATS se encuentra activado de forma predeterminada en iOS, a un nivel técnico los desarrolladores de aplicaciones pueden deshabilitar algunas de sus características, o pueden optar no usarla por completo mediante varias configuraciones de excepciones que ATS pone a disposición.

Un reciente estudio realizado por la firma de seguridad Appthority sobre las principales 200 aplicaciones presentes en dispositivos empresariales con iOS mostró que el 97% de ellas pasaban por alto al menos algunos requerimientos de ATS y debilitaban la configuración predeterminada y recomendada.

Apple planeaba incluir el cumplimiento de ATS como un requerimiento en el proceso de revisión de App Store desde el siguiente año, y solicitar justificaciones razonables para cualquier excepción. Sin embargo, como mostró el estudio de Appthority, muchos desarrolladores no se encuentran preparados para habilitar plenamente ATS en sus aplicaciones.

"En WWDC 2016 anunciamos que a las aplicaciones enviadas a App Store se les pediría que soportaran ATS para finales de año, afirmó Apple en un anuncio en su sitio para desarrolladores. "Para darles más tiempo para que se preparen, este plazo ha sido ampliado y proporcionaremos otra actualización cuando se confirme otro plazo.

Existen muchas razones por las que los desarrolladores podrían no estar preparados o incluso en capacidad de cifrar todo el tráfico de sus aplicaciones. Por ejemplo, muchas aplicaciones se integran con servicios de publicidad de terceros, analítica y alojamiento de medios y la adopción de HTTPS por parte de esos servicios no es algo que los desarrolladores de aplicaciones puedan controlar.

Para el 22 de diciembre, la cifra de 3% de preparación para ATS entre las aplicaciones de iOS ha crecido a sólo 5%, afirmaron los investigadores de Appthority el jueves en una entrada de blog. "Asumimos que Apple, también, se dio cuenta que un número inaceptablemente alto de aplicaciones no cumpliría el plazo de ATS a menos que se amplíe.

Los investigadores creen que incluso si Apple no ha abandonado sus planes de un cumplimiento total de ATS, esto no es algo que se pueda lograr muy rápido, lo cual es probablemente el motivo de que aún no se haya anunciado un nuevo plazo.

"A la luz de esta novedad, se recomienda que las empresas realizar un seguimiento del estado del cumplimiento ATS de las aplicaciones y considerar alternativas a las aplicaciones que acceden a datos corporativos confidenciales y no aseguran sus conexiones de red utilizando ATS, afirmaron.