Llegamos a ustedes gracias a:



Reportajes y análisis

Android vs iOS: ¿Cuál es más seguro?

[18/08/2017] Android e iOS representan la mayor parte del mercado de sistemas operativos móviles, y aunque hay riesgo inherente con el uso de cualquier dispositivo móvil en la empresa, Android es un objetivo mucho mayor para los ataques de malware y, a su vez, para las cuestiones de seguridad corporativa.

Con el crecimiento masivo de los dispositivos Android en las empresas, las compañías necesitan una estrategia para minimizar cualquier riesgo que la plataforma pueda plantear, según la firma de investigación de la industria J. Gold Associates.

Android Vs iOS
GRÁFICO 1 - Fuente: Symantec.

"El punto es que Android es básicamente de código abierto, cualquiera puede mirar lo que hay en Android. No puede hacer eso con iOS", anota Jack Gold, analista principal de J. Gold Associates. "Si usted es LG, por ejemplo, y lanza un teléfono con la modificación del sistema operativo, y no hizo un buen trabajo con él, hay una vulnerabilidad potencial. Y, llegado el día, alguien se dará cuenta de eso".

Incluso si un desarrollador hace una pequeña modificación a una aplicación que se ejecuta en Android, puede crear un agujero de seguridad, añade Gold.

GRÁFICO 2 - Fuente: Symantec.
Android vs. iOS

"Incluso si modifica la apariencia de una aplicación de mensajería, es posible que no sepa que ha añadido una vulnerabilidad", anota. "Ese es el problema con el código abierto, nunca se sabe hasta que lo haya probado".

Por el contrario, el iOS de Apple es mucho más restrictivo con lo que los desarrolladores pueden hacer, y Apple no libera su código fuente. Eso significa, por lo general, que los iPhones [e iPads] son más difíciles de 'modificar' que los teléfonos Android, comenta Gold, "porque Apple pone todo tipo de restricciones en ellos y los comprueban de vez en cuando, y si encuentran que un teléfono ha sido modificado, lo da de baja.

"Y, como Apple controla el hardware y el software, tienen la capacidad de imponer una seguridad más estricta", añade Gold.

De alguna manera, Android también ha sufrido de su éxito.

Android e iOS ahora representan el 94% del mercado de sistemas operativos móviles en todo el mundo, según el reciente estudio publicado de Forrester Research "Mobile, Smartphone y Tablet Forecast, 2017 To 2022". Android es la plataforma dominante para los teléfonos inteligentes, capturando el 73% del mercado con más de 1.800 millones de suscriptores en el 2016, según Forrester.

Se espera que Android mantenga el liderazgo este año, según Forrester, con un 74% de cuota de mercado, seguida por Apple con un 21% y Windows Phone con solo un 4%.

"La verdad es que cuando Android es atacado, tiende a ser más vulnerable porque hay más dispositivos por ahí y más personas también lo saben", señala Gold. "Android también tiene un problema en que la última versión de su sistema operativo está generalmente en una pequeña porción de la base de dispositivos en el mercado. Por lo tanto, cuando las actualizaciones se emiten, no todo el mundo las obtiene, en cambio cuando Apple lanza actualizaciones, todo el mundo las obtiene".

Además, a medida que las empresas desarrollan más de sus propias aplicaciones personalizadas -muchas de ellas aplicaciones móviles como parte de una primera estrategia móvil- los desarrolladores internos están cada vez más en riesgo de usar inconscientemente código fuente abierto con vulnerabilidades.

GRÁFICO 3: Fuente: Symantec
Android vs. iOS

Las aplicaciones de hoy en día raras veces se codifican desde cero, particularmente cuando se crea software fuera de las unidades de desarrollo y operaciones de una compañía. Los desarrolladores suelen ir a las bibliotecas en línea por los componentes de código abierto -trozos de código que actúan como bloques de construcción- para montar aplicaciones móviles personalizadas. No solo pueden modificarse trozos de código, sino que pueden contener vulnerabilidades nativamente.

Las detecciones de amenazas móviles se duplican

De acuerdo con el Informe de Seguridad de Internet sobre las amenazas de Symantec, publicado en abril, las detecciones de amenazas globales en los dispositivos móviles se duplicaron el año pasado, resultando en 18,4 millones de detecciones de malware móviles. Similares amenazas se observaron en el 2015, de acuerdo con Symantec, con el 5% de todos los dispositivos que son objeto de infección en cada uno de los últimos dos años.

Según Symantec, del 2014 al 2016 el nivel de vulnerabilidades de iOS se mantuvo bastante plano. Y mientras que las nuevas familias de malware de Android cayeron significativamente, de 46 en el 2014, a 18 en el 2015 y solo 4 en el 2016, el sistema operativo sigue siendo el foco principal de los ataques móviles, señaló Symantec.

GRÁFICO 4 - Crédito: Symantec.
Android vs. iOS

El volumen total de aplicaciones maliciosas para Android aumentó significativamente en el 2016, con un crecimiento del 105%, pero aún menor que en el 2015, cuando el número de aplicaciones maliciosas aumentó en un 152%.

Las amenazas maliciosas móviles se agrupan en "familias" y "variantes". Las familias de malware son una colección de amenazas de los mismos grupos de ataque o similares. En el 2014, había 277 familias de malware en general. Eso creció a 295 familias en el 2015 y 299 en el 2016. Así, mientras que el número de nuevas familias creció más lentamente, el número total de amenazas se mantuvo considerable.

GRÁFICO 5 - Fuente: Symantec.
Android Vs. iOS

El número total de vulnerabilidades no dice toda la historia, de acuerdo con Gold.

"El número de variantes de malware que intentaron explotar estas vulnerabilidades es mucho más numeroso", comenta Gold en un informe que publicó el año pasado titulado, "Android en el entorno empresarial: ¿Es seguro?".

Las variantes son las modificaciones que hacen los piratas informáticos al malware, y pueden llegar a los miles, en general. Por ejemplo, el año pasado hubo 59 variantes de 18 nuevas familias de malware, lo que se traduce en más de mil nuevas variantes de malware móvil, según Symantec. Las variantes de malware móviles por familia aumentaron más de un cuarto en el 2016, un poco menos que el aumento de 30% en el 2015.

GRÁFICO 6 - Crédito: Symantec.
Android Vs. iOS

"Es un problema muy importante: las organizaciones con política BYOD o que permite a los trabajadores llevar sus propios dispositivos no tienen opción, no es su dispositivo, así que no saben si tiene el último sistema operativo", anota Gold. "Algunas organizaciones requieren que, si tiene un dispositivo sin el sistema operativo más reciente, no puede iniciar sesión en la red corporativa, pero eso es raro".

Debido a que hubo menos familias de malware en el 2016, pero un número mayor de variantes, Symantec dedujo que los atacantes "están optando por refinar y modificar las familias y los tipos de malware existentes, en lugar de desarrollar nuevos y únicos tipos de amenazas".

También ocurren ataques iOS

Esos ataques incluyeron iOS.

Aunque es poco común, tres vulnerabilidades de día cero en iOS fueron explotadas en los ataques dirigidas a infectar teléfonos con software malicioso Pegasus en el 2016. Pegasus es un software espía que puede hacerse cargo de un iPhone y acceder a los mensajes, llamadas y mensajes de correo electrónico.

El malware Pegasus también puede recopilar información de aplicaciones, como Gmail, Facebook, Skype y WhatsApp, según Symantec.

El ataque funcionó enviando un enlace a la víctima a través de un mensaje de texto. Si la víctima hacía clic en el enlace, entonces el teléfono era intervenido, Pegasus podría ser inyectado en él y comenzaba a espiar.

Las vulnerabilidades que permitieron el ataque de Pegasus incluyeron una en el Safari WebKit que permitió a un atacante comprometer el dispositivo si un usuario hacía clic en un enlace, una fuga de información en el núcleo del sistema operativo, y un problema en el que la corrupción de la memoria del núcleo podría provocar un jailbreak, indica Symantec.

Solo un dispositivo móvil infectado con malware puede costarle a una organización en promedio 9.485 dólares, según un informe publicado el año pasado por el Instituto Ponemon. Las posibles consecuencias financieras si un hacker compromete el dispositivo móvil de un empleado para robar sus credenciales y acceder a datos confidenciales de la compañía puede ser más grande; investigar, contener y reparar el daño de tal ataque cuesta un promedio de 21.042 dólares.

Android Vs. iOS

Una encuesta hecha a 588 gerentes de TI y profesionales de seguridad de TI por el Ponemon Institute en febrero del 2016 reveló que el 67% de las empresas han tenido, o es probable que hayan tenido, una violación de seguridad debido a un dispositivo móvil.

La mayoría de los ataques a dispositivos móviles están relacionados con los hackers que tratan de robar información confidencial, como listas de contactos, intentar enviar mensajes de texto o lanzar un ataque de denegación de servicio. Hasta la fecha, los ataques de ransomware, donde los operadores blackhat bloquean un dispositivo y requieren un "rescate" para pagarlo, han sido mucho más raros, según Gold. Sin embargo, "apostaría a que ransomware está llegando a dispositivos móviles en un futuro próximo. No puedo imaginar por qué no lo haría.

"Piense en lo que el usuario promedio tiene en su teléfono. Si alguien apaga su teléfono mañana, sería un gran problema", anota Gold.

Android está progresando

Entre los nuevos vectores de ataque de malware, Android continúa siendo la plataforma móvil más atacada, según Symantec.

Un cambio notable en el 2016: Android superó a iOS en términos del número de vulnerabilidades móviles reportadas, un marcado contraste con años anteriores, "cuando iOS superó ampliamente a Android en esta área", indica Symantec.

"Este cambio puede atribuirse en parte a las continuas mejoras en la seguridad de la arquitectura de Android, y al interés constante de los investigadores en las plataformas móviles", señala el informe.

"Después de un año explosivo en el 2015", señala Symantec, las mejoras de seguridad en la arquitectura de Android "han hecho que sea cada vez más difícil infectar teléfonos móviles o capitalizar las infecciones exitosas".

William Stofega, director del programa de investigación de telefonía móvil de IDC, estuvo de acuerdo en que Google ha hecho un esfuerzo concertado en los últimos años para recuperar el control de su sistema operativo Android en comparación con sus primeros días, cuando alguien podría cambiar el código fuente.

GRÁFICO 8 - Fuente: Symantec.
Android Vs. iOS

Por ejemplo, Google ahora administra su código fuente para asegurarse que los desarrolladores de aplicaciones y los fabricantes de teléfonos inteligentes pasen por las pruebas de compatibilidad de Android.

Además, la próxima versión del sistema operativo móvil más reciente de Google, Android O, podría no ser tan abierta como sus predecesoras. "Se ha filtrado que van a reconstruirlo y no estará bajo licencia pública, y evitarán revelar el código fuente", anota Stofega. "No se ha implementado todavía, pero sería más difícil de vulnerar.

"Sigo pensando que ha habido un gran progreso -no que no se necesita progreso adicional", agrega Stofega.

Los fabricantes de smartphones y tabletas Android, como Samsung, también han mejorado su seguridad. Por ejemplo, Samsung Knox, una aplicación de seguridad libre de contenerización, permite una mayor separación entre la empresa y sus datos personales mediante la creación de un entorno virtual dentro de dispositivos móviles Android -completo con su propia pantalla de inicio- así como su propio lanzador, aplicaciones y widgets.

Knox crea un contenedor para que solo el personal autorizado pueda acceder al contenido dentro de él. Todos los archivos y datos, como correo electrónico, contactos y navegadores se cifran dentro del contenedor.

Knox también permite a los usuarios finales añadir aplicaciones personales a My Knox Container de forma segura, a través de Google Play. Una vez dentro del contenedor, las aplicaciones personales utilizan la misma seguridad de Knox.

"Mucho de esto es acerca de cómo introducir algo como Android en la empresa", añade Stofega.

Una estrategia de malware móvil

A medida que más empresas adopten una estrategia empresarial "móvil primero", la solución más común para evitar el malware es relativamente simple: mantener el software de los dispositivos actualizados regularmente. Actualizar el software a la última plataforma ayuda a resolver las variantes del sistema operativo. Por supuesto, aunque es técnicamente simple, todas las cosas son relativas.

Para las organizaciones que tienen una política de BYOD, lograr que los usuarios actualicen su sistema operativo móvil es, en el mejor de los casos, una lucha, señala Gold.

Incluso para las empresas que emiten dispositivos móviles, la actualización de software puede ser ardua y estimula el rechazo de los usuarios. Sin embargo, es fundamental publicar periódicamente parches y actualizaciones de la plataforma.

"He hablado con gerentes de TI, y los usuarios a menudo no quieren actualizar su software, muchas personas no cumplen con el calendario, pero es terriblemente importante", anota Stofega.

Las empresas también deben evitar una estrategia de seguridad "móvil", indica Gold.

"Deben tener una estrategia de seguridad y lo móvil debe formar parte de ella", explica. "Si está tratando de hacer algo único para dispositivos móviles, puede no necesariamente encajar con todo lo que está haciendo en la empresa. Aunque, si tiene una política de seguridad global, entonces puede hacer todo lo que quiera en la parte móvil para encajar con esa estrategia global".

Por ejemplo, las empresas están comenzando a desplegar el cifrado en los dispositivos móviles para proteger los datos corporativos, pero muchos no lo tienen en sus escritorios. Por el contrario, si una compañía tiene autenticación de dos factores en las PCs para acceder a una aplicación corporativa, como SAP, también debería tenerla en dispositivos móviles, anota Gold.

"Optimice la seguridad primero y luego averigüe lo que puede hacer en cada dispositivo, en algunos casos no puede tener equivalencia, hágalo lo mejor que pueda", añade.

Gold, Stofega y Symantec recomiendan que las compañías mantengan al día el software en los dispositivos móviles emitidos por las corporaciones, y publiquen avisos frecuentes a los empleados que utilizan su propio hardware para hacer lo mismo. Y es importante recordar a los trabajadores que se abstengan de descargar aplicaciones de sitios desconocidos y que instalen aplicaciones solo desde fuentes de confianza.

Symantec también recomienda que los administradores de TI presten mucha atención a los permisos solicitados por las aplicaciones móviles, ya que pueden indicar un comportamiento malicioso.

Además, las empresas que emiten dispositivos móviles para los empleados, deben asegurarse de que los dispositivos Android estén mejorados para uso corporativo. Google está respondiendo a las necesidades de muchos usuarios empresariales de Android al ofrecer una actualización de clase empresarial conocida como Android en el trabajo. Los dispositivos móviles Android at Work ofrecen espacios de trabajo segmentados y perfiles para mantener separadas las aplicaciones corporativas y personales.

También exigen que las compañías desplieguen en primer lugar un conjunto de herramientas de aplicación en un dispositivo móvil, ya sea a través de la administración de dispositivos móviles o de un conjunto de herramientas de administración de movilidad empresarial más amplia, según Gold.

Se ha identificado que algunos nuevos malware móviles tienen capacidades de rootkit o sistemas operativos modificados que se pueden utilizar para obtener acceso administrativo a sistemas corporativos. Por lo tanto, las empresas también deben instalar software de detección de root en dispositivos móviles, o mejor aún, comprar hardware móvil ya configurado con software de detección de root.

"Esencialmente, esto permite que cualquier código de bajo nivel que ejecute el dispositivo sea pre-vetado para determinar si es genuino", anota el informe de Gold. "Evita la posibilidad de root, o de sustituir un sistema operativo dañado que podría ser utilizado para arrancar el sistema".

Los fabricantes de dispositivos también pueden desempeñar un papel clave en la fabricación de teléfonos y tabletas más seguras. Algunos proveedores móviles han sabido retrasar las actualizaciones del sistema operativo por meses; esa práctica, de acuerdo con el informe de Gold, debe indicar a una empresa que el proveedor es un proveedor de hardware inaceptable.

Por último, si bien se recomienda la adición de características de seguridad a los dispositivos, no es tan útil como simplemente adherirse a las buenas prácticas. Educar a los empleados sobre las mejores prácticas, como no descargar aplicaciones que no se hayan examinado o abrir adjuntos inesperados en mensajes, es crucial.

"Mucho de esto tiene que ver con hacer que los usuarios estén de su lado", indica Gold. "Dialogue con ellos y edúquelos sobre por qué la seguridad es necesaria. Hay muchas prácticas que los usuarios hacen y que no deberían, pero simplemente no saben hacer nada mejor", finaliza.