Cambio de roles: exploits valuados como mercancía

En septiembre de este año, Ars Technica reportó que “el precio máximo por exploits no publicados de Android (SO) alcanzó los $2.5 millones de dólares, un 25% superior a iOS”, un acontecimiento que ha alterado el status quo de cómo los usuarios móviles ven la seguridad de las dos plataformas móviles más populares. La reciente inversión en el valor monetario de exploits (código) para sistemas operativos móviles es un recordatorio de que el panorama de ciberseguridad es una bestia impredecible. Fue sorpresivo, aunque tal vez anticipado, que la aparente invencibilidad de iOS algún día sería puesta en duda.

He estado viendo películas y series de televisión desde 1980, y esta situación me recordó a la clásica comedia de Eddie Murphy y Dan Aykroyd, Trading Places, en la que un mendigo (Murphy) se transforma en un inversor de Wall Street (como parte de una apuesta de adinerados dueños de una agencia de corredores de bolsa). La película muestra un cambio de roles de sus dos protagonistas y la verdad sobre cómo las circunstancias juegan un papel central en los resultados.

La información es el nuevo combustible

Entre los productos energéticos que se mueven el mercado, el petróleo crudo es el más comercializado. La información – y me refiero tanto a la que se obtiene legal como ilegalmente – se ha vuelto otra mercancía de valor.

Ya sea si discutimos regulaciones como GDPR y CCPA que trabajan para definir el “cómo” de la recolección, el acceso y el almacenamiento de datos de los negocios mediante servicios y sitios web de forma legal, o las formas en que la tecnología impacta de forma directa en la privacidad mediante el acceso que las apps podrían tener a los procesos en su Smartphone, la información es altamente monetizada.

La misma utilidad que hace de los smartphones algo tan cómodo también refleja su rol clave en la producción, acceso y monetización de la información – la suya incluida. Y mientras algunos fabricantes de hardware se han volcado hacia dispositivos reforzados con tecnología blockchain para asegurar su privacidad e información, las masas se han conformado con Android e iOS.

La batalla de los sistemas operativos – una convergencia

Un año atrás, la noción de la invencibilidad de iOS parecía aún reinar. La seguridad incorporada de iOS era en gran parte producto de su arquitectura, que fue diseñada con sandboxing estricto, lo que imponía un mayor grado de separación entre apps. Esto significa que, cuando el malware se chocaba con iOS, la capacidad de maniobra entre el sistema operativo y la información de sus app era limitada. Ello tiene un gran impacto en la habilidad del malware de esparcir la infección mediante apps y dispositivos iOS.

Por el contrario, el ecosistema más abierto de Android permitía, e incluso incentivaba, a los desarrolladores de apps a innovar y crear interconexiones con varias funcionalidades dentro del sistema operativo – piensa en una economía de libre mercado vs. la economía centralizada de Apple, algo que los comerciantes, ciertamente, odiarían. Esta “arquitectura abierta”, sin embargo, tenía un costo en la seguridad.

Más allá de los distintos abordajes, iOS podía presumir de su mayor seguridad… además de su fino diseño y, para muchos, una mejor interfaz gráfica de usuario (GUI). Otro reclamo contra los problemas de seguridad de Android llega por el lado de que, dada la posibilidad de que una amplia variedad de operadores y fabricantes de dispositivos distribuyan versiones diferentes del SO de Android, cuando se lanzan parches de seguridad críticos son estos fabricantes, y no Google, los que deciden cuándo distribuir las actualizaciones para el sistema. En cambio, Apple es quien se encarga de administrar los parches de seguridad y decidir cuándo los usuarios deberían actualizar el software de iOS.

El libre mercado contraataca

Dicen que el tiempo todo lo cura. Con el debut del iPhone e iOS en 2007/2008, el abordaje de Apple sobre su SO mostró la posibilidad un sistema cerrado durable. Sin embargo, las constantes medidas tomadas por Android en relación a la seguridad desde que se convirtió en el SO más vendido en 2011, junto a su arquitectura abierta, han dado lugar a una amplia variedad de apps, incluyendo las de seguridad, y a un mayor flujo de desarrolladores e investigadores trabajando sobre su seguridad. Hoy, ocho años más tarde, el SO de Android ha alcanzado una nueva cima en su escalada por la supremacía en seguridad.

Si bien decir de forma oficial que Android es más seguro o que sus usuarios son más conscientes de las amenazas de seguridad que los de iOS puede ser excesivo, estamos en condiciones de decir que los usuarios más experimentados ya se han familiarizado con los varios reportes de apps maliciosas, ataques, y otras amenazas que apuntan a sus sistemas preferidos. Dejemos que la parábola acabe allí. Pero, sigue este blog o ingresa a WeLiveSecurity para obtener actualizaciones sobre las amenazas que apuntan a sistemas operativos móviles y mira cómo Apple afronta su turno bajo el foco de la seguridad.  

¿Y el destino de Billy Ray Valentine, el héroe casual de Trading Places? Una vez que descubre, junto al otro protagonista, la treta en su contra, ponen una trampa – o honeypot, en términos cibernéticos – que deja en quiebra a los dueños de la agencia.