Video: Conceptos de amenaza, riesgo y vulnerabilidad (URJCx) (Noviembre 2024)
A menos que haya comprado el teléfono o la tableta recientemente, hay muchas posibilidades de que su dispositivo Android esté ejecutando una versión desactualizada del sistema operativo, exponiéndolo a graves riesgos de seguridad.
Los últimos datos de Google muestran que el 44 por ciento de los usuarios de Android todavía están en "Gingerbread", o las versiones 2.3.3 a 2.3.7, que se lanzó hace dos años. Gingerbread tiene una serie de vulnerabilidades de seguridad que se han corregido en versiones posteriores. Los datos de desglose del sistema operativo se basan en estadísticas recopiladas de dispositivos Android que se conectan a Google Play del 22 de febrero al 4 de marzo.
Según Google, solo el 16 por ciento de los dispositivos Android ejecutan la versión 4.1 o 4.2 del sistema operativo móvil. También conocida como "Jelly Bean", la última versión de Android se lanzó hace seis meses, pero la mayoría de los usuarios de Android no han podido actualizar al nuevo sistema operativo porque el proceso está estrictamente controlado por los operadores.
"El problema con Android es que la mayoría de las personas tienen versiones antiguas en sus teléfonos", dijo Collin Mulliner, un investigador postdoctoral de la SECLAB en la Northeastern University en Boston, durante un panel de discusión sobre seguridad móvil en la Conferencia RSA del mes pasado.
En nuestra Cumbre SecurityWatch el otoño pasado, Dan Guido, CEO y cofundador de Trail of Bits, señaló que la mayoría de los dispositivos iOS se actualizan en cuestión de semanas, no días, desde que Apple lanzó el nuevo sistema operativo.
El retraso de los operadores de telefonía móvil en las actualizaciones
"Una de las cosas más importantes en la seguridad del software hoy en día es la capacidad de actualizar de forma remota", dijo Mulliner en el panel. Si bien los usuarios pueden iniciar la actualización del sistema operativo por su cuenta para iPhones y iPads, Android, los operadores móviles controlan todo el proceso para los dispositivos Android. Por el momento, su récord colectivo para enviar actualizaciones para los usuarios es absolutamente pésimo.
El problema es que la plataforma abierta de Android permite a los fabricantes y operadores de dispositivos ajustar el sistema operativo para agrupar software adicional y establecer ciertas configuraciones. Cada vez que Google lanza una actualización del sistema operativo, tanto el proveedor como los operadores tienen que probar los cambios en sus sistemas homebrew antes de lanzar la última versión. Los operadores afirman que este es un proceso lento, pero muchos expertos en seguridad creen que los operadores están priorizando las ganancias sobre la seguridad.
Algunos teléfonos simplemente no reciben la última actualización de Android porque están siendo eliminados o son modelos más antiguos, dijo Chris Soghoian, un investigador y activista de privacidad, en un evento diferente a principios de este año. Los fabricantes centran sus esfuerzos en los dispositivos actualmente en venta y en el mercado, y los operadores inalámbricos "solo se preocupan por usted una vez cada dos años" cuando el contrato del usuario está por renovarse, dijo Soghoian. Por ejemplo, un teléfono inteligente LG Android no recibió su primera actualización del sistema operativo durante 16 meses, y muchos teléfonos ni siquiera reciben esa primera actualización, y mucho menos una segunda.
Teniendo en cuenta que Google ha lanzado una nueva versión aproximadamente cada seis meses, es fácil ver qué tan rápido los usuarios pueden quedar desactualizados.
Un ataque drive-by, donde el usuario se ve comprometido solo por visitar un sitio malicioso, no es la mayor amenaza que enfrentan los usuarios de Android, dijo Charlie Miller, un investigador conocido por su trabajo en seguridad de iOS y Android, durante el mismo panel en La Conferencia RSA.
"La gente piensa que el tránsito es una gran amenaza, pero en la vida real simplemente no suceden", dijo Miller. Cuando se trata de Android, el mayor riesgo que enfrentan los usuarios es el hecho de que sus dispositivos ejecutan versiones desactualizadas y sin parches del sistema operativo, dijo. Las últimas versiones de Android tienen parches de seguridad y mitigaciones de exploits mejoradas.
Los ciberdelincuentes saben que los usuarios ejecutan sistemas operativos vulnerables. Todo lo que los delincuentes tienen que hacer es lanzar una aplicación maliciosa que explote una vulnerabilidad en una versión anterior de Android y golpear a una parte importante de la base de usuarios.
Como señaló Soghoian anteriormente, "no se necesita un día cero para atacar a la mayoría de los dispositivos Android si los consumidores ejecutan software de 13 meses".
Desafortunadamente, es probable que esta situación no cambie a menos que los operadores comiencen a tomarse en serio la seguridad o Google arrebata el control del proceso de actualización a los operadores. El dispositivo Android más seguro es el teléfono inteligente Nexus 4 de Google, ya que la compañía tiene control total sobre las actualizaciones.
