Enlaces accesibilidad

La seguridad de los datos enviados a través de redes Wi-Fi y dispositivos Android, en entredicho

  • La programación deficiente puede poner en riesgo los datos personales
  • Basta crear un punto Wi-Fi y dejar que la gente se conecte para capturarlos
  • Hay gran confusión respecto a si las aplicaciones usan canales seguros o no

Por

Investigadores del Grupo de Computación Distribuida y Seguridad de la Universidad Leibniz en Hannover y del Departamento de Matemáticas e Informática de la Universidad Philipps de Marburgo han publicado un reciente trabajo sobre la seguridad de los dispositivos Android (en pdf) en el que se analiza de qué forma peligra la privacidad de muchos datos -incluyendo contraseñas- bajo ciertas situaciones relativamente comunes.

El principal problema -como suele suceder en cuestiones de seguridad- es que aunque la teoría dice una cosa la forma en que se llevan a cabo muchos proyectos en la práctica resulta muy diferente. En concreto los problemas de seguridad surgen debido a la defectuosa implementación de los protocolos de seguridad en algunas aplicaciones (apps), algo que unido a la confusión sobre las de indicaciones al respecto en el software (por ejemplo el significado de los iconos y mensajes de "navegación segura" en el navegador web) pueden "redondear" el problema.

En el trabajo los investigadores explican que analizaron el comportamiento de unas 13.500 aplicaciones distintas disponibles en Google Play, la tienda de aplicaciones de Google y donde los desarrolladores suben sus apps para distribuir a sus clientes y usuarios. Lo que hicieron fue conectar un móvil con Android 4.0 al Wi-Fi del laboratorio, simulando ser un acceso normal y corriente, como el que se podría encontrar en una cafetería, un hotel o en un vecindario. Pero había algo más: las comunicaciones estaban interceptadas con un software especial.

Ataque del intermediario

En seguridad este tipo de "ataques" se conocen como ataque del intermediario y consiste básicamente en interponerse entre el emisor y el receptor de una comunicación copiando todo lo que se transmite -como si una persona trajera y llevara notas secretas en papel pero guardara una fotocopia de cada envío-. Este sistema les permitió capturar todo el tráfico entre el dispositivo móvil Android y los servidores de Internet y analizarlo en busca de alguna debilidad.

De las 13.500 aplicaciones analizadas cerca del 8 %, -unas mil de ellas- resultaron tener una seguridad débil debido a que no seguían correctamente los protocolos de seguridad, incluyendo que ignoraban completamente los protocolos de seguridad, fallaban en la comprobación de los certificados digitales u otras razones. Tras un examen manual, unas cien de las mil resultaron ser vulnerables y tras lanzar sobre ellas software para desproteger los datos se consiguió romper la seguridad de 41 de ellas.

El problema es que muchas algunas de las aplicaciones examinadas contaban ya con millones de usuarios registrados y cierta popularidad en el mercado. Los investigadores consiguieron credenciales tales como cuentas y contraseñas (de buzones de correo, redes sociales y otros servicios); números de cuentas de bancos e incluso engañar a las aplicaciones para "confiar" en el contenido de ciertos servidores, lo que abriría la puerta potencialmente a la creación de software malicioso que pudiera ser dado por bueno o al envío de instrucciones que manipulen el software ya instalado.

Aplicaciones mal diseñadas

En los navegadores web convencionales existen problemas similares, pero la gente se ha acostumbrado a no confiar en cualquier página web y menos en las que no muestran el "candado" que simboliza los protocolos seguros HTTPS/SSL/TTS. En algunas aplicaciones Android, en cambio, los investigadores apuntan a que no hay información visual que indique a los usuarios que está utilizando una comunicación segura (o que no)  del mismo modo que nada impide a una aplicación mostrar información engañosa al respecto. Incluso encontraron aplicaciones –desde las relativamente inocentes hasta las de entidades bancarias– que en las preferencias permitían activar seguridad del tipo SSL, pero en realidad no usaban ese canal seguro por diversas razones.

Todo lo anterior se refiere a las aplicaciones Android que los usuarios pueden descargar, pero los investigadores se preguntaron qué sucedería con los accesos a través del navegador web incorporado, que incluye mensajes respecto a la seguridad y los certificados cuando se llega a este tipo de páginas. Realizaron una encuesta entre varios cientos de personas y comprobaron que más de la mitad de las personas pensaban que estaban en una conexión segura cuando en realidad no lo estaban. Ignorando la forma en que estaban conectados, algunos dieron algunas razones tan peregrinas como que se fiaban de su proveedor telefónico o de la marca de su teléfono. Una falsa sensación de seguridad que puede causar problemas a los usuarios menos expertos.

El escenario de estos experimentos era muy claro: un dispositivo móvil Android y una conexión Wi-Fi. El problema son las aplicaciones mal diseñada, la falta de información y el desconocimiento.

Cómo cuidar los datos

¿Algunos consejos para evitar el robo de los datos personales? Se puede pensar por un lado en utilizar únicamente redes Wi-Fi en las que se pueda confiar, no cualquier Wi-Fi abierta que aparezca de repente por ahí. Respecto a las aplicaciones, no descargar cualquier cosa sino apps con cierta reputación. Y si las aplicaciones sospechosas no tienen indicadores sobre la seguridad de las comunicaciones -o aun teniéndolas- mejor desconfiar.

Al usar el navegador web conviene fijarse en el prefijo de las direcciones (que debería ser HTTPS, terminado en S) y leer cuidadosamente los mensajes de seguridad sobre los certificados de las webs que se visitan.

Como consejo genérico, es mejor intentar usar lo menos posible las cuentas importantes en sitios donde no se tenga una seguridad clara de que no va a haber problemas. Y como consejo general, no usar nunca las mismas contraseñas en servicios distintos: es más incómodo pero infinitamente más seguro. Si se siguen estos pasos es difícil que se produzcan problemas importantes -incluso aunque, como en este caso, estén estos investigadores de "intermediarios" acechando para robar los datos personales.