La seguridad de nuestros dispositivos es un aspecto que se ha convertido en fundamental, y en el que los usuarios han ido prestando más atención con el paso de las amenazas. Ahora no sólo vale con tener actualizaciones de vez en cuando, es fundamental contar con actualizaciones regulares para resolver fallos de seguridad, y otros aspectos como la posibilidad de revisar el código también son bien valorados por los usuarios.

Los atacantes no dejan de buscar modos de entrar en los dispositivos de los usuarios con tal de conseguir su objetivo: ganar beneficios a costa de sus ataques informáticos. Y han encontrado un modo perfecto por el que hacer llegar las amenazas a los usuarios y que no habíamos visto hasta ahora: utilizar las operadoras que todos usamos para conectarnos al mundo.

Actualizaciones OTA con malware, lo último en Asia del Sur

El Android Security Report es el informe anual que Google publica como resumen de la seguridad de Android de todo el año: el último informe apareció en abril de 2016, y os contamos lo más importante de ese informe en El Androide Libre.

El caso, y lo que motiva este artículo, es un apartado del informe que pasó desapercibido para muchos cuando se publicó el informe, y que personalidades como ‘Swift on Security’ han recalcado: los ataques a través de las operadoras se han vuelto una realidad.

‘Ghost Push’ es el primer gran ataque que Google detecta con origen en una operadora

‘Ghost Push’, según describen los empleados de seguridad de Android, es una familia de amenazas potencialmente peligrosas (PHA por sus siglas en inglés) que se encarga de descargar otras amenazas en el dispositivo cuando está instalado. Lo curioso viene cuando, en el verano de 2015, los ingenieros observaron un aumento repentino y considerable en el número de amenazas pertenecientes a esta familia.

Este aumento de amenazas hizo que Google investigase el origen de todos los intentos de instalación, y lo que descubrieron se puede clasificar de escalofriante: la amenaza llegaba a los usuarios a través de actualizaciones OTA de las operadoras.

En Asia del Sur muchas operadoras contratan a una compañía externa para que proporcione la infraestructura de actualizaciones vía OTA, y esta compañía también proporciona un servicio de instalación de aplicaciones en el que los desarrolladores pueden pagar para instalar remotamente sus aplicaciones en los dispositivos de las operadoras clientes.

El descubrimiento de Google fue que ese gran número de intentos de instalar ‘Ghost Push’ en dispositivos con Android se debía a que la compañía de OTAs intentaba instalar esta aplicación miles de veces en un único dispositivo. Generó más de 3.5 billones (sí, billones) de intentos de instalación entre 40.000 aplicaciones con ‘Ghost Push’, y se instaló con éxito en un máximo de 4 millones de dispositivos, teniendo un mayor impacto en países como India e Indonesia.

Google, además de trabajar con la citada compañía de OTAs para mejorar sus protocolos de seguridad de cara a evitar otro ataque similar, se ha aliado con diferentes compañías en la región para limpiar los efectos de esta amenaza, y afirman haber reducido en más de un 90% los dispositivos afectados por ‘Ghost Push’ con sus esfuerzos.

Los servicios WAP, otro filón para los atacantes

Hasta aquí hemos hablado de países del sur de Asia, lugar que nos queda bastante lejos como usuarios de Android, aunque una de las amenazas que nos toca más de cerca son los atacantes que quieren contratar servicios premium de nuestra operadora sin nuestro consentimiento, algo conocido como ‘fraude WAP’ por los expertos de seguridad de Google. Ya hemos hablado de este tipo de amenazas en El Androide Libre, explicando cómo funcionan y qué hacen para hacernos perder dinero.

Google le ha dedicado un apartado en este informe de seguridad, comentando que SafetyNet, una de las redes de seguridad de la arquitectura de Google, está diseñado para identificar este tipo de amenazas, con el objetivo de eliminarlas de Google Play y bloquearlas en la verificación de aplicaciones.

Rusia y España son ejemplos notables de sitios donde las operadoras lo dejan demasiado sencillo, según Google

En este sentido podemos estar tranquilos porque este tipo de amenazas han sufrido un bajón importante a partir de la segunda mitad de 2015, aunque comentan que no se puede establecer un patrón porque sólo tenemos datos de este tipo de amenazas desde mediados de 2014. Sin embargo, la compañía norteamericana nos da un toque de atención: Rusia y España son ejemplos notables de sitios donde las operadoras dejan demasiado sencillo hacer cargos WAP desde las aplicaciones.

Nos hemos puesto en contacto con las principales operadoras de telefonía móvil en España para saber cúal era su postura ante las declaraciones de Google. Orange España nos ha aclarado que, desde el 22 de septiembre del año pasado, ha pasado a estar prohibida la contratación de servicios Premium a través de la web por normativa de la Comisión Nacional de los Mercados y la Competencia. También nos comentan que, antes de lanzar un servicio, Orange realiza un análisis de la empresa y el servicio que ofrecen al usuario, y que realizan trabajos de auditoría para comprobar que todo está en regla.

Las operadoras, el escalón débil de la seguridad

En realidad, y si lo analizamos fríamente, las operadoras son el eslabón más débil en la seguridad de los dispositivos Android. Podemos tratar de asegurar los dispositivos y su conexión, y vigilar las aplicaciones que se instalen, pero una amenaza enviada por el operador es muy difícil de esquivar; más cuando es muy común que los usuarios tengan dispositivos vendidos por las propias operadoras.

Al igual que avanza la seguridad en el sistema operativo y en los dispositivos físicos, la seguridad debe avanzar en las operadoras: colaborar con Google para adoptar sus medidas de seguridad, limitar la personalización de sus dispositivos de operadora y proteger mejor los dispositivos a su cargo con actualizaciones constantes.