Actualizaciones de seguridad: otra razón por la que los iPhones son más seguros que los dispositivos Android
Les voy a revelar un pequeño secreto: la mayoría de los dispositivos Android nunca reciben actualizaciones de seguridad.
Al principio de esta semana supimos de una nueva vulnerabilidad llamada Stagefright Attack, la cual afecta al 95% de los dispositivos Android existentes, y lo único que se necesita para comprometer un dispositivo es un simple mensaje MMS.
Google no tiene manera de aplicarle los parches de seguridad a estos dispositivos, y a los fabricantes y compañías de teléfono simplemente no les importa.
El ecosistema Android se está convirtiendo en un maremágnum de dispositivos sin parches plagados de agujeros de seguridad. Todo lo contrario ocurre con los dispositivos iOS. Cuando se descubre una brecha de seguridad en iOS, Apple simplemente lanza una actualización de software para todos los dispositivos compatibles. En el aspecto de seguridad, hasta los teléfonos con Windows son mejores que los dispositivos Android.
Las actualizaciones de seguridad no están garantizadas en Android
La reciente vulnerabilidad conocida como Stagefright nos ha dado un buen caso de estudio, pues demuestra lo que sucede cuando alguien descubre un agujero de seguridad en Android.
Google crea parches y los aplica al código de la versión principal de AOSP (Android Open Source Project). Google entonces envía estos parches a los fabricantes de hardware, o sea, a Samsung, HTC, Sony, LG, Motorola, Lenovo, Xiaomi y otros. Y ahí termina la participación de Google. Google no puede obligar a los fabricantes a lanzar esos parches. Y la mayoría de las veces, ahí es donde termina el proceso.
Si un fabricante quiere aplicar estos parches, tiene que aplicarlos al código de Android de un dispositivo y luego construir una nueva versión de Android para ese dispositivo. Este es un proceso separado para cada teléfono y tableta individual que el fabricante todavía soporte. Luego, cada fabricante tiene que ponerse en contacto con la compañía telefónica que vendió los teléfonos y proporcionarles el parche específico para cada dispositivo individual. Y eso debe hacerse con cada operador alrededor del mundo.
La participación del fabricante termina ahí. Incluso si se vuelven locos y parchean cada dispositivo único que todavía estén soportando (lo cual es muy poco probable), no pueden obligar a las compañías telefónicas a aplicar dichos parches.
Las compañías telefónicas pueden elegir enviar o no la nueva actualización parcheada de Android para sus dispositivos. Si lo hacen, es muy probable de que sea después de un extenso período de pruebas. Pero incluso si la compañía de telefonía decide no perder tiempo, la mayoría de las veces sólo lanzan la actualización para unos pocos dispositivos de gama alta (flagships) y se olvidan de los dispositivos más antiguos.
En la práctica, la mayoría de dispositivos Android simplemente no reciben las actualizaciones de seguridad y permanecen vulnerables. Google no ha querido obligar a los fabricantes a cumplir con la entrega de actualizaciones de seguridad como les hace cumplir otras cosas. Los fabricantes crean muchísimos dispositivos diferentes y no quieren hacer el trabajo de actualizarlos todos. Las compañías telefónicas envían muchos dispositivos diferentes y no quieren tener que molestarse en probarlos todos cada vez que Google lance una actualización de seguridad.
En lugar de ofrecer las actualizaciones, lo que suelen hacer es aprovechar el problema para empujar a los clientes a comprar nuevos dispositivos. Dispositivos que vienen con las últimas versiones de Android, en los que el problema ya ha sido corregido. Y cuando aparece una nueva brecha de seguridad se vuelve a repetir todo el ciclo.
Google ha intentado evitar todo esto con Google Play Services, que actualiza automáticamente todos los dispositivos Android. Pero no puede hacer demasiado. Todos los dispositivos ejecutando Android 4.4.4 en adelante, actualmente tienen un navegador web lleno de agujeros de seguridad debido a que Google no puede actualizarlos. Y ahora, casi todos los dispositivos Android pueden verse comprometidos con un MMS.
Imaginen que pasaría si los ordenadores portátiles de Windows nunca recibieron las actualizaciones de seguridad de Microsoft. Si en su lugar, Microsoft emitiera parches a Dell, Lenovo, HP y otros fabricantes. El fabricante decidiría aplicarlos o no, y si elige parchear, ese parche tendría que ser aprobado por la tienda en que compraste el ordenador portátil antes de que te llegue a ti.
Por suerte no sucede así. Microsoft lanza un parche y se lo proporciona directamente a los usuarios de todos los modelos de PCs con Windows a través de Windows Update. Incluso el propio sistema operativo Chrome OS de Google funciona de esta manera, sin intervención de los fabricantes.
¿Por qué con Android no es así? No estamos totalmente seguros. De lo que si estamos seguros es que si quieres una garantía real de las actualizaciones de seguridad para tu smartphone, entonces tienes que comprar un iPhone. O incluso un dispositivo con Windows Phone.