Android, la seguridad de sus apps su talón de Aquiles

Hace pocos días se daba el cambio de poderes en el universo de los Sistemas Operativos. Por primera vez Android superaba a Windows como el más usado en el mundo y se podía hablar de la consolidación de la era post-PC de la que hablaba hace más de seis años Steve Jobs. Mientras que las cifras de ventas de ordenadores baja desde hace tiempo (su tasa de renovación es menor) la de los dispositivos móviles sigue sin parar de crecer gracias a los países emergentes.

Cada vez son más los que apuestan por las tabletas como sustituto del portátil -para navegar, ver contenidos multimedia, visitar las redes sociales, comprar, etc. son mucho más que suficientes- o por phablets que nos permitan ser independientes incluso de las anteriores.

Sin embargo, con los equipos móviles en el punto de mira por temas tan complejos como la privacidad y la seguridad, el afianzamiento de la plataforma de Google como principal sistema operativo ¿debe preocuparnos?

Un reciente estudio de un equipo de investigadores del Instituto Politécnico y Universidad Estatal de Virginia ha detectado miles de aplicaciones dentro de Play Store que, si bien por separado son seguras, pueden ser utilizadas por otras para extraer información crítica de los equipos que trabajen con Android.

De esta forma, se han creado “parejas” de aplicaciones”. Las primeras están diseñadas para lanzar ataques mientras que las segundas -sin intencionalidad por parte de sus programadores- permiten extraer información a las primeras y escalar en la jerarquía de privilegios del sistema operativo. Una brecha de seguridad en toda regla de la que no se tenía noticia pero que promete ser un quebradero de cabeza para la empresa de Mountain View y para miles de desarrolladores.

Los miembros del equipo de la Facultad de Computación desarrollaron una app llamada DIALDroid que permitió el estudio de la intercomunicación de más de 100.000 programas de la tienda de aplicaciones de Android así como de más de 10.000 con malware externas. La conclusión es preocupante: miles de ellas ofrecen una pasarela de permisos y de comunicación que pone en jaque la privacidad del dispositivo.

Aplicaciones tan inofensivas como aquellas que nos permiten descargar tonos de llamada o “jugar” con el flash de la cámara y que quedan al descubierto cuando entran en contacto en el dispositivo con otras que tienen acceso a la agenda o geolocalización del equipo. Según el estudio de Virginia Tech las más peligrosas que analizaron solían ser aquellas que “eran menos útiles”.

Las más populares no aparecen como un riesgo pues suelen estar desarrolladas por programadores con más experiencia y más medios, sin embargo, otras como “Droid 2 Cad, PPGpS Lite o Prayer Times: Azan and Qiblia” están involucradas a pesar de contar con entre 10.000 y 500.000 descargas. Con algo tan sencillo como controlar mejor la emisión de permisos y aplicar restricciones severas cuando se les demanda información por parte de otra app se podría solucionar el problema.

Para Gang Wang, parte del equipo de investigación y profesor del Departamento de Ciencias de la Computación, el factor clave de todo esto es Google: “creemos que la plataforma está en la mejor posición para detectar aplicaciones sospechosas ya que tienen una visión centralizada de todas ellas”. Además, la empresa, “puede actualizar su sistema operativo para restringir los permisos y la comunicación entre aplicaciones sin que se limite la colaboración entre las mismas”.

No obstante, como hemos dicho antes, Google se encuentra con dos grandes problemas en Android: en primer lugar, el usuario puede instalar cualquier aplicación en su dispositivo aunque esta no se encuentre dentro de la Play Store. Por otro lado, las actualizaciones dependen de los fabricantes y de las operadoras, motivo por el cual muchos millones de dispositivos en el mundo se actualizan tarde o nunca se llegan a poner al día.

Solo los Android “puros” y los Samsung que no están sujetos a operadoras reciben actualizaciones de seguridad mensualmente. Esto coloca en jaque a esta nueva plataforma líder y parece obligar a la industria a crear una regulación que haga que todos los softwares deban ser más seguros.

Hangouts, el enésimo proyecto fallido de Google

Google es, sin duda, una empresa diferente a todas las demás. Tiene un enorme potencial innovador y ningún miedo al sistema de prueba y error a la hora de poner en marcha nuevos servicios y plataformas. Eso le ha permitido dominar internet y otros mercados pero también le ha provocado sonoros fracasos.

Los sectores que más se le resisten, con mucha diferencia, son los de las redes sociales y la mensajería instantánea. Así, desde que intentó sin suerte que Talk fuera una aplicación preinstalada en todos los equipos Android, ha ido dando bandazos viendo como WhatsApp, Facebook o Telegram se han impuesto a sus servicios sin problema.

Ahora, Hangouts, su “penúltimo” servicio de mensajería parece condenado a desaparecer. A pesar de sus interesantes opciones -aprendieron bastante de Talk y quisieron crear algo que fuera mucho más adelantado a sus rivales- como las llamadas y videollamadas varios meses antes que su competencia, que la cuenta de usuario estuviera ligada a la cuenta de correo y no el teléfono hizo que muchas personas desconfiaran.

Google, incluso, integró los SMS en la aplicación. La idea era una única fuente de comunicación para el usuario pero, por desgracia, solo consiguió un caos en el que muchos nos sabían si se hablaba a través de internet o por el sistema clásico de principios de siglo.

La falta de apoyo por parte de los usuarios hizo que en el último Google I/O los de Mountain View lanzaran dos nuevas apps: Allo para la mensajería y Duo para las llamadas. Todo indica que debería estar integradas, sin embargo, la empresa del buscador triplicó las opciones y lo complicó todo aún más.

Ninguna de las dos ha tenido la repercusión que se esperaba de ellas. No vienen por defecto en los nuevos Android y no están destacadas en Google Play. Pero parece que, aún así, están abocadas a ser el futuro de la mensajería de Google. Porque Hangouts ya no soporta SMS y porque en el sector empresarial se ha dividido en Meet para videoconferencias y Chat para mensajería.

En definitiva, una herramienta que solo parece interesante para la filial corporativa G Suite de Alphabet y que debería dejar paso en un futuro cercano a Allo y Duo. El problema, sin embargo, es que con un mercado maduro en el que los usuarios parecen aplaudir la integración de servicios (Facebook Messenger, WhatsApp, iMessage y compañía), los continuos cambios de nombre y funcionalidades de cada app solo sirven para perder potencial frente a competidores mucho más maduros.

La duda que nos surge es que si, finalmente, Allo y Duo acaban integrándose, todo el trabajo que han andado con Hangouts y que ahora inexplicablemente desmontan, volverá a repetirse. Lo más seguro es que sigan intentando repetir la estrategia de la empresa de Zuckerberg o de Apple aunque no sepan si atinar hacia una herramienta o una red social. Un negocio millonario está en juego.

Big Data, ¿el mayor enemigo del crimen?

Mapa del crimen en Philadelphia

El procesamiento de grandes volúmenes de datos vinculados al comportamiento humano (por ejemplo, como consumidor) se ha convertido en una importante herramienta para intentar predecir el futuro. Esto permite lanzar productos, servicios, campañas políticas, etc. con una tasa de acierto mayor que la que tenían los creativos y publicistas que “solo se guiaban por su instinto”.

Desde hace tiempo este mismo sistema se ha ido utilizando para intentar prever el crimen. ¿Es posible saber cuándo, cómo o quién cometerá un delito con antelación? Sin llegar a sistemas tan futuristas como el de Minority Report, se ha comprobado que el empleo del Big Data permite a la policía estudiar palmo a palmo el comportamiento delictivo de una ciudad para enviar patrullas a las zonas conflictivas -en función de la franja horaria, el día de la semana, etc.- para disuadir a los criminales de sus fechorías.

La policía de Memphis, Estados Unidos, afirma que han conseguido rebajar los delitos graves un 30% y los actos violentos otro 15% desde que emplean estos sistemas. Las cifras se repiten en Richmond, Virginia, con una caída del 30% de los homicidios en los últimos doce meses. ¿Su denominador común? Un sistema de gestión y análisis de datos desarrollado por IBM.

¿Qué ventajas tiene esto? Un sistema de una start up denominado PredPol permitió que en la pequeña localidad de Reading disminuyeran los robos un 23% a pesar de que el cuerpo contase con menos efectivos. El secreto reside en poder analizar la situación en franjas de tiempo muy pequeñas -nunca llevan las predicciones más allá de las 12 horas- y crean un minúsculo tablero sobre la ciudad: se estudia el municipio en cuadrículas de 150×150 metros.

Factores como el clima, la época del año y otros sociales (si es día de pagos, ya que en EEUU muchas empresas siguen utilizando cheques). Sin embargo, cuantas más variables son capaces de introducirse en el sistema -como nombres de delincuentes habituales-, tipo de delitos y otras variables de actualidad, más fácil es hacer el seguimiento predictivo.

Esto ayuda no solo a las zonas con mayor criminalidad, sino que permite una gestión más eficiente de los recursos de las fuerzas de seguridad además de crear un nuevo perfil de agente: aquel que debe tener conocimientos estadísticos y matemáticos para saber gestionar una herramienta de última generación pensada en hacer las calles más seguras.

Una de las pegas que se han visto superadas sobre este tipo de sistemas es si realmente minimizan el crimen en una determinada zona o si tan solo trasladan los actos delictivos de una zona a otra. La respuesta es sencilla: el software se ajusta automáticamente y analiza toda una región no solo un barrio de una ciudad. Está continuamente calibrando el historial de crímenes y adecuando la temporalidad para que los esfuerzos se centren donde es más probable que ocurra un delito.

Este sistema que puede parecer tan lejano -y exclusivo de sociedades como la estadounidense- también tiene su aplicación a este lado del Atlántico. La Policía Nacional española ya ha puesto en marcha un cuerpo pensado en analizar perfiles geográficos de delitos para convertir las áreas conflictivas en zonas más seguras.

¿Llegaremos algún día al perfil del criminal (potencial o real) persona a persona? Requeriría traspasar una línea roja sobre la privacidad y protección de datos. Además, con las técnicas actuales requeriría un enorme esfuerzo en personal y tiempo (ergo en dinero) y es probable que se necesitara una sociedad más madura en cuanto a la integración racial y de determinados grupos étnicos.

Darknet, ¿por qué es tan difícil atacarla?

Es muy habitual la metáfora en la que internet se representa como un iceberg: el usuario medio tan solo conoce la punta. Una porción menor al 10% en la que se encuentra la parte indexada de la red. Aquello a lo que Google, Yahoo!, Bing y compañía llegan. Bajo el mar se encuentra lo que muchos denominan Deep Web. El resto del iceberg, el no comercial y no indexado. Y más abajo aún de esa enorme masa de datos se encuentra Darknet.

Podríamos definirlo como un conjunto de tecnologías y redes superpuestas que tienen como fin proteger el anonimato de sus usuarios. El peaje por esta oscuridad es que puede que tengan que conectarse a un servidor privado o cumplir unos requisitos específicos como tener instalado un software determinado.

De facto esto hace que los buscadores “tradicionales” no puedan rastrear sus contenidos y, además, tanto el origen como el destino de los datos permanece oculto. Todo el proceso de la red es invisible. Esto hace que sea el emplazamiento perfecto para contenidos de seguridad, datos de administraciones, etc. Pero también permite que se lleven a cabo en este espacio operaciones ilícitas. En cualquier caso, todo atisbo de ciberataque es prácticamente inútil puesto que se trata de una zona de la red “impenetrable”.

¿Por qué? Al fin y al cabo, sobre el papel, si sabemos “dónde está” deberíamos poder atacarla -si así quisiéramos-. Un estudio publicado en la revista Physical Review E ha averiguado que Darknet es capaz de autoprotegerse y corregir por sí misma agresiones de forma espontánea. En él Manlio De Domenico y Alex Arenas, del Departamento de Ingeniería Informática y Matemáticas de la Universidad Rovira y Virgili y Tarragona concluyen que la clave está en su “particular topología más descentralizada que el resto de la red”.

Para poder constatar esto los autores de la investigación crearon un modelo que explica cómo se transmite la información en la Darknet y descubrieron que no emplea una distribución homogénea de conexiones sino que se va encriptando en distintas capas.

Una vez hecho esto simularon tres tipos de ataques: dirigidos contra un nodo en concreto; contra varios de forma aleatoria y otros diseñados para provocar una cascada de fallos y propagarse por la red (el modelo). El resultado es que concluyeron que para atacar Darknet es necesario atacar cuatro veces más sus nodos que los del resto de internet. Y esto tan solo provocaba ciertas perturbaciones. Además, su propia estructura permite solucionar de forma autónoma los problemas y neutralizar los fallos en cascada.

Esto hace que, a pesar de que se considere más ineficiente que la red superficial -la información emplea algoritmos criptográficos más complejos y va de nodo en nodo aleatoriamente en vez de directamente al destinatario- haya una pequeña base de fieles que hayan construido una zona libre informativa en la que están apartados del resto de la red. Con todo lo bueno y todo lo malo que esto trae.

Sorgina, de Euskadi al mundo (vía Steam)

¿Te gustaría que un juego vasco diera el salto internacional? Vota aquí por él en Steam Greenlight

El negocio de los videojuegos tiene muchas características que lo diferencia de otras industrias como la música o el cine (tiene un dependencia casi nula del star system) pero, como cualquier plataforma de ocio tiene en común con éstas su carácter universal y un potencial enorme para que un producto crezca sea cual sea su origen.

Además, su desarrollo de la mano de las tecnologías digitales y la explosión móvil ha hecho que haya aprovechado como ninguna otra industria las posibilidades de expansión de la era de internet y las redes sociales. El mejor ejemplo, sin duda, es Steam, una plataforma de distribución y gestión de derechos digitales, comunicaciones y servicios multijugador creada por Valve Corporation que permite poner al mismo nivel a los grandes estudios y a los desarrolladores independientes.

Con un fondo de más de 7.300 títulos y 142 millones de cuentas, ha llegado a tener picos de hasta 12,3 millones de jugadores de forma simultánea. En definitiva, un escaparate inmejorable en el que un producto modesto se puede convertir en un éxito (un título viable) gracias a las posibilidades de captar jugadores de cualquier rincón del planeta.

En ese contexto, el estudio bilbaíno Binary Soul ha lanzado su juego estrella, Sorginen Kondaira, en Steam Greenlight donde, en solo pocos días, ha conseguido buenos comentarios y un buen recibimiento por parte del público. ¿Sus atractivos? Como siempre, su forma de plasmar curiosidades sobre la mitología vasca y un formato sencillo perfecto para los pequeños y realmente adictivo para los no tan pequeños.

Por supuesto, estar en un escenario tan llamativo requiere por parte de los desarrolladores ciertos esfuerzos. Léase, el inglés es lingua franca casi obligatoria para llegar a mercados como el asiático. De esta forma, esta versión de las aventuras de la joven bruja pasa a llamarse Sorgina, A Tale of Witches con el fin de acceder a un mercado mucho mayor y dar eco a uno de los juegos vascos más interesantes de los últimos tiempos.

Binary Soul, además, se muestra ambicioso con el acceso a Steam Greenlight: de conseguirlo, podrían añadir nuevos escenarios así como pequeños enemigos a los que enfrentarse en cada nivel (los gaizkines) y una gran “batalla” contra Gaueko a modo de climax de la aventura. En definitiva, una forma de dar más profundidad a la historia y, sobre todo, de convertirlo en el punto de partida de una aventura prometedora.

Greenlight es, probablemente la opción más democrática del mundo de los videojuegos ya que cada usuario -darse de alta no lleva más de un par de minutos y no tiene coste alguno- permite votar para que se sumen al catálogo juegos que resultan interesantes para la audiencia. Merece la pena invertir ese tiempo y ese click para que propuestas como Sorgina: A Tale of Witches reciba apoyo y pueda dar el salto a Steam.

En cualquier caso, desde aquí os invitamos a votar a favor de la entrada de la bruja en la gran plataforma para gamers. Nos esperan unas cuantas sorpresas y, sobre todo, podremos ayudar a expandir la mitología y la cultura vasca por todo el mundo.