Android, la seguridad de sus apps su talón de Aquiles

Hace pocos días se daba el cambio de poderes en el universo de los Sistemas Operativos. Por primera vez Android superaba a Windows como el más usado en el mundo y se podía hablar de la consolidación de la era post-PC de la que hablaba hace más de seis años Steve Jobs. Mientras que las cifras de ventas de ordenadores baja desde hace tiempo (su tasa de renovación es menor) la de los dispositivos móviles sigue sin parar de crecer gracias a los países emergentes.

Cada vez son más los que apuestan por las tabletas como sustituto del portátil -para navegar, ver contenidos multimedia, visitar las redes sociales, comprar, etc. son mucho más que suficientes- o por phablets que nos permitan ser independientes incluso de las anteriores.

Sin embargo, con los equipos móviles en el punto de mira por temas tan complejos como la privacidad y la seguridad, el afianzamiento de la plataforma de Google como principal sistema operativo ¿debe preocuparnos?

Un reciente estudio de un equipo de investigadores del Instituto Politécnico y Universidad Estatal de Virginia ha detectado miles de aplicaciones dentro de Play Store que, si bien por separado son seguras, pueden ser utilizadas por otras para extraer información crítica de los equipos que trabajen con Android.

De esta forma, se han creado “parejas” de aplicaciones”. Las primeras están diseñadas para lanzar ataques mientras que las segundas -sin intencionalidad por parte de sus programadores- permiten extraer información a las primeras y escalar en la jerarquía de privilegios del sistema operativo. Una brecha de seguridad en toda regla de la que no se tenía noticia pero que promete ser un quebradero de cabeza para la empresa de Mountain View y para miles de desarrolladores.

Los miembros del equipo de la Facultad de Computación desarrollaron una app llamada DIALDroid que permitió el estudio de la intercomunicación de más de 100.000 programas de la tienda de aplicaciones de Android así como de más de 10.000 con malware externas. La conclusión es preocupante: miles de ellas ofrecen una pasarela de permisos y de comunicación que pone en jaque la privacidad del dispositivo.

Aplicaciones tan inofensivas como aquellas que nos permiten descargar tonos de llamada o “jugar” con el flash de la cámara y que quedan al descubierto cuando entran en contacto en el dispositivo con otras que tienen acceso a la agenda o geolocalización del equipo. Según el estudio de Virginia Tech las más peligrosas que analizaron solían ser aquellas que “eran menos útiles”.

Las más populares no aparecen como un riesgo pues suelen estar desarrolladas por programadores con más experiencia y más medios, sin embargo, otras como “Droid 2 Cad, PPGpS Lite o Prayer Times: Azan and Qiblia” están involucradas a pesar de contar con entre 10.000 y 500.000 descargas. Con algo tan sencillo como controlar mejor la emisión de permisos y aplicar restricciones severas cuando se les demanda información por parte de otra app se podría solucionar el problema.

Para Gang Wang, parte del equipo de investigación y profesor del Departamento de Ciencias de la Computación, el factor clave de todo esto es Google: “creemos que la plataforma está en la mejor posición para detectar aplicaciones sospechosas ya que tienen una visión centralizada de todas ellas”. Además, la empresa, “puede actualizar su sistema operativo para restringir los permisos y la comunicación entre aplicaciones sin que se limite la colaboración entre las mismas”.

No obstante, como hemos dicho antes, Google se encuentra con dos grandes problemas en Android: en primer lugar, el usuario puede instalar cualquier aplicación en su dispositivo aunque esta no se encuentre dentro de la Play Store. Por otro lado, las actualizaciones dependen de los fabricantes y de las operadoras, motivo por el cual muchos millones de dispositivos en el mundo se actualizan tarde o nunca se llegan a poner al día.

Solo los Android “puros” y los Samsung que no están sujetos a operadoras reciben actualizaciones de seguridad mensualmente. Esto coloca en jaque a esta nueva plataforma líder y parece obligar a la industria a crear una regulación que haga que todos los softwares deban ser más seguros.

Big Data, ¿el mayor enemigo del crimen?

Mapa del crimen en Philadelphia

El procesamiento de grandes volúmenes de datos vinculados al comportamiento humano (por ejemplo, como consumidor) se ha convertido en una importante herramienta para intentar predecir el futuro. Esto permite lanzar productos, servicios, campañas políticas, etc. con una tasa de acierto mayor que la que tenían los creativos y publicistas que “solo se guiaban por su instinto”.

Desde hace tiempo este mismo sistema se ha ido utilizando para intentar prever el crimen. ¿Es posible saber cuándo, cómo o quién cometerá un delito con antelación? Sin llegar a sistemas tan futuristas como el de Minority Report, se ha comprobado que el empleo del Big Data permite a la policía estudiar palmo a palmo el comportamiento delictivo de una ciudad para enviar patrullas a las zonas conflictivas -en función de la franja horaria, el día de la semana, etc.- para disuadir a los criminales de sus fechorías.

La policía de Memphis, Estados Unidos, afirma que han conseguido rebajar los delitos graves un 30% y los actos violentos otro 15% desde que emplean estos sistemas. Las cifras se repiten en Richmond, Virginia, con una caída del 30% de los homicidios en los últimos doce meses. ¿Su denominador común? Un sistema de gestión y análisis de datos desarrollado por IBM.

¿Qué ventajas tiene esto? Un sistema de una start up denominado PredPol permitió que en la pequeña localidad de Reading disminuyeran los robos un 23% a pesar de que el cuerpo contase con menos efectivos. El secreto reside en poder analizar la situación en franjas de tiempo muy pequeñas -nunca llevan las predicciones más allá de las 12 horas- y crean un minúsculo tablero sobre la ciudad: se estudia el municipio en cuadrículas de 150×150 metros.

Factores como el clima, la época del año y otros sociales (si es día de pagos, ya que en EEUU muchas empresas siguen utilizando cheques). Sin embargo, cuantas más variables son capaces de introducirse en el sistema -como nombres de delincuentes habituales-, tipo de delitos y otras variables de actualidad, más fácil es hacer el seguimiento predictivo.

Esto ayuda no solo a las zonas con mayor criminalidad, sino que permite una gestión más eficiente de los recursos de las fuerzas de seguridad además de crear un nuevo perfil de agente: aquel que debe tener conocimientos estadísticos y matemáticos para saber gestionar una herramienta de última generación pensada en hacer las calles más seguras.

Una de las pegas que se han visto superadas sobre este tipo de sistemas es si realmente minimizan el crimen en una determinada zona o si tan solo trasladan los actos delictivos de una zona a otra. La respuesta es sencilla: el software se ajusta automáticamente y analiza toda una región no solo un barrio de una ciudad. Está continuamente calibrando el historial de crímenes y adecuando la temporalidad para que los esfuerzos se centren donde es más probable que ocurra un delito.

Este sistema que puede parecer tan lejano -y exclusivo de sociedades como la estadounidense- también tiene su aplicación a este lado del Atlántico. La Policía Nacional española ya ha puesto en marcha un cuerpo pensado en analizar perfiles geográficos de delitos para convertir las áreas conflictivas en zonas más seguras.

¿Llegaremos algún día al perfil del criminal (potencial o real) persona a persona? Requeriría traspasar una línea roja sobre la privacidad y protección de datos. Además, con las técnicas actuales requeriría un enorme esfuerzo en personal y tiempo (ergo en dinero) y es probable que se necesitara una sociedad más madura en cuanto a la integración racial y de determinados grupos étnicos.

Wattio, gestión inteligente de Donostia al MWC

 

Wattio es, probablemente, uno de los mejores ejemplos de que para encontrar la revolución 3.0, esa que convierte nuestros hogares en lugares inteligentes, sostenibles y respetuosos con el medio, no es necesario irse a la costa del Pacífico, a un laboratorio de alta tecnología en Asia o a un paraje idílico en el Norte de Europa.

La empresa donostiarra presentó hace solo unos días en el Mobile World Congress de Barcelona sus nuevos avances en hogar inteligente aplicados al sector energético y de la seguridad gracias a los proyectos que ha desarrollado con Gas Natural Fenosa y la aseguradora Generali.

En palabras de Patxi Echeveste, fundador de la empresa, en la presentación: “con los productos y servicios del hogar conectado, las aseguradoras, compañías energéticas y las operadoras de telefonía modifican su modelo de negocio con sus clientes, al establecer una relación más directa y transparente”.

Los nuevos sistemas permiten que el cliente pueda tener información sobre el consumo de energía en tiempo real, así como los niveles de CO2, lo que les permite conocer su huella ambiental y reducir su factura. La empresa ha trabajado bajo la máxima de que “la energía más limpia es la que no se consume”.

El proyecto queda consolidado si atendemos al último Índice de Eficiencia Energética en el Hogar llevado a cabo por la Fundación Gas Natural Fenosa, que concluye que las viviendas en España tienen un potencial de ahorro del 27,4%. Es por ello que las soluciones ofrecidas por el Internet de las Cosas (IoT) resultan cruciales ya que permiten tener el hogar y su consumo bajo control y ahorrar consumo energético -y factura-.

Además, el sistema implementa un sistema de alarma anti-intrusión en una misma aplicación móvil lo que hace que se simplifique el uso de los sistemas inteligentes de la casa. Esa aplicación forma parte de un equipo de control del hogar al que se está conectado al 100% y permite una personalización conforme a las necesidades de cada usuario. Desde encender la calefacción hasta apagar una lámpara y ver en tiempo real el consumo, recibir alertas de aperturas de puertas y movimiento y acceder a grabaciones de vídeo para saber si alguien ha accedido al domicilio.

Su presentación en el stand organizado por la Secretaría de Estado para la Sociedad de la Informaicón y la Agenda Digital fue uno de los más aplaudidos y tuvo un gran éxito ya que contó con la colaboración de más de 60 empresas que pudieron ampliar sus contactos y demostraron la complementariedad de las nuevas tecnologías a la hora de llevar la revolución digital a nuestro hogar.

Wattio, centrada desde su nacimiento en convertir casa convencionales en hogares inteligentes, ha tenido a lo largo del último año varios acuerdos con compañías internacionales como Esprinet, un gigante con más de 600 empresas en su cartera y más de 40.000 clientes en Italia. En definitiva, un ejemplo de cómo las buenas ideas, por medio de la tecnología, puede llegar a cualquier rincón del planeta sea cual sea su origen.

Ciberseguridad, mucho más que un juego

Sin duda, la ciberseguridad es uno de los temas más importantes en la Agenda Digital para este 2017. Más allá de grandes titulares sobre hackers, robo de cuentas a empresas y a políticos o posibles ataques cibernéticos equivalentes en daño a los de las armas militares convencionales, la implementación de sistemas de seguridad digital en la sociedad se antoja como una necesidad a corto plazo y como una obligación a medio y largo.

Es por ello que las empresas (grandes o pequeñas) también tienen que iniciar esta segunda reconversión digital para blindar su seguridad en los nuevos entornos 2.0. En este marco, el Instituto Nacional de Ciberseguridad (Incibe), organismo dependiente del Ministerio de Energía, Turismo y Agenda Digital, ha lanzado un serious game dirigido a PYMES y microempresas con el fin de animar a este sector económico -principal motor del mercado estatal- a que adopten medidas de ciberseguridad.

El título, llamado “Hackend-Se acabó el juego“, busca que los empresarios puedan conocer de una forma sencilla y amena las vulnerabilidades que ponen en riesgo sus compañías así como posibles soluciones para combatirlas. El proyecto obtuvo el premio al mejor serious game del año en el pasado F&S de Bilbao. Según sus desarrolladores se centra en mostrar la importancia de la ciberseguridad como una herramienta que no solo protege sino que sirve para crear confianza en los clientes, proveedores, trabajadores y colaboradores.

Max, empresario y detective

La aventura cuenta la historia de Max, un empresario decidido a relanzar su negocio a través de la transformación digital y la adaptación de nuevas tecnologías. Max se convierte en un detective que identifica los puntos vulnerables de su empresa para implementar medidas de seguridad en su empresa para mejorar la protección y detener al responsable de los incidentes de seguridad ocurridos durante el juego.

En sus nueve misiones aconsejará sobre la importancia de pequeños gestos que ponen en riesgo los proyectos de su empresa: desde conectarse a una WiFi abierta hasta no poner contraseña a determinados documentos o dejar una sesión abierta en su ordenador. Los riesgos básicos son los mismos sin importar si se trata de una microempresa o una gran multinacional.

Como no podía ser de otra forma, el juego está disponible de forma gratuita en la App Store, Mac App Store, Windows Store, Facebook y Amazon App Store. Las demás plataformas y sistemas podrán utilizarlo gracias a su versión web.

Un nuevo ejemplo de cómo tecnologías de la información, juegos y formación pueden y deben ir de la mano para facilitar el desarrollo digital mediante herramientas tan eficaces como la gamificación.

Noticia recomendada por Binary Soul

VISA, ¿pueden hackear tu tarjeta en solo unos segundos?

Tesco es el tercer detallista mundial y el primer supermercado del mundo. Su posición en las Islas Británicas es tal que, según un estudio llevado a cabo hace una década, una de cada siete libras gastadas en Reino Unido en 2007 se hacía en un establecimiento de la marca. De hecho, su presencia en algunas ciudades es tal que se las conoce en el sector como Tesco Towns, puesto que más de la mitad del gasto en comestibles se hace en sus supermercados.

Pero aunque sea conocido como un gigante de la distribución es una empresa sobradamente diversificada: desde su tienda en línea en ¡1994! hasta la cadena de restaurantes Giraffe, una empresa de telecomunicaciones en joint venture con O2 pasando por la venta de productos culturales y una entidad financiera que proporciona tarjetas, cuentas, créditos, etc.

Su sólida expansión geográfica por Europa (sobre todo central) y Asia, la han convertido en una empresa de referencia para millones de consumidores en todo el planeta que confían en esta firma que se acerca al siglo de vida.

Sin embargo, su tamaño también la convierte en una diana muy deseada para aquellos que quieren hacer dinero fácil a su costa y a la de sus clientes. De hecho, el mes pasado, la ciberdelincuencia le costo 2,5 millones de libras. ¿El motivo? Fallos en el sistema de pagos de las tarjetas VISA que permiten descubrir el número de las tarjetas de crédito y débito, la fecha de caducidad y el código de seguridad en tiempo récord: 6 segundos.

El método empleado, según ha hecho público un grupo de expertos de la Universidad de Newcastle es el Distributed Guessing Attack en el que la plataforma de seguridad de VISA no detectaba que los criminales simplemente hacían multitud de intentos hasta dar con las códigos correctos de identificación y seguridad de cada tarjeta. Cuando combinaban todos los aciertos se abría la puerta para realizar compras a cargo de las cuentas de terceros.

Como se puede comprobar en la imagen que abre el post, los hackers aprovechaban que empleaban webs que pedían datos de autenticación de la tarjeta distintos con lo que podían conseguir más fácilmente cruzar los errores y aciertos para conseguir el acceso a la tarjeta.

Según Mohammed Ali, uno de los responsables de la Universidad de Newcastle encargado de analizar el fraude, la mezcla de “un número ilimitado de intentos y errores” sumado a “la solicitud de diferentes datos” permitían conseguir el acceso con una enorme facilidad ya que cada campo se puede generar consecutivamente tarjeta tras tarjeta y web tras web para conseguir el robo.

El estudio va más allá (y pone en jaque la seguridad que otorga VISA a sus plataformas de pago) y es que, con solo los seis primeros dígitos de una tarjeta de crédito, los que se encargan de reflejar la entidad bancaria y el tipo de tarjeta, un hacker puede conseguir en solo unos segundos los otros tres bloques de información esencial para hacer una compra online.

Según la multinacional americana el estudio no es válido ya que no tiene en cuenta “las múltiples capas de prevención de fraude que existen en los sistemas de pago en línea, cada una de las cuales debe ser validada para hacer una transacción”. Por si fuera poco, consideran que tanto los comercios como los emisores deben tomar medidas para evitar ataques por fuerza bruta como estos. ¿Es hora de dar un salto en los sistemas de seguridad de pagos virtuales?