Los smartphones actuales tienen toda la velocidad, almacenamiento y conectividad de red de los ordenadores de sobremesa de hace unos años. Gracias a esto, son un tesoro lleno de información personal—y probablemente también sean el siguiente campo de batalla dentro de la seguridad informática.

Lo que hace que los smartphones resulten atractivos—su capacidad para ajustarlos a nuestro gusto mediante la descarga de aplicaciones—es lo que hace que sean peligrosos. Las aplicaciones hacen que el teléfono móvil sea un ordenador de verdad, y la App Store de Apple ha sido un punto importantísimo dentro del éxito del teléfono. Sin embargo las aplicaciones también hacen que los teléfonos sean el objetivo de los cibercriminales.

Apple sabe que bastarían sólo un par de aplicaciones maliciosas para ensuciar la reputación del iPhone. Por eso la App Store es una comunidad vallada. Las únicas aplicaciones que se listan son las que han sido aprobadas por Apple. Para obtener la aprobación, los desarrolladores deben crear una cuenta de desarrollador y pagar una cuota anual. Un equipo en Apple evalúa y aprueba cada versión de cada aplicación disponible. Según los informes, Apple rechaza alrededor del 10 por ciento de las aplicaciones enviadas a la App Store puesto que acabarían robando información personal, contienen “materiales inapropiados,” o están diseñadas para ayudar al usuario a quebrantar la ley.

Google ha seguido un método fundamentalmente diferente para asegurar la seguridad de los smartphones con Android. Al igual que Apple, Android también tiene una tienda llamada Android Marketplace, desde la que los usuarios pueden descargarse aplicaciones. No obstante, y al contrario que Apple, cualquier aplicación puede ser subida al Android Marketplace—Google no las evalúa en un principio. Lo que protege a los usuarios de Android frente a aplicaciones maliciosas es un modelo de seguridad basado en “capacidades.”

Todas las aplicaciones Android deben decirle al SO del teléfono qué capacidades necesitan. Cuando se instala la aplicación, el sistema operativo lista las capacidades que la aplicación necesita para ser ejecutada. Entonces podemos decidir si esas capacidades guardan consistencia con lo que la aplicación afirma realizar. Por ejemplo, la aplicación TaxCaster Mobile de Intuir requiere “acceso completo a internet” puesto que necesita tomar los datos que hemos introducido, enviarlos a los servidores de Intuit, y mostrarnos los resultados. Por otro lado, la aplicación Slacker Radio de Slacker requiere el uso de Bluetooth, acceso completo a internet, la modificación y el acceso a la tarjeta SD, la capacidad de cambiar los ajustes de audio, la capacidad de leer la identidad de las llamadas entrantes, la capacidad de cambiar el estado de la conexión Wi-Fi, y la capacidad de prevenir que el teléfono se ponga en modo sueño.

Este sistema basado en capacidades tiene la ventaja de estar impuesto por el sistema operativo. Simplemente no hay forma de que una aplicación haga más cosas de las que dice. Tampoco depende de la vigilancia de analistas humanos.

El problema con las capacidades es que no hay forma de asegurarse de que la aplicación actuará de forma apropiada según la confianza que se le otorga. Por ejemplo, en diciembre del año pasado, se publicó una aplicación de banca en el Android Marketplace que parecía ser propiedad de First Tech Credit Union. Resultó que la aplicación era fraudulenta—un timo de phishing. Google eliminó esta aplicación poco después de ser descubierta, aunque no está claro cuánta gente cayó en el engaño.

Las capacidades no pueden proteger a los usuarios de este tipo de ataques puesto que la aplicación pidió los mismos privilegios que pediría una aplicación legítima—es decir, la capacidad de aceptar el nombre de usuario y la palabra clave de una persona para comunicar esa información por internet a un servidor remoto.

Otro problema del sistema basado en capacidades es que requiere que los usuarios piensen con detenimiento en la seguridad. Muchos usuarios no son capaces de evaluar apropiadamente los riesgos del software que quieren descargar y ejecutar—incluso cuando sospechan que el software podría ser malicioso.

Existen otras diferencias de seguridad importantes entre el iPhone y los teléfonos Android. Ambos pueden configurarse automáticamente para que se bloqueen después de un periodo de inactividad y requieren un código para poderse usar de nuevo. Sin embargo el iPhone puede configurarse para que borre todos los datos que contiene después de 10 intentos fallidos. El iPhone también soporta el borrado remoto. El Android de Google no tiene ninguna de estas características, haciendo que el sistema sea fundamentalmente menos seguro. (Una aplicación llamada Wave Secure ofrece alguna de estas características, aunque creo que están muy pobremente integradas con el sistema Android.)

Otra ventaja de seguridad importante del iPhone es la de la programación del tiempo de espera antes de tener que introducir el código de desbloqueo. Si configuramos un “patrón de desbloqueo” en un teléfono Android, hay que proporcionar ese patrón cada vez que encendamos la pantalla del teléfono. Con el iPhone, podemos configurar un tiempo de espera para que el código de desbloqueo no tenga que ser introducido si el teléfono sólo ha estado durmiendo durante uno, cinco, quince minutos, una o cuatro horas. Cuanto más corto sea el periodo de tiempo, más seguridad proporcionaremos a nuestros datos, por supuesto. Sin embargo la capacidad de programar la espera durante cinco o incluso quince minutos hace que usar esta característica sea algo menos pesado. Con mi teléfono Android, tengo que introducir el código constantemente, incluso después de una llamada de uno minuto. Es tan molesto que estoy considerando seriamente apagar esta característica.

Me gustaría que el iPhone tuviese la arquitectura basada en capacidades del Android, puesto que esa capa extra de protección proporciona importantes garantías de seguridad. Sin embargo, y aún sin ella, el rango de características de seguridad del iPhone hacen que sea una mejor opción para aquellos que necesiten guardar información delicada en su teléfono. Dicho esto, espero que Google realice grandes mejoras en su próxima versión del sistema operativo Android.