La descarga de aplicaciones para teléfonos inteligentes (<i>smartphones</i>), es una práctica muy habitual pero, al igual que la descarga de programas para el ordenador, hay que hacerla de forma segura.

Se calcula que el número de teléfonos inteligentes sobrepasará al número de ordenadores en 2013, y se convertirán en el dispositivo más común para acceder a internet. Este crecimiento ha ocasionado que cada vez haya más virus nuevos que ataquen estos dispositivos.

Una de las formas más comunes de entrada de virus en los smartphones es por la descarga de aplicaciones desde una AppStore. Se llama Appstore a un repositorio de aplicaciones que están disponibles para que el usuario se descargue las que quiera. Las aplicaciones pueden haber sido creadas por el fabricante del teléfono inteligente, por otras empresas o por los propios usuarios. Dentro de las Appstore más conocidas están Apple Appstore, para dispositivos iPhone, y Google Android Market, para dispositivos con Android; aunque hay muchas más.

Aplicaciones smartphone

Imagen cortesía de: Salvatore Vuono / FreeDigitalPhotos.net

Las aplicaciones (apps) son los programas que se descargan en el móvil, pueden ser para extender la funcionalidad del teléfono, para jugar, para acceder rápidamente a algún servicio de Internet... Los desarrolladores crean las aplicaciones, y las venden o las distribuyen a los usuarios a través de la Appstore. Cuando un usuario accede a una Appstore en busca de una aplicación, puede ver el número de descargas que ha tenido esa aplicación, comentarios de los usuarios y la nota que la ponen.

Hay dos formas de que la aplicación que se descargue contenga algún virus o vulnerabilidad que ponga en peligro nuestra información y nuestro teléfono:

  • Que alguien cree una aplicación con ese fin y la incluya en la Appstore.
  • Que alguien se aproveche de algún fallo en una aplicación existente.

Preocupados por los problemas de seguridad que puede ocasionar la descarga de aplicaciones desde una Appstore, la ENISA (Agencia Europea de Seguridad de las Redes y la Información - European Network and Information Security Agency), ha creado un informe sobre «5 líneas de defensa contra el malware en las Appstore». Estas 5 líneas de defensa son:

  1. Revisión de las aplicaciones

    Antes de incluir una aplicación, la Appstore debería revisarla. De esta forma se limitaría la posibilidad de introducir aplicaciones maliciosas o que no sean seguras. Además se debería fomentar la compartición de los resultados de esos análisis con otras Appstores.

  2. Mecanismos de reputación

    La reputación de una aplicación o de un desarrollador de aplicaciones puede ayudar a los usuarios a discernir si es segura para descargarla o no. Las Appstores deberían mostrar la reputación tanto de la aplicación como de sus desarrolladores; también podrían tener en cuenta la reputación de esa misma aplicación en otras tiendas.

    Los votos de los usuarios son otro factor a tener en cuenta, podría disponerse de dos líneas de voto, una sobre la funcionalidad de la herramienta y otra sobre su seguridad, por ejemplo «la herramienta funciona bien pero solicita acceso a demasiada información del teléfono». También se debería dar más valor a los votos de usuarios con buena reputación frente a otros.

  3. Renovación de aplicaciones

    Las plataformas de teléfonos inteligentes deberían ser capaces de eliminar de forma remota las aplicaciones. De forma que si se descubre que una aplicación no es segura o es maliciosa, la Appstore o el fabricante la pueda eliminar del terminal. Aunque desde la ENISA comprenden lo controvertido de esta postura, ya que de esta forma las Appstores tendrían acceso remoto a los ordenadores de los usuarios, una propuesta es avisarles de que se va a eliminar ese contenido y de las razones para ello.

  4. Dispositivos de seguridad

    En los terminales hay que instalar mecanismos de defensa, y ejecutar las aplicaciones con los mínimos privilegios posibles. Los usuarios pueden monitorizar la actividad de la aplicación para comprobar que no realiza acciones que no cuadren con la función que dice tener.

  5. «Jaulas» o «Jardines vallados»

    Los vendedores de teléfonos inteligentes podrían restringir que sólo se puedan instalar aplicaciones de una o más Appstores en las que se confíe, con el fin de evitar que haya virus que descarguen aplicaciones maliciosas sin el conocimiento del usuario. Otra opción es avisar cuando se descargue algo de Appstores no fiables.

Estas son las recomendaciones de la ENISA para que las Appstores sean más seguras, para todos los que estéis interesados en ese tema, os recomendamos la lectura del informe (en inglés). En cualquier caso, la seguridad en un teléfono inteligente no depende únicamente de los controles que realicen en las Appstores, también es muy importante seguir nuestros 10 consejos de seguridad para teléfonos inteligentes.