Contenido

• ¿Qué son las actualizaciones de seguridad de Android?
• ¿Por qué son importantes los parches de seguridad?
• ¿Qué teléfonos reciben actualizaciones de seguridad?
• Mejores prácticas de seguridad de Android
• ¿Qué pasa con las vulnerabilidades de día cero y las vulnerabilidades de día cero?
• Envolver

Es posible que haya notado que de vez en cuando su teléfono inteligente Android le solicita que descargue e instale una nueva versión de su firmware. Tal vez la primera vez que sucedió pensó que estaba recibiendo una actualización de la última versión de Android, o tal vez se agregaron algunas características nuevas. ¡Pero finalmente resultó ser una actualización de seguridad de Android "aburrida"! Si bien las actualizaciones de seguridad de Android son realmente aburridas, son muy importantes.

¡Echemos un vistazo a estos parches de seguridad, y a la seguridad de Android en general, para ver de qué se trata todo este alboroto!

¿Qué son las actualizaciones de seguridad de Android?

Se ha dicho a menudo que "errar es humano" y que, como dice Alexander Pope, "perdonar es divino", ¡encontrará que las computadoras y los piratas informáticos no son muy indulgentes! Cada vez que se escribe software, contiene errores o errores inherentes, como a los desarrolladores les gusta llamarlos. Intentar reducir el número de esos errores es uno de los objetivos clave de los ingenieros de software. En primer lugar, tratando de detectar los errores en el momento en que se escribe el software. En segundo lugar, arreglando los errores una vez que se han encontrado.

Hay dos tipos de errores. Primero, errores que hacen que el software se comporte incorrectamente. Digamos que escribes "001.300 * 02.7000" en la aplicación de la calculadora y te da la respuesta de 2.51. Claramente, algo está mal, ¿quizás esos ceros adicionales causaron que el software se comportara inesperadamente? Una vez que se ha encontrado el problema, el software puede repararse y enviarse una actualización a los usuarios. Estos errores son generalmente una molestia y si son lo suficientemente graves pueden afectar las ventas / reputación de la marca, etc., pero generalmente no son peligrosos (sino más sobre eso en un momento).

La segunda categoría de error es aquella que afecta la seguridad del software y del dispositivo en el que está instalado. Entonces, como un ejemplo simple, una aplicación podría pedir un nombre de usuario y contraseña. Podría existir un error en el que si el usuario ingresa el nombre correcto pero deja la contraseña en blanco, entonces el usuario tiene acceso. Esto puede sonar estúpido, pero en realidad ha sucedido. Ahora hay un error que permite el acceso no autorizado a datos privados. La mayoría de los errores de seguridad son mucho más complicados y matizados que eso. Pero, en esencia, un error en el programa permite que un tercero obtenga acceso que no debería tener. Una vez que se encuentran estos errores, deben corregirse rápidamente y desplegarse rápidamente para proteger a los usuarios.

A veces, los errores en la primera categoría, los errores de comportamiento inesperado, pueden manipularse de tal manera que se conviertan en errores en la segunda categoría.

Por lo tanto, una actualización de seguridad de Android es un grupo acumulativo de correcciones de errores que se pueden enviar de forma inalámbrica a dispositivos Android para corregir errores relacionados con la seguridad.

¿Por qué son importantes los parches de seguridad?

¡Después de que se haya instalado un nuevo parche de seguridad en su dispositivo, no verá absolutamente ninguna diferencia en su funcionalidad! Casi parece que la actualización no logró nada. Pero eso, por supuesto, es la naturaleza de las correcciones de errores de seguridad. No los notas porque reparan agujeros, a menudo agujeros muy pequeños, en la seguridad del dispositivo.

Por ejemplo, podría haber una vulnerabilidad en la que si recibe un SMS en caracteres mixtos coreanos y rusos que tiene exactamente 160 caracteres de longitud, entonces la elaboración inteligente del texto puede desencadenar un error que a su vez se puede utilizar para abrir un agujero en las defensas de tu dispositivo. No recibo muchos mensajes como ese, así que si se encuentra el error y se soluciona, no sería más sabio. Pero aquí está la cosa: cuando los piratas informáticos se enteran de estos errores esotéricos, elaboran correos electrónicos especiales y los envían a personas objetivo con el objetivo de obtener acceso a sus dispositivos. Los objetivos son vulnerables a las maquinaciones de estos ciberdelincuentes. Al final, ves un SMS extraño, frunces el ceño un poco y lo eliminas. Pero no sabe que su teléfono se ha visto comprometido.

¡Después de que se haya instalado un nuevo parche de seguridad en su dispositivo, no verá absolutamente ninguna diferencia en su funcionalidad!

Por lo tanto, los parches de seguridad son importantes ya que protegen su teléfono de posibles piratas informáticos que desean acceder a su dispositivo. Solo imagine todos los datos que están en su teléfono. Olvídate de las fotos y WhatApps s. ¿Qué pasa con la banca? ¿Compras en Amazon? eBay? Google Pay? Hay una larga lista de cosas que serían de interés para un hacker.

¿Qué teléfonos reciben actualizaciones de seguridad?

Teóricamente, todos los teléfonos inteligentes con Android deberían recibir alrededor de dos años de actualizaciones de seguridad. Sin embargo, la realidad es a menudo muy diferente. La forma en que debería el trabajo es así: Google corrige un error relacionado con la seguridad en Android. Google publica esos cambios en AOSP y / o notifica a sus socios (cada OEM que tiene un dispositivo Android certificado por Google). Google realmente hace esto mensualmente. Los fabricantes de teléfonos inteligentes incorporan estas soluciones en su firmware y, si es necesario, entregan una copia a los operadores. Los transportistas luego aprueban las correcciones y, finalmente, el lanzamiento se envía a los dispositivos por aire.

Esto funciona muy bien en los teléfonos de Google, como la gama Pixel. También funciona bien en dispositivos Android One que básicamente son mantenidos por Google. También funciona bien para grandes marcas. Por ejemplo, el Samsung Galaxy Note 8 se lanzó en agosto de 2017. Tengo uno y puedo confirmar que ha recibido actualizaciones periódicas (casi mensuales). De hecho, también se ha actualizado a Android 9.0 Pie.

Pero, para algunas marcas medianas, las actualizaciones pueden ser más esporádicas, mientras que para las marcas más pequeñas a menudo no existen. La falta de actualizaciones de seguridad puede ser un problema real. Parece que algunos fabricantes de teléfonos inteligentes tienen la mentalidad de "venderlo y olvidarlo". Esto significa que hay millones de teléfonos Android actuales (de menos de 2 años) en manos de los consumidores que no reciben actualizaciones de seguridad, dejándolos potencialmente expuestos a todo tipo de ataques. En el lado positivo, Google sabe que esto es un problema y quiere solucionarlo.

Mejores prácticas de seguridad de Android

Independientemente de la frecuencia con la que su dispositivo recibe parches de seguridad, vale la pena señalar las siguientes mejores prácticas de seguridad de Android:

• No haga clic en enlaces en correos electrónicos, WhatsApp, Facebook Messenger o SMS a menos que esté seguro de la fuente del enlace y adónde lo llevará.
• Asegúrese de mantener sus aplicaciones actualizadas, incluidas Chrome y otras aplicaciones de Google.
• Use contraseñas únicas: no use la misma contraseña en varias cuentas. Hacerlo es como usar la misma clave para varias casas: aumenta su riesgo de seguridad. Si eso suena como una molestia, use un administrador de contraseñas.
• Proteja sus cuentas con la verificación en dos pasos: incluso si le roban su nombre de usuario y contraseña, habilite la verificación en dos pasos con ayuda para mantener alejados a los atacantes.
• Realice el Chequeo de seguridad de Google: esto es fácil de hacer (g.co/securitycheckup) y analiza el estado de seguridad de su cuenta de Google.

¿Qué pasa con las vulnerabilidades de día cero y las vulnerabilidades de día cero?

Hay un aspecto de la seguridad de Android que no está cubierto por las actualizaciones de seguridad mensuales. Vulnerabilidades de día cero. Estos son errores que Google desconoce, pero alguien más sí. Son errores de seguridad que Google ha tenido cero días para intentar solucionar. Lo que sucede aquí es que las llamadas compañías de "investigación de seguridad", o ciberdelincuentes, intentan encontrar errores en Android y luego, una vez descubiertos, no se lo dicen a nadie. Se convierten en un arsenal secreto que se puede utilizar para medios nefastos.

Dado que este arsenal es secreto y difícil de adquirir, estas vulnerabilidades de día cero son muy apreciadas. Se acostumbran de una de dos maneras. Se venden a entidades con mucho dinero, como las fuerzas de seguridad de un estado-nación, o los ciberdelincuentes los utilizan directamente en un ataque masivo para tratar de estafar a las personas con dinero.

En cualquier caso, pueden ser mortales, literalmente, como vimos recientemente con la muerte de Jamal Khashoggi. Una vez que estas vulnerabilidades de día cero comienzan a usarse públicamente (en la naturaleza), a menudo no pasa mucho tiempo antes de que Google pueda aislar el problema y emitir un parche. Una vez más, destaca la necesidad de mantener su teléfono actualizado con los parches de seguridad mensuales.

Envolver

La seguridad, como las copias de seguridad, puede ser aburrida. El problema con las copias de seguridad es que la mayoría de las personas no piensan en ellas hasta que pierden todos sus datos. Del mismo modo, la mayoría de las personas no piensan en la seguridad hasta después de que su cuenta de correo electrónico ha sido pirateada, o se han realizado cargos fraudulentos a través de su banca en línea.

Siempre habrá un elemento de riesgo, pero las actualizaciones de seguridad de Android proporcionan una forma de reducir ese riesgo al tiempo que mejoran la estabilidad y confiabilidad de su dispositivo. En pocas palabras, cada vez que su teléfono indique que tiene una actualización, instálela.