Thursday, October 17, 2013

Comparativa: ¿cuál es más seguro, iOS o Android?.



Comparativa: ¿cuál es más seguro, iOS o Android?

Comparativa: ¿cuál es más seguro, iOS o Android?

La batalla por la supremacía móvil tiene dos contendientes: iOS y Android. Son los sistemas más populares, pero ¿cuál de los dos es el más seguro? Seguridad...

|
09 de octubre del 2013
La batalla por la supremacía móvil tiene dos contendientes: iOS y Android. Son los sistemas más populares, pero ¿cuál de los dos es el más seguro?

Seguridad móvil, un factor ignorado

Según una encuesta de Motorola, solo un 12% de los compradores tiene en cuenta la seguridad como factor principal a la hora de comprar un teléfono. La gente prefiere fijarse en cosas como la disponibilidad de aplicaciones y la usabilidad, o aspectos mucho más superficiales, como el estilo de los iconos y la fluidez de las animaciones.
Olvidamos que un teléfono ya no es solo una agenda: en sus entrañas almacenamos correos, contraseñas, fotos. El teléfono inteligente es una cajita en la que guardamos nuestra vida. Y no solo nuestra vida, sino también nuestro trabajo: conectamos a redes corporativas, leemos documentos confidenciales y ejecutamos aplicaciones de trabajo.
Para más inri, usamos nuestros móviles ignorando las opciones de seguridad más básicas. Entre un 30 y un 60% de personas no usa sistemas de bloqueo en su teléfono, como el PIN de cuatro dígitos o el patrón de desbloqueo. Opciones más complejas y potentes, como el cifrado de los datos, son ignoradas sistemáticamente.
El escándalo de la NSA ha puesto la privacidad de nuestros datos bajo los focos, y ha urgido a los autores de software a poner un mayor acento en la seguridad en cada actualización. Este despertar incluye, cómo no, a los móviles y sus sistemas operativos.

El duelo por la seguridad: Android 4.3 vs. iOS 7

iOS y Android son el corazón de dispositivos costosos y que contienen una gran cantidad de datos personales. En cada una de sus actualizaciones, tanto Apple (iOS) como Google (Android) se esfuerzan por aumentar la seguridad del sistema a través de nuevas opciones de seguridad, parcheo de vulnerabilidades y mejoras en el sistema.
A veces las cosas salen mal, como ha ocurrido con un bug de iOS 7 que permitía hacer llamadas desde la pantalla de bloqueo. Son accidentes que ponen de manifiesto lo complejo que es cuidar la seguridad móvil, en la que se busca conjugar seguridad y rapidez de uso: se quieren proteger los datos, pero no a costa de la usabilidad.
Si le preguntáramos a Google y Apple, quizá nos dirían que su sistema es el más seguro. Y es lo que está pasando. En declaraciones de Eric Schmidt, ex-CEO de Google, “Android es más seguro”. Por otro lado, Tim Cook, presidente de Apple, subrayó las consecuencias negativas de la fragmentación de Android, que obligan a “tapar agujeros”.
Pero, más allá de opiniones y publicidades, ¿cuál de estas plataformas es más segura para los usuarios? En esta comparativa vamos a poner en el cuadrilátero las dos últimas versiones de ambos sistemas, iOS 7.0.2 (sobre iPhone 5S) y Android 4.3.

Los 5 niveles de la seguridad móvil

Hemos pensado en cinco niveles de seguridad gradualmente más complejos, que engloban aspectos de la seguridad que van desde lo más básico, como el bloqueo de la pantalla, hasta los más avanzados, como el cifrado o el número de vulnerabilidades.
Para la gran mayoría de los usuarios, el Nivel 1 es el único que se conoce y el único que importa, mientras que el nivel 5 solo interesa a los usuarios más avanzados o exigentes. Hay aspectos de los niveles 2 a 4 que pueden interesar a todos los usuarios, pero que generalmente no requieren atención o son automáticos.

Nivel 1: Sistemas de bloqueo e identificación

El nivel de seguridad básico de todo dispositivo móvil, desde el punto de vista del usuario final, es el que tiene que ver con el acceso al teléfono o a la tableta. Sin este nivel, un dispositivo está a la merced de cualquier persona malintencionada.
Android 4.3 cuenta con cinco sistemas de bloqueo de pantalla: deslizar, desbloqueo facial, patrón, PIN y contraseña. Se configuran desde el menú Seguridad > Bloqueo. Por otro lado, iOS dispone de solo dos métodos: deslizar y código PIN.
Deslizar no ofrece ninguna seguridad, y está ahí solo para evitar pulsaciones accidentales. PIN es un código numérico que, si se mantiene en el mínimo (cuatro dígitos), puede adivinarse en menos de un día, pero mientras que en iOS los errores aumentan el tiempo entre intentos, en Android esto no ocurre así. Es más: en iOS hay una opción adicional que permite borrar todos los datos tras diez intentos fallidos.
De los demás sistemas de bloqueo ofrecidos por Android, el reconocimiento facial es el que la misma Google considera menos seguro, ya que se puede engañar fácilmente con una foto. El sistema de patrones (trazar líneas entre puntos) es fácil de recordar y bastante robusto, pero depende de la complejidad del patrón, y las huellas de los dedos son pistas que debilitan su fiabilidad.
El sistema más seguro es el de contraseñas alfanuméricas, pero es el más incómodo de todos y el que cuesta más de configurar bien (recordemos que a la gente no le gusta recordar contraseñas complejas). Por otro lado, desde iOS 7, y solo en nuevos dispositivos, Apple cuenta con Touch-ID, un sistema de reconocimiento de huellas dactilares muy fácil de usar y más fuerte que casi todas las alternativas.

Conveniencia vs. seguridad

¿Cuál es el más seguro? Por cantidad de opciones ofrecidas, Android, pero si tenemos en cuenta la conveniencia de los sistemas de identificación y el nuevo sistema Touch-ID de Apple, el asunto cambia. Conveniencia vs. seguridad es el debate más encendido en lo que a seguridad móvil se refiere. Esta gráfica quizá te ayude a entenderlo:
Puntajes subjetivos de seguridad y conveniencia. Los asteriscos indican la seguridad depende de la complejidad de la contraseña o patrón. En verde, los que tienen ambos
Los dos sistemas de bloqueo más seguros y a la vez fáciles de usar son los patrones (Android) y las huellas (iOS). Los PIN tienen una seguridad baja si se dejan en cuatro dígitos, que es lo habitual, mientras que las contraseñas pueden ser muy seguras, pero su conveniencia baja dramáticamente conforme sube la complejidad.
La batalla, pues, es entre los patrones de Android y el Touch ID de iOS.
El Touch ID de Apple en acción (foto cortesía de iPhoneWorld)
Android ofrece más posibilidades de bloqueo, es extensible mediante apps de terceros y el patrón es un sistema bastante fácil de usar, pero es más vulnerable y algo menos conveniente que las huellas dactilares que lee iOS 7 con Touch ID.
Gana iOS 7 por su equilibrio entre conveniencia y seguridad (gracias a Touch-ID); su enfoque de cara al acceso nos ha parecido el mejor por sencillez y conveniencia.

Nivel 2: Seguridad de las aplicaciones

Una vez analizado el acceso, le toca el turno a las aplicaciones: cómo se obtienen, instalan, autorizan y ejecutan. Los usuarios instalan decenas de apps en sus dispositivos, pero no suelen prestar atención a su seguridad. Por otro lado, ¿qué hacen iOS y Android para garantizar que aplicaciones maliciosas no causen un desastre?
Inicialmente, tanto Android como iOS tienen un enfoque similar, en el sentido de que ambos se apoyan en sus propios mercados de aplicaciones en los que comprueban de forma automática y manual la seguridad de las miles de aplicaciones que se encuentran a disposición del usuario. Ambos sistemas aíslan (“enjaulan”) los procesos en ejecución en un sandbox, lo que evita que una app pueda tomar control de todo el sistema.

Modelo abierto vs. cerrado

La seguridad de ambos ecosistemas o markets es muy alta, aunque se han dado casos de aplicaciones maliciosas que han logrado colarse. Así, por ejemplo, investigadores del Georgia Tech lograron introducir la aplicación Jekyll en el Store de iOS. Pero el malware también puede colarse en Android, y así ha ocurrido en diferentes ocasiones, con apps falsas que no han sido retiradas de Play en mucho tiempo.
Falsas apps en Google Play, un avistamiento muy común (fuente)
En ambos casos estamos situaciones excepcionales, pero mientras que se habla de un 6% de malware en Google Play, en iTunes Store estas cifras son prácticamente nulas (en parte porque Apple no da datos). Android, que cuenta con un 70% del mercado, se ha convertido en el objetivo favorito de los hackers; el 92% del malware móvil le pertenece.
¿Hace esto que Android sea más inseguro?
Presuponiendo un uso normal de Android y que las aplicaciones se obtengan únicamente desde Play o Amazon, el riesgo de malware es tan bajo como el de iOS. Pero mientras que iOS obliga a proveerse de aplicaciones desde su tienda, Android ha adoptado desde el principio una postura mucho más liberal, dejando abierta la posibilidad de instalar aplicaciones e incluso tiendas. Es la puerta de entrada favorita del malware.

Android permite instalar aplicaciones desde fuentes desconocidas
Al ser un sistema más abierto, Android favorece la instalación de apps de terceros. Es peligroso, pero le da una flexibilidad inmensa, que los usuarios de iOS solo pueden soñar o intentar emular a través del jailbreak de sus dispositivos. Esta libertad, sin embargo, tiene un precio, y es la presencia de malware disfrazado de apps legítimas. Malware que ha dado pie, por cierto, a una floreciente industria de antivirus para Android.

Gestión de permisos de las aplicaciones

Una forma de controlar lo que las aplicaciones hacen es a través de un sistema de permisos, que establece a qué datos y partes del dispositivo tiene acceso una aplicación determinada. Tanto Android como iOS cuentan con sistemas de permisos, pero su estilo a la hora de informar al usuario difiere mucho.
iOS solo pregunta al usuario cuando es necesario autorizar el acceso a un recurso concreto. El usuario puede entonces aceptar o rechazar cada uno según le plazca, con la app ya instalada y funcionando.En Android, que informa desde el principio y con gran lujo de detalles sobre los permisos requeridos por una app, la decisión es de tipo “todo o nada”: si el usuario no acepta las condiciones, la aplicación no se instala.
En Android 4.3 se introdujo el control granular de permisos, pero está oculto; para activarlo hay que usar apps como App Ops Starter, que lo vuelven visible. El motivo por el que Google no ha hecho pública ya esta función es misterioso. Se rumorea que podría estar disponible en la versión Android KitKat (4.4).

Gana iOS por su control más estricto de las apps, a cambio de renunciar a la libertad a la hora de instalar aplicaciones. De todas formas, Android está dando pasos muy prometedores en cuanto al control ejercido sobre las aplicaciones.

Nivel 3: Protección de la privacidad

Los dos primeros niveles cubren la seguridad esencial, pero ¿qué pasa con aspectos más subjetivos como la privacidad? Hablamos de cosas como la forma en que se muestran datos en las pantallas de bloqueo o en el envío de datos anónimos –o no- con fines publicitarios. Aspectos que pueden molestar a más de un usuario.

Notificaciones en la pantalla de bloqueo

Poder leer las notificaciones directamente desde la pantalla de bloqueo es algo que Android, de momento, no permite; para lograrlo hay que instalar aplicaciones de terceros. Esto puede resultar incómodo, puesto que requiere desbloquear la pantalla cada vez que uno quiere saber qué ha pasado, pero también es cierto que Android es compatible con notificaciones luminosas vía LED (en móviles que lo permiten).
iOS, por otro lado, muestra notificaciones directamente en la pantalla de bloqueo, y lo hace por defecto. Es posible leer mensajes de correo o de WhatsApp sin desbloquear el terminal, por ejemplo. Las notificaciones de este tipo se pueden desactivar desde el Centro de Notificaciones, que cuenta con opciones personalizadas para cada aplicación que hace uso de esta característica. Punto para iOS.

Anuncios personalizados

Tanto iOS como Android pueden enviar datos para personalizar anuncios. Para algunas personas, esta característica, lejos de ser útil, supone una intrusión inaceptable en la esfera personal. Es como tener una cookie única para todo el móvil.
En Android, esto se controla únicamente desde Ajustes de Google > Anuncios. En iOS, desde el menú de configuración Privacidad > Anuncios y desde el menú de Servicios de Sistema; hay que navegar bastante para desactivarlo todo.

Privacidad de la navegación

Mucho del tiempo que pasamos con nuestros dispositivos transcurre en el navegador web. Los navegadores nativos de iOS 7 y Android 4.3, Safari y Chrome, cuentan con abundantes opciones de privacidad.
Safari, el navegador por defecto de iOS 7, cuenta con opción Do-Not-Track para deshabilitar las cookies trazadoras -potencialmente peligrosas para la privacidad- y el bloqueo de cookies selectivo.
Chrome, navegador de Android, tiene un menú entero dedicado a la privacidad, con Do-Not-Track y opciones para desactivar informes de error, sugerencias y predicciones de acciones de red.
Gana Android por el mayor control que ofrece de las opciones de privacidad de su navegador y por la elección, a mi juicio acertada, de no mostrar notificaciones en la pantalla de bloqueo, si bien muchos usuarios de Android la miran con envidia.

Nivel 4: Seguridad remota del dispositivo

Tienes tu móvil seguro y bien configurado. ¿Qué pasa si lo pierdes o te lo roban? Querrás encontrarlo, situarlo en el mapa o, por lo menos, ordenar el borrado automático de los datos si lo das por perdido.
Con la función “Find my iPhone”, iOS ha sido el pionero de la localización. Al entrar en iCloud, el usuario puede localizar sus dispositivos y su estado (conectado o desconectado), reproducir un sonido y activar el modo pérdida, que muestra un mensaje en pantalla. En casos extremos, se puede activar el borrado remoto.
La interfaz web de Find my iPhone (imagen cortesía de Applediario)
Android introdujo algo similar con el Administrador de dispositivos. Es compatible con una gran variedad de dispositivos Android, y permite localizar los dispositivos en Google Maps, así como reproducir un sonido, bloquear el terminal o borrar los datos a distancia. Sin embargo, no tiene opciones como el mensaje remoto personalizable.

Gana iOS por la cantidad de opciones y datos proporcionados a través de Find my iPhone. El administrador de dispositivos de Android es bastante más limitado (por ahora).

Nivel 5: Seguridad avanzada del sistema

En el último nivel tratamos los aspectos de seguridad más avanzados de iOS y Android, como el cifrado del sistema de archivos o la facilidad para obtener permisos de superusuario en el sistema. Si eres un usuario básico, este punto te interesará poco.

Cifrado de los datos del usuario

A través del cifrado es posible proteger la confidencialidad de los datos. Por ejemplo, puede evitar que un ladrón acceda a tus datos bancarios almacenados en el teléfono.
En iOS, el cifrado está activado de fábrica y se lleva a cabo a través de hardware dedicado, lo que reduce al mínimo el impacto en el rendimiento. Se trata de un cifrado AES de 256 bits muy seguro en la mayoría de situaciones.
En Android, el cifrado es una elección del usuario. La variedad de dispositivos Android ha obligado a que el cifrado se efectúe por software, lo que genera problemas de rendimiento inevitables.

Permisos de superusuario (root y jailbreak)

En cualquier sistema operativo, los permisos de superusuario son esenciales para tener un control completo del sistema. En móviles, permiten instalar aplicaciones no-oficiales, desinstalar apps de fábrica o personalizar el sistema.
Android ha elegido ser totalmente transparente en este sentido. Sus dispositivos se pueden “rootear” sin demasiado esfuerzo, aunque no es necesario para instalar aplicaciones que están fuera de Google Play. El riesgo al rootear es mínimo, y se trata de una operación legal y aceptada por muchos fabricantes.
En iOS, la obtención de permisos de superusuario es parte del proceso de jailbreaking, una operación que se lleva a cabo para obtener una libertad de personalización de la que iOS carece por elección propia y filosofía de diseño. Es legal en muchos países, pero expone iOS a un gran número de peligros e inestabilidades.

Vulnerabilidades y actualizaciones

Las vulnerabilidades son errores en el software que pueden ser aprovechados por malware o atacantes para tomar control del sistema, dañarlo u obtener información.
Según datos de CVEDetails, el número de vulnerabilidades de iOS es mucho mayor que el de Android (sin tener en cuenta las vulnerabilidades de los navegadores). Puede apreciarse en esta gráfica:
Número de vulnerabilidades descubiertas en Android y iOS por años (fuente: CVEDetails)
Este dato no indica mucho: a pesar del gran número de vulnerabilidades de iOS, la cantidad de aplicaciones que pueden explotarlas es mínimo debido al férreo control que Apple ejerce sobre el mercado de aplicaciones (control que queda anulado con el jailbreak, de ahí el nerviosismo ante esa maniobra en iOS).
Así que no es que iOS sea menos seguro, sino que no tiene urgencia para tapar esas vulnerabilidades. Urgencia que sí tiene Android, por otro lado. Y es que hay otro factor a tener en cuenta cuando hablamos de vulnerabilidades, y es el parcheo de las mismas. Al controlar los dispositivos, Apple puede parchear las vulnerabilidades de inmediato a través de una nueva actualización que llegará a los dispositivos sí o sí.
Esto en Android solo ocurre con la gama Nexus: otros fabricantes liberan las nuevas versiones cuando les parece oportuno, lo que obliga a muchos usuarios a cambiar la ROM de su dispositivo. Por suerte, Android está solucionando ya muchos problemas saltando la barrera de los fabricantes con actualizaciones a través de Google Play.

Gana iOS gracias al mayor control que ejerce sobre los dispositivos, lo que le permite enviar actualizaciones rápidamente a todos los usuarios y cifrar datos sin esfuerzo. Pero Android está trabajando en mejorar todos estos aspectos de manera espectacular.

Veredicto: gana iOS, pero con menos libertad

En general, tanto Android como iOS son sistemas operativos excepcionalmente seguros. Ambos apuestan por medidas de seguridad activadas por defecto y por no sobrecargar usuarios y desarrolladores con decisiones ambiguas. El enfoque, sin embargo, difiere en algunos puntos, sobre todo en el del control de las funciones.
Apple declara en la guía iOS Security que iOS tiene una seguridad transparente para el usuario; sin embargo algunas características, como el cifrado de datos, no se pueden configurar. Es una estrategia a prueba de errores compatible con su estrategia de cara al usuario -sencillez- y su estrategia de cara al hardware -optimización máxima-.
Android, por otro lado, ofrece al usuario un mayor grado de control no solo por cuestiones ideológicas sino también debido a la fragmentación existente en el parque de dispositivos: activar el cifrado, por ejemplo, tiene un impacto negativo en el rendimiento por ejecutarse vía software, lo contrario de lo que hace Apple, que cifra vía hardware.
iOS es un sistema más seguro para todo tipo de usuarios, a cambio de renunciar a algunas libertades que el usuario puede valorar mucho, como la posibilidad mover datos fácilmente o instalar aplicaciones no-oficiales. Con iOS renuncias a una mayor libertad a cambio de pensar menos en la seguridad; con Android, tienes que obligarte a ti mismo a pensar en qué estás haciendo.

¿Cuál es el más seguro para ti, Android o iOS?

Nota: el autor de esta comparativa posee un Nexus 4 y un iPad 3

Comentarios

  • eduo |
    09/10/13
    eduo
    Muy buen análisis. Bastante completo.
    Una sola nota, sin embargo:
    En la parte de acceso al dispositivo bloqueado se comenta TouchID, que realmente ahora solo existe en los iPhone 5s con iOS 7. Esto podría hacer pensar que el resto de modelos de iPhone están destinados a solo poder usar un PIN simple para su acceso, pero este no es el caso.
    iOS en todos los casos tiene acceso tanto a un PIN como a una password compleja alfanumérica y Apple incluso recomienda activar esta en vez de TouchID si realmente se quiere maximizar la seguridad del dispositivo:
    http://support.apple.com/kb/HT5949?viewlocale=enUS&locale=enUS
    Esto es muy importante ya no porque la gráfica donde dice "Password" debería tener un icono de "ambos" en vez de sólo "Android" sino porque la gente que se tenga o se compre dispositivos diferentes al 5s no tendría forma de aumentar la seguridad en su dispositivo y eso sí que sería un factor importante para hacerle a Apple perder ese punto (ya que la mayoría de dispositivos hoy en día no son iPhone 5s).
  • Fabrizio Ferri |
    09/10/13
    Fabrizio Ferri
    ¡Gráfica corregida! Gracias, eduo. :-)

No comments:

Post a Comment