La batalla por la supremacía móvil tiene dos contendientes:
iOS y Android. Son los sistemas más populares, pero ¿cuál de los dos es
el más seguro?
Seguridad móvil, un factor ignorado
Según una
encuesta de Motorola,
solo un 12% de los compradores tiene en cuenta la seguridad como factor
principal a la hora de comprar un teléfono. La gente prefiere fijarse
en cosas como la disponibilidad de aplicaciones y la usabilidad, o
aspectos mucho más superficiales, como el estilo de los iconos y la
fluidez de las animaciones.
Olvidamos que
un teléfono ya no es solo una agenda:
en sus entrañas almacenamos correos, contraseñas, fotos. El teléfono
inteligente es una cajita en la que guardamos nuestra vida. Y no solo
nuestra vida, sino también nuestro trabajo: conectamos a redes
corporativas, leemos documentos confidenciales y ejecutamos aplicaciones
de trabajo.
Para más inri, usamos nuestros móviles ignorando las opciones de seguridad más básicas. Entre un
30 y un 60% de personas
no usa sistemas de bloqueo en su teléfono, como el PIN de cuatro
dígitos o el patrón de desbloqueo. Opciones más complejas y potentes,
como el cifrado de los datos, son ignoradas sistemáticamente.
El
escándalo de la NSA
ha puesto la privacidad de nuestros datos bajo los focos, y ha urgido a
los autores de software a poner un mayor acento en la seguridad en cada
actualización. Este despertar incluye, cómo no, a los móviles y sus
sistemas operativos.
El duelo por la seguridad: Android 4.3 vs. iOS 7
iOS y Android son el corazón de dispositivos costosos
y que contienen una gran cantidad de datos personales. En cada una de
sus actualizaciones, tanto Apple (iOS) como Google (Android) se
esfuerzan por aumentar la seguridad del sistema a través de nuevas
opciones de seguridad, parcheo de vulnerabilidades y mejoras en el
sistema.
A veces las cosas salen mal, como ha ocurrido con
un bug de iOS 7
que permitía hacer llamadas desde la pantalla de bloqueo. Son
accidentes que ponen de manifiesto lo complejo que es cuidar la
seguridad móvil, en la que se busca conjugar seguridad y rapidez de uso:
se quieren proteger los datos, pero no a costa de la usabilidad.
Si le preguntáramos a Google y Apple, quizá nos dirían que su sistema es el más seguro. Y es lo que está pasando. En
declaraciones de Eric Schmidt, ex-CEO de Google, “Android es más seguro”. Por otro lado, Tim Cook, presidente de Apple,
subrayó las consecuencias negativas de la fragmentación de Android, que obligan a “tapar agujeros”.
Pero, más allá de opiniones y publicidades,
¿cuál de estas plataformas es más segura para los usuarios?
En esta comparativa vamos a poner en el cuadrilátero las dos últimas
versiones de ambos sistemas, iOS 7.0.2 (sobre iPhone 5S) y Android 4.3.
Los 5 niveles de la seguridad móvil
Hemos pensado en
cinco niveles de seguridad gradualmente más complejos,
que engloban aspectos de la seguridad que van desde lo más básico, como
el bloqueo de la pantalla, hasta los más avanzados, como el cifrado o
el número de vulnerabilidades.
Para la gran mayoría de los usuarios, el Nivel 1 es el único que se
conoce y el único que importa, mientras que el nivel 5 solo interesa a
los usuarios más avanzados o exigentes. Hay aspectos de los niveles 2 a 4
que pueden interesar a todos los usuarios, pero que generalmente no
requieren atención o son automáticos.
Nivel 1: Sistemas de bloqueo e identificación
El nivel de seguridad básico de todo dispositivo móvil, desde el punto de vista del usuario final, es el que tiene que ver con
el acceso al teléfono o a la tableta. Sin este nivel, un dispositivo está a la merced de cualquier persona malintencionada.
Android 4.3 cuenta con cinco sistemas de bloqueo de pantalla:
deslizar, desbloqueo facial, patrón, PIN y contraseña. Se configuran
desde el menú
Seguridad > Bloqueo. Por otro lado, iOS dispone de solo dos métodos: deslizar y código PIN.
Deslizar no ofrece ninguna seguridad, y está ahí solo para evitar
pulsaciones accidentales. PIN es un código numérico que, si se mantiene
en el mínimo (cuatro dígitos), puede adivinarse
en menos de un día, pero mientras que en iOS los errores aumentan el tiempo entre intentos, en Android esto
no ocurre así. Es más: en iOS hay una opción adicional que permite borrar todos los datos tras diez intentos fallidos.
De los demás sistemas de bloqueo ofrecidos por Android, el reconocimiento facial es el que la misma Google
considera menos seguro, ya que se puede engañar fácilmente
con una foto.
El sistema de patrones (trazar líneas entre puntos) es fácil de
recordar y bastante robusto, pero depende de la complejidad del patrón, y
las huellas de los dedos son pistas que debilitan su fiabilidad.
El sistema más seguro es el de contraseñas alfanuméricas,
pero es el más incómodo de todos y el que cuesta más de configurar bien
(recordemos que a la gente no le gusta recordar contraseñas complejas).
Por otro lado, desde iOS 7, y solo en nuevos dispositivos, Apple cuenta
con
Touch-ID, un sistema de reconocimiento de huellas dactilares muy fácil de usar y
más fuerte que casi todas las alternativas.
Conveniencia vs. seguridad
¿Cuál es el más seguro? Por cantidad de opciones ofrecidas, Android,
pero si tenemos en cuenta la conveniencia de los sistemas de
identificación y el nuevo sistema Touch-ID de Apple, el asunto cambia.
Conveniencia vs. seguridad es el debate más encendido en lo que a
seguridad móvil se refiere. Esta gráfica quizá te ayude a entenderlo:
Puntajes
subjetivos de seguridad y conveniencia. Los asteriscos indican la
seguridad depende de la complejidad de la contraseña o patrón. En verde,
los que tienen ambos
Los dos sistemas de bloqueo
más seguros y a la vez fáciles de usar son
los patrones (Android) y las huellas (iOS). Los PIN tienen una
seguridad baja si se dejan en cuatro dígitos, que es lo habitual,
mientras que las contraseñas pueden ser muy seguras, pero su
conveniencia baja dramáticamente conforme sube la complejidad.
La batalla, pues, es entre los patrones de Android y el Touch ID de iOS.
El Touch ID de Apple en acción (foto cortesía de iPhoneWorld)
Android ofrece más posibilidades de bloqueo, es extensible mediante
apps
de terceros y el patrón es un sistema bastante fácil de usar, pero es
más vulnerable y algo menos conveniente que las huellas dactilares que
lee iOS 7 con Touch ID.
Gana
iOS 7 por su equilibrio entre conveniencia y seguridad (gracias a
Touch-ID); su enfoque de cara al acceso nos ha parecido el mejor por
sencillez y conveniencia.
Nivel 2: Seguridad de las aplicaciones
Una
vez analizado el acceso, le toca el turno a las aplicaciones: cómo se
obtienen, instalan, autorizan y ejecutan. Los usuarios instalan decenas
de
apps en sus dispositivos, pero no suelen prestar atención a
su seguridad. Por otro lado, ¿qué hacen iOS y Android para garantizar
que aplicaciones maliciosas no causen un desastre?
Inicialmente, tanto Android como iOS tienen un enfoque similar, en el
sentido de que ambos se apoyan en sus propios mercados de aplicaciones
en los que comprueban de forma automática y manual la seguridad de las
miles de aplicaciones que se encuentran a disposición del usuario. Ambos
sistemas aíslan (“enjaulan”) los procesos en ejecución en un
sandbox, lo que evita que una
app pueda tomar control de todo el sistema.
Modelo abierto vs. cerrado
La seguridad de ambos ecosistemas o markets es muy alta,
aunque se han dado casos de aplicaciones maliciosas que han logrado
colarse. Así, por ejemplo, investigadores del Georgia Tech lograron
introducir la
aplicación Jekyll en el Store de iOS. Pero el malware también puede colarse en Android, y así ha ocurrido
en diferentes ocasiones, con
apps falsas que no han sido retiradas de Play en mucho tiempo.
Falsas apps en Google Play, un avistamiento muy común (fuente)
En ambos casos estamos situaciones excepcionales, pero mientras que se habla de
un 6% de malware en Google Play,
en iTunes Store estas cifras son prácticamente nulas (en parte porque
Apple no da datos). Android, que cuenta con un 70% del mercado, se ha
convertido en el objetivo favorito de los hackers;
el 92% del malware móvil le pertenece.
¿Hace esto que Android sea más inseguro?
Presuponiendo un uso normal de Android y que las aplicaciones se
obtengan únicamente desde Play o Amazon, el riesgo de malware es tan
bajo como el de iOS. Pero mientras que iOS obliga a proveerse de
aplicaciones desde su tienda,
Android ha adoptado desde el principio una postura mucho más liberal, dejando abierta la posibilidad de instalar aplicaciones e incluso tiendas. Es la puerta de entrada favorita del malware.
Android permite instalar aplicaciones desde fuentes desconocidas
Al ser un sistema más abierto, Android favorece la instalación de
apps de terceros. Es peligroso, pero
le da una flexibilidad inmensa, que los usuarios de iOS solo pueden soñar o intentar emular a través del
jailbreak de sus dispositivos. Esta libertad, sin embargo, tiene un precio, y es la presencia de
malware disfrazado de
apps legítimas. Malware que ha dado pie, por cierto, a una floreciente industria de
antivirus para Android.
Gestión de permisos de las aplicaciones
Una forma de controlar lo que las aplicaciones hacen es a través de
un sistema de permisos, que establece a qué datos y partes del
dispositivo tiene acceso una aplicación determinada. Tanto Android como
iOS cuentan con sistemas de permisos, pero su
estilo a la hora de informar al usuario
difiere mucho.
iOS solo pregunta al usuario cuando es necesario autorizar el acceso a un recurso concreto. El usuario puede entonces aceptar o rechazar cada uno según le plazca, con la
app ya
instalada y funcionando.En Android, que informa desde el principio y
con gran lujo de detalles sobre los permisos requeridos por una
app, la decisión es de tipo “todo o nada”: si el usuario no acepta las condiciones, la aplicación no se instala.
En Android 4.3 se introdujo el control granular de permisos, pero está oculto; para activarlo hay que usar
apps como
App Ops Starter,
que lo vuelven visible. El motivo por el que Google no ha hecho pública
ya esta función es misterioso. Se rumorea que podría estar disponible
en la versión
Android KitKat (4.4).
Gana iOS por su control más estricto de las
apps, a cambio
de renunciar a la libertad a la hora de instalar aplicaciones. De todas
formas, Android está dando pasos muy prometedores en cuanto al control
ejercido sobre las aplicaciones.
Nivel 3: Protección de la privacidad
Los dos primeros niveles cubren la seguridad esencial, pero ¿qué pasa con
aspectos más subjetivos como la privacidad?
Hablamos de cosas como la forma en que se muestran datos en las
pantallas de bloqueo o en el envío de datos anónimos –o no- con fines
publicitarios. Aspectos que pueden molestar a más de un usuario.
Notificaciones en la pantalla de bloqueo
Poder leer las notificaciones directamente desde la pantalla de
bloqueo es algo que Android, de momento, no permite; para lograrlo hay
que instalar
aplicaciones de terceros.
Esto puede resultar incómodo, puesto que requiere desbloquear la
pantalla cada vez que uno quiere saber qué ha pasado, pero también es
cierto que Android es compatible con notificaciones luminosas vía LED
(en móviles que lo permiten).
iOS,
por otro lado, muestra notificaciones directamente en la pantalla de
bloqueo, y lo hace por defecto. Es posible leer mensajes de correo o de
WhatsApp sin desbloquear el terminal, por ejemplo. Las notificaciones de
este tipo se pueden desactivar desde el
Centro de Notificaciones, que cuenta con opciones personalizadas para cada aplicación que hace uso de esta característica. Punto para iOS.
Anuncios personalizados
Tanto iOS como Android pueden
enviar datos para personalizar anuncios.
Para algunas personas, esta característica, lejos de ser útil, supone
una intrusión inaceptable en la esfera personal. Es como tener una
cookie única para todo el móvil.
En Android, esto se controla únicamente desde Ajustes de Google >
Anuncios. En iOS, desde el menú de configuración Privacidad >
Anuncios y desde el menú de Servicios de Sistema; hay que navegar
bastante para desactivarlo todo.
Privacidad de la navegación
Mucho del tiempo que pasamos con nuestros dispositivos transcurre en
el navegador web. Los navegadores nativos de iOS 7 y Android 4.3, Safari
y Chrome, cuentan con abundantes opciones de privacidad.
Safari, el navegador por defecto de iOS 7, cuenta con opción
Do-Not-Track para deshabilitar las cookies trazadoras -potencialmente peligrosas para la privacidad- y el bloqueo de
cookies selectivo.
Chrome, navegador de Android, tiene un menú entero
dedicado a la privacidad, con Do-Not-Track y opciones para desactivar
informes de error, sugerencias y predicciones de acciones de red.
Gana
Android por el mayor control que ofrece de las opciones de privacidad
de su navegador y por la elección, a mi juicio acertada, de no mostrar
notificaciones en la pantalla de bloqueo, si bien muchos usuarios de
Android la miran con envidia.
Nivel 4: Seguridad remota del dispositivo
Tienes tu móvil seguro y bien configurado.
¿Qué pasa si lo pierdes o te lo roban? Querrás encontrarlo, situarlo en el mapa o, por lo menos, ordenar el borrado automático de los datos si lo das por perdido.
Con la función “
Find my iPhone”,
iOS ha sido el pionero de la localización. Al entrar en iCloud, el
usuario puede localizar sus dispositivos y su estado (conectado o
desconectado), reproducir un sonido y activar el
modo pérdida, que muestra un mensaje en pantalla. En casos extremos, se puede activar el borrado remoto.
La interfaz web de Find my iPhone (imagen cortesía de Applediario)
Android introdujo algo similar con el
Administrador de dispositivos.
Es compatible con una gran variedad de dispositivos Android, y permite
localizar los dispositivos en Google Maps, así como reproducir un
sonido, bloquear el terminal o borrar los datos a distancia. Sin
embargo, no tiene opciones como el mensaje remoto personalizable.
Gana iOS por la cantidad de opciones y datos proporcionados a través
de Find my iPhone. El administrador de dispositivos de Android es
bastante más limitado (por ahora).
Nivel 5: Seguridad avanzada del sistema
En
el último nivel tratamos los aspectos de seguridad más avanzados de iOS
y Android, como el cifrado del sistema de archivos o la facilidad para
obtener permisos de superusuario en el sistema. Si eres un usuario
básico, este punto te interesará poco.
Cifrado de los datos del usuario
A través del
cifrado
es posible proteger la confidencialidad de los datos. Por ejemplo,
puede evitar que un ladrón acceda a tus datos bancarios almacenados en
el teléfono.
En iOS, el cifrado está activado de fábrica y se
lleva a cabo a través de hardware dedicado, lo que reduce al mínimo el
impacto en el rendimiento. Se trata de un cifrado AES de 256 bits
muy seguro en la mayoría de situaciones.
En Android, el cifrado es una elección del usuario.
La variedad de dispositivos Android ha obligado a que el cifrado se
efectúe por software, lo que genera problemas de rendimiento
inevitables.
Permisos de superusuario (root y jailbreak)
En cualquier sistema operativo, los permisos de superusuario son
esenciales para tener un control completo del sistema. En móviles,
permiten instalar aplicaciones no-oficiales, desinstalar
apps de fábrica o personalizar el sistema.
Android ha elegido ser totalmente transparente en este sentido. Sus dispositivos se pueden “
rootear” sin demasiado esfuerzo, aunque no es necesario para instalar aplicaciones que están fuera de Google Play. El riesgo al
rootear es mínimo, y se trata de una
operación legal y aceptada por muchos fabricantes.
En iOS, la obtención de permisos de superusuario es parte del proceso de
jailbreaking,
una operación que se lleva a cabo para obtener una libertad de
personalización de la que iOS carece por elección propia y filosofía de
diseño. Es legal en muchos países, pero expone iOS a un gran número de
peligros e inestabilidades.
Vulnerabilidades y actualizaciones
Las
vulnerabilidades
son errores en el software que pueden ser aprovechados por malware o
atacantes para tomar control del sistema, dañarlo u obtener información.
Según datos de CVEDetails, el
número de vulnerabilidades
de iOS es mucho mayor que el de Android (sin tener en cuenta las
vulnerabilidades de los navegadores). Puede apreciarse en esta gráfica:
Número de vulnerabilidades descubiertas en Android y iOS por años (fuente: CVEDetails)
Este dato
no indica mucho:
a pesar del gran número de vulnerabilidades de iOS, la cantidad de
aplicaciones que pueden explotarlas es mínimo debido al férreo control
que Apple ejerce sobre el mercado de aplicaciones (control que queda
anulado con el
jailbreak, de ahí el nerviosismo ante esa maniobra en iOS).
Así que no es que
iOS sea menos seguro, sino que
no tiene urgencia para tapar esas vulnerabilidades.
Urgencia que sí tiene Android, por otro lado. Y es que hay otro factor a
tener en cuenta cuando hablamos de vulnerabilidades, y es el parcheo de
las mismas. Al controlar los dispositivos, Apple puede parchear las
vulnerabilidades de inmediato a través de una nueva actualización que
llegará a los dispositivos sí o sí.
Esto en Android solo ocurre con la gama Nexus: otros fabricantes
liberan las nuevas versiones cuando les parece oportuno, lo que obliga a
muchos usuarios a
cambiar la ROM de su dispositivo. Por suerte, Android
está solucionando ya muchos problemas saltando la barrera de los fabricantes con actualizaciones a través de Google Play.
Gana iOS gracias al mayor control que ejerce sobre los dispositivos,
lo que le permite enviar actualizaciones rápidamente a todos los
usuarios y cifrar datos sin esfuerzo. Pero Android está trabajando en
mejorar todos estos aspectos de manera espectacular.
Veredicto: gana iOS, pero con menos libertad
En general,
tanto Android como iOS son sistemas operativos excepcionalmente seguros.
Ambos apuestan por medidas de seguridad activadas por defecto y por
no sobrecargar usuarios y desarrolladores con decisiones ambiguas. El
enfoque, sin embargo, difiere en algunos puntos, sobre todo en el del
control de las funciones.
Apple declara en la
guía iOS Security
que iOS tiene una seguridad transparente para el usuario; sin embargo
algunas características, como el cifrado de datos, no se pueden
configurar. Es una
estrategia a prueba de errores compatible con su estrategia de cara al usuario -sencillez- y su estrategia de cara al hardware -optimización máxima-.
Android, por otro lado, ofrece al usuario un mayor grado de control
no solo por cuestiones ideológicas sino también debido a la
fragmentación existente en el parque de dispositivos: activar el cifrado, por ejemplo, tiene un
impacto negativo en el rendimiento por ejecutarse vía software, lo contrario de lo que hace Apple, que cifra vía hardware.
iOS es un sistema más seguro para todo tipo de usuarios,
a cambio de renunciar a algunas libertades que el usuario puede valorar mucho,
como la posibilidad mover datos fácilmente o instalar aplicaciones
no-oficiales. Con iOS renuncias a una mayor libertad a cambio de pensar
menos en la seguridad; con Android, tienes que obligarte a ti mismo a
pensar en qué estás haciendo.
¿Cuál es el más seguro para ti, Android o iOS?
Nota: el autor de esta comparativa posee un Nexus 4 y un iPad 3
