Seguridad Android: todo lo que no te dicen

Si te preocupa la seguridad Android, deberías saber todo aquello que no te han contado, ya que este sistema operativo guarda algunos secretos que pocos conocen. Todo lo que no te han contado o no te dicen, más allá de los servicios GMS de Google, los blobs binarios, el root, y las supuestas apps de seguridad, algunas de ellas sin demasiada utilidad real contra los ataques cibernéticos.

Además, también es importante determinar si Android es más o menos seguro que iOS, y si realmente hay algo que podamos hacer como usuarios para mejorar la seguridad de nuestros dispositivos móviles.

Índice

Root o no root: esa es la cuestión

Android está basado en el kernel Linux, pero no es una distribución GNU/Linux. Este sistema de Google está muy limitado en cuanto a la capacidad que tiene el usuario, con multitud de restricciones. Dichas restricciones se pueden superar siendo root, es decir, un usuario privilegiado que todo lo puede. Sin embargo, rootear el móvil tiene sus riesgos para la seguridad. Por tanto, no siempre un móvil con root es más seguro como algunos piensan:

  • Desventajas:

  • En ocasiones, puede que tu móvil esté rooteado sin que lo sepas, ya que alguien ha tenido acceso a él y lo ha hecho a tus espaldas. El motivo para hacer esto puede ser para instalar algún tipo de spyware. Por ejemplo, para poder controlar tu móvil de forma remota, acceder al micrófono y escuchar lo que dices, o a tu cámara y ver lo que haces, etc. Es bastante más frecuente de lo que imaginas, especialmente en parejas celosas que no se fían. Para saber si está rooteado, puedes usar apps como Root Checker, es muy simple, y te dirá si el acceso Root está instalado satisfactoriamente o no. En caso de que esté instalado satisfactoriamente supondrá un peligro para tu seguridad.

  • DescargarQR-CodeRoot CheckerDeveloper: joeykrimPrice: Free

  • Seguridad innata de Android: SELinux

    Los sistemas Linux suelen usar generalmente AppArmor o SELinux como módulos de seguridad. En el caso de Android, se emplea SELinux. Un módulo desarrollado inicialmente por Red Hat y la NSA, algo que genera desconfianza en muchos paranoicos de la seguridad. Además, los que prefieren AppArmor no solo lo eligen por eso, sino que también resulta bastante más sencillo de administrar, mientras que SELinux puede ser demasiado complejo para comprenderlo y hacer un buen uso de él.

    El problema es que Android ya viene con una configuración por defecto, y tú no puedes cambiarla a no ser que seas root. Si ves algunas apps que prometen realizar cambios en SELinux, o son una estafa o necesitan acceso root para ello. Lo único que se puede hacer es dar un repaso a la configuración de privacidad y seguridad que tienes en Ajustes de Android para ver detenidamente qué está permitido y que no, ydejar el móvil lo más blindado posible.

    Google Play: un arma de doble filo

    La tienda de aplicaciones Google Play es un arma de doble filo. Porun lado, es muy práctica para instalar las apps que necesitas de una fuente fiable, evitando descargar peligrosas .apk de terceros o de orígenes desconocidos. Esos APKs pueden no ser maliciosos, pero en muchos casos estarán modificados con código malicioso para robar contraseñas, tener acceso a datos bancarios, utilizar los recursos de tu móvil para minar criptomonedas, etc.

    Pero la cara oculta es que existen millones de apps disponibles, y a pesar de los filtros de Google, siempre se pueden escapar algunas apps maliciosas que estarán disponibles para su descarga (algunas con nombres parecidos o iguales a otras que no son maliciosas) y estarás instalando malware sin darte cuenta, con consecuencias que pueden llegar a ser muy graves, tanto como usar apps e orígenes desconocidos. Por ello, lo mejor es que verifiques si el desarrollador de la app que vas a instalar es de fiar buscando datos sobre él en la red.

    Para mejorar la seguridad en tu Google Play, debes seguir estos consejos:

    Antimalware que no sirve

    Otro problema de seguridad Android es el software antimalware o antivirus que existe en la Google Play. No todos los que ves funcionan, o no lo hacen como deberían. Por tanto, no te fíes de estos paquetes que analizan el sistema en busca de malware, ya que podrían dejar pasar amenazas muy peligrosas. Para estar seguro, te recomendaría usar estas apps:

  • DescargarQR-CodeCONAN mobileDeveloper: INCIBEPrice: Free DescargarQR-CodeAvira Security Antivirus & VPNDeveloper: AVIRAPrice: Free DescargarQR-CodeBitdefender Mobile Security & AntivirusDeveloper: BitdefenderPrice: Free

  • Usa VPN

    Por muy buena que sea tu configuración de seguridad Android, y por muy buen software de protección que tengas instalado, para asegurarte de que no eres vulnerable a ataques tipo MitM, espionaje de tus contraseñas, etc., lo mejor es hacer uso de una VPN, con mucho más motivo si teletrabajas con tu dispositivo móvil y manejas datos sensibles de la empresa o clientes.

    Gracias a estos servicios, que no son nada caros, podrás cifrar todo el tráfico de red entrante y saliente, para mayor seguridad y que nadie pueda acceder a él, además de aportar mayor anonimato, con una IP diferente a la real y sin que tu IPS pueda estar recopilando datos en sus servidores sobre el uso de red.

    Seguridad Android: todo lo que no te dicen

    Existen muchas apps nativas para Android de VPN, pero las tres mejores que deberías considerar y que te permitirán usar plataformas de streaming sin problemas, son:

    Gestiona los permisos de las apps

    Otro punto imprescindible para mantener una buena seguridad y privacidad es hacer una buena gestión de los permisos de tus aplicaciones instaladas. No solo basta con lo dicho anteriormente, de instalar aquellas apps que menos permisos necesiten, sino también gestionar estos permisos. Aquí entra en juego también el conocimiento del usuario y el sentido común. Por ejemplo, volviendo al caso anterior, esa app de linterna B que necesite permiso para la cámara, a tu agenda de contactos, y al almacenamiento, te estará indicando que está haciendo algo más que alumbrar. El acceso a la cámara está justificado, puesto que necesita éste para encender o apagar la luz flash. En cambio, el acceso a tu agenda o al almacenamiento, es probable que sea debido a que está reportando datos (uso de trackers o rastreadores).

    Existen algunas apps en Google Play para gestionar los permisos, aunque no son necesarias, con los propios Ajustes de Android son suficientes:

  1. Ve a la app Ajustes de Android.

  2. Busca el apartado Aplicaciones.

  3. Permisos.

  4. Y allí podrás ver y modificar los permisos que tiene cada app.

Sistema actualizado

Por supuesto, es algo que no me cansaré de decir, mantener el sistema operativo (y firmware) actualizado, así como las apps instaladas, es también una buena mejora de seguridad. Ten en cuenta que el sistema Android o cualquiera de sus elementos, puede tener vulnerabilidades. Estando a la última en actualizaciones, podrás disponer de los últimos parches de seguridad disponibles, para que esa vulnerabilidad quede solucionada y no pueda ser explotada por ciberdelincuentes.

No descuides esta parte, es más importante de lo que muchos piensan. Recuerda siempre revisar las actualizaciones pendientes. Para actualizar tu sistema Android por OTA (si está soportado):

  1. Ve a la app Ajustes.

  2. Buscar el actualizador del sistema (puede variar de nombre según la capa UI de personalización).

  3. Buscar si existen actualizaciones disponibles.

  4. Descargar e instalar las actualizaciones.

En el caso de las apps:

  1. Ve a la Google Play.

  2. Luego pulsa sobre tu cuenta para acceder al menú de configuración.

  3. Entra en Gestionar apps y dispositivos.

  4. Después accede a la pestaña Gestionar.

  5. Y actualiza las apps de la lista que tengan actualizaciones pendientes.

En caso de que tu sistema operativo Android sea de una versión más antigua para la que ya no haya soporte y no se lancen actualizaciones, las opciones son instalar una ROM más actual por tu cuenta, lo que no es del todo recomendable, porque puede no funcionar adecuadamente si no tiene soporte para tu hardware, o pensar en cambiar a otro nuevo móvil con una versión más reciente que sí disponga de actualizaciones por OTA (Over The Air).

Minimiza y vencerás

Mantener el móvil con el mayor minimalismo es otra clara ventaja para la seguridad Android. Es decir, lo mejor es que dejes solo exclusivamente las apps que usas frecuentemente, y que desinstales todas aquellas que ya no usas, así como el bloatware que suele traer el móvil de fábrica. Esto evitará que alguna de las vulnerabilidades que pueda tener alguna de estas apps pueda ser explotada para comprometer tu dispositivo. Recuerda la fórmula:

menos código (menos apps) = menos vulnerabilidades posibles

Sentido común y desconfianza: la mejor arma

El phishing se ha convertido en otro gran problema. Para luchar contra esta amenaza de seguridad, la mejor herramienta que tienes a tu disposición se llama sentido común y desconfianza. Ellas te pueden salvar de peligros bastante importantes. Por ejemplo, algunos consejos son:

Política de backups

Aunque en sistemas Android muchos datos se sincronizan con la nube, como los contactos, el calendario, los mensajes de las apps de mensajería instantánea, etc., es importante que tengas una política de copia de seguridad proactiva. No está de más que de vez en cuando hagas una copia de seguridad de todos tus datos en un pendrive o un medio de almacenamiento externo.

Esto te evitará problemas, como los que te podría traer una avería en tu dispositivo móvil que haga perder todos los datos, o amenazas como el ransomware, por el cual te cifran tus datos y te piden un pago a cambio de darte la contraseña para que puedas volver a acceder a tus datos.

Contraseñas seguras

Las contraseñas que emplees deben cumplir una serie de requisitos mínimos para que sean seguras:

Por ejemplo, un modelo de contraseña segura sería:

d6C*WQa_7ex

Para poder recordar bien estas contraseñas tan largas y complicadas, te recomiendo usar un gestor de contraseñas como KeePass. Así no tendrás que recordarlas, y las tendrás en una base de datos cifrada y segura.

  • DescargarQR-CodeKeepass2Android Password SafeDeveloper: Philipp Crocoll (Croco Apps)Price: Free

  • Privacidad: un derecho

    La privacidad es un derecho, pero es un derecho vulnerado día a día por las grandes corporaciones tecnológicas que usan datos personales que analizan con el Big Data para obtener algún tipo de beneficio, o que venden a terceros por cantidades muy jugosas de dinero. Además, a ellos se agregan los cibercriminales, que podrían usar estos datos personales robados para robos, para chantajes, para su venta en la deep/dark web, etc.

    Intenta ceder los mínimos datos posibles, y minimizar la fuga de éstos. En los ataques de ciberseguridad, una de las primeras etapas se llama «information gathering» o recolección de información, y mientras más información tenga de ti un atacante, más fácil será el ataque y más impacto logrará.

    Algunos consejos para ello son:

  • DescargarQR-CodeNavegador web privado BraveDeveloper: Brave SoftwarePrice: Free DescargarQR-CodeFirefox: navegador web privadoDeveloper: MozillaPrice: Free DescargarQR-CodeDuckDuckGo Privacy BrowserDeveloper: DuckDuckGoPrice: Free

  • Protección contra robos

    Muchos software antivirus tienen función anti-robo, con el que poder detectar por GPS dónde se encuentra tu dispositivo móvil, e incluso enviar un comando para que se borren todos los datos de forma remota y así que el ladrón (o quien encuentre tu móvil en caso de haberlo perdido) no pueda tener acceso a datos sensibles, como los bancarios, etc. Es importante activar este tipo de funciones por si ocurre uno de estos robos. No debes fiarte del PIN, o los patrones de pantalla, contraseñas de acceso, etc., son barreras adicionales positivas, pero lo mejor es no desafiar el ingenio del sospechoso.

  • A veces se tiene precaución en estos casos y no se tiene ningún tipo de consideración a la hora de vender los móviles de segunda mano, desecharlos, o tirar las tarjetas de memoria. Pueden caer en malas manos y recuperar los datos. Por eso, borra de forma segura todos los datos o destruye la memoria. También puede ser importante saber cuál es el IMEI de tu dispositivo en caso de robo. Te recomiendo apuntarlo y tenerlo a mano. Lo puedes ver entrando en Ajustes de Android, y buscando en el buscador «IMEI» sin comillas. Pulsa la opción que aparece y mira el código de 15 dígitos.

  • Para esto, te recomiendo instalar la app de Google para Android Encontrar mi dispositivo, o que uses el servicio web. Si tienes la ubicación activada en tu móvil, podrás localizarlo, hacer que suene por si lo has perdido poderlo encontrar, y borrar los datos de forma remota por seguridad.

  • DescargarQR-CodeEncontrar mi dispositivoDeveloper: Google LLCPrice: Free

  • Redes seguras, redes apagadas

    Para reforzar tus redes en los dispositivos móviles, deberías tener en cuenta tres puntos fundamentales que mejoran la seguridad Android:

  • DescargarQR-CodeWiFi Analyzer (open-source)Developer: VREM Software DevelopmentPrice: Free

  • Fuentes desconocidas y ROMs

    Por supuesto, siempre deberías tener el permiso para instalar apps desde orígenes desconocidos desactivado en tu sistema Android:

    1. Ir a Ajustes.

    2. Buscar «Orígenes desconocidos» en otras capas UI puede que se llame de forma diferente, como «Instalar aplicaciones desconocidas» o similares.

    3. Entra y podrás desactivarlo o ver las apps actuales del sistema que tienen dicho permiso (no debería haber ninguna).

    En cuanto a las ROMs, si no decides instalar una versión diferente por tu cuenta, o rootear, no deberías tener problema en este sentido. Solo los que deciden instalar una ROM diferente se pueden topar con estos problemas, al descargar ROMs de webs de terceros (no oficiales), que hayan sido alteradas con código malicioso. Por tanto, siempre descarga de las webs oficiales.

    Blobs binarios, software propietario y otros riesgos

    Otros problemas de seguridad ante los que todos los usuarios están totalmente desprotegidos, independientemente de las configuraciones y los complementos de seguridad que emplees, son aquellos que escapan al control del propio usuario:

  • Kernel:

  • Hardware:

  • Batería extraíble, pestañas para las cámaras y switches de seguridad

    Deberías saber que, incluso cuando el móvil se apaga y la batería está gastada, queda algo de energía y el terminal podría ser rastreado. Por eso, muchos delincuentes, para evitar el rastreo, usan móviles antiguos o a los que se les puede extraer la batería para dejarlos completamente fuera de línea. Desafortunadamente, aunque no sea para delinquir, pero sí para estar 100% seguro de que el móvil no está reportando nada, ya es raro que puedas retirar la batería, casi todos la tienen integrada.

    Algunos terminales, como el PinePhone de Pine64, y otras marcas dedicadas a crear móviles seguros y para mejorar la privacidad, han agregado switches por hardware para el apagado de módulos sensibles. Es decir, unos interruptores físicos con los que puedes apagar partes como la cámara, el micrófono, o el módem WiFi/BT, para estar seguro cuando no estés usando estos elementos.

    Como la inmensa mayoría de modelos no lo tienen, una de las pocas cosas que podemos hacer para evitar el espionaje por la cámara del dispositivo, es simplemente comprar pestañas para tapar ésta cuando no la usas. Sin embargo, los actuales sistemas multisensor para la cámara trasera o principal de los móviles, han hecho que esto sea un poco más difícil, aunque sí que sigue siendo posible en la frontal. Algunos móviles incluyen detalles para mejorar la privacidad como una cámara que se puede ocultar, lo cual también se agradece.

    No me gustaría dejar en el tintero los sensores biometricos, como los lectores de huellas digitales, reconocimiento facial o de ojos. Estos datos también son sensibles, y únicos, por lo que no es una buena idea que caiga en manos equivocadas. Desafortunadamente, cada vez los fabricantes lo ponen más complicado para eludirlos. Por ejemplo:

    Tarjeta de memoria y cable USB: cuidado dónde los metes

    Más allá de todo lo dicho anteriormente, otro aspecto al que prestar atención es a la tarjeta de memoria y al puerto USB de datos. Son elementos por los que no hay que olvidar que se puede pueden usarse como vectores de entrada para malware. Para evitarlo:

    ¡Desactiva la depuración ya!

    El modo de depuración, o debugging, de Android, puede ser práctico para acceder a ciertas funciones o información importante para desarrolladores, o en ciertos casos específicos. Sin embargo, no lo deberías tener activo por norma, ya que algunos ataques podrían aprovecharlo. Para desactivar este modo:

    1. Entra en Ajustes de Android.

    2. Podrás buscar en el buscador «desarrollador» y te aparecerá Opciones de desarrolaldor.

    3. Entra, y desactiva esta opción.

  • Si no está activa, no aparecerá. En caso de necesitarlo, podrás activarla si vas a Ajustes > Sobre el teléfono > Toca 11 veces sobre la versión de Android o de la Build de la UI. Ya has activado esta opción.

  • ¿El origen del smartphone importa?

    LG Wing con pantalla giratoria

    Por último, y no menos importante, siempre se deberían elegir marcas que no estén en las listas negras de ciertos gobiernos por su dudosa seguridad (y no me refiero a las marcas «castigadas» por guerras geopolíticas). Mucho mejor si son europeos, aunque en ese sentido no hay demasiado para elegir. Por ejemplo, el FairPhone, que es de Países Bajos y orientado a mejorar la seguridad, privacidad del usuario, y más sostenible.

    Otra opción es usar dispositivos móviles orientados especialmente a la seguridad, privacidad y anonimato. Magníficas opciones para uso profesional, como por ejemplo, los de Silent Circle, aunque si tienes en cuenta todos los consejos de este tutorial, puedes elegir el que prefieras, y obtener buenos niveles de seguridad.