En los últimos meses hemos escuchado o leído una gran cantidad de noticias sobre nuevos ataques y vulnerabilidades explotadas en Android que ponen en riesgo a los usuarios. Por otro lado, casi cada mes vemos una nueva lista de aplicaciones en Android que inyectan malware a nuevos dispositivos, y esto parece estar muy lejos de terminar.
La gran pregunta es… ¿por qué Android es un blanco de ciberataques?, ¿en realidad es menos seguro que iOS?, ¿Google necesita invertir más dinero y recursos en seguridad?
Aunque en primera instancia podría parecer que iOS es más seguro que Android, y que Google debería invertir más dinero en seguridad, la realidad es que todo esto es mucho más complejo de lo que parece, pues Android es catalogado por firmas de seguridad como más seguro que iOS, y Google invierte más dinero en seguridad que Apple.
Se puede sacar más dinero atacando Android que iOS
Según las últimas cifras de distribución y activación, Android tiene actualmente más de 2,500 millones de dispositivos activos en el mundo, mientras que Apple tiene 900 millones de iPhone activos en el mercado.
Esto significa que hay casi 3 veces más dispositivos Android que iPhone en el mercado, y desde ahí se vuelve mucho más rentable buscar una vulnerabilidad o intentar atacar un teléfono Android con malware, pues hay más probabilidades de éxito para un cracker de robar datos o espiar un dispositivo con Android debido a que hay muchos más equipos en el mercado.
Un caso muy concreto de lo anterior son todas las aplicaciones que con algún tipo de malware ejecutan anuncios “invisibles”, pues el hecho de poder infectar a más dispositivos en Android que en iOS se traduce en más probabilidad de ganancias, además de que en Android es más fácil infectar un dispositivo a través de la instalación de archivos APK.
Entonces la lógica para entender el por qué Android es mucho más atacado que iOS se basa en ‘Entre mayor cuota de mercado, mayores probabilidades de éxito’.
La fragmentación frena la seguridad
La fragmentación en Android es otro problema que afecta directamente a la seguridad, pues a pesar de que los parches de seguridad son liberados mes con mes y puestos en el código open source, muchas marcas tardan bastante tiempo en lanzar parches de seguridad, y si bien nos va recibiremos una actualización cada 3 meses, cuando algunos problemas requieren atención inmediata.
Google, Nokia, Samsung (con algunos modelos) son las únicas marcas que lanzan actualizaciones mensuales a sus dispositivos, esto quitando a los equipos que pertenecen al programa Android One, los cuales deberían recibir actualizaciones de seguridad mes con mes.
Por esa razón muchas veces las vulnerabilidades tardan más tiempo en solucionarse en equipos Android, pues Google no tiene control sobre sus actualizaciones de seguridad como sí lo tiene Apple de todos los iPhone del mercado.
Sin embargo, Android es más seguro que iOS
A pesar de que la fragmentación y la cantidad de dispositivos ayudan a los cibercriminales a aprovecharse de vulnerabilidades, varias firmas de seguridad reportan que al día de hoy Android ya es mucho más seguro que iOS.
¿Cuáles son los fundamentos de esta afirmación?, según firmas de seguridad como Zerodium, Android cada vez es mucho más difícil de hackear, e incluso cuesta mucho más trabajo encontrar vulnerabilidades, mientras que en iOS es mucho más rápido y sencillo hacerlo.
Zerodium es una empresa que paga a hackers por encontrar vulnerabilidades de día cero y zero click, y uno de los cambios más recientes en la empresa es que paga mucho más dinero por encontrar una vulnerabilidad en Android que en iOS, y lo hace así porque es más difícil encontrar una cadena completa de exploits para Android, y es casi imposible crear uno que no requiera interacción del usuario (zero click), según las palabras de Chaouki Bekrar, fundador de Zerodium.
Por otro lado, iOS es una “coladera” para iOS, pues recientemente se han encontrado una enorme cantidad de bugs con los cuales aprovecharse de iOS, mientras que Chrome es difícil de que se convierta en una puerta de entrada a iOS.
Y es que a pesar de que Apple ahora paga hasta 1.5 millones de dólares por encontrar una vulnerabilidad zero click, Google ha aumentado las recompensas por todo tipo de vulnerabilidades en Android y Chrome, además de que está invirtiendo fuerte en uno de los equipos de seguridad de élite más importantes de la actualidad como es Project Zero, que jústamente encontraron las últimas vulnerabilidades graves en iOS.