Read the rest of the post ' El riesgo de pedir demasiados datos personales en los Hoteles '
Hoy, queridos lectores, os traigo un artículo con el que quiero profundizar en una mejora de seguridad que ha sido añadida por Google en su sistema Operativo Android: las revisiones automáticas de permisos de aplicaciones.
Espero que, a estas alturas, todos entendamos los peligros de otorgar demasiados privilegios, no necesarios, a las aplicaciones que instalamos. Un ejemplo de ello son las aplicaciones de Sudoku que nos piden acceso a la cámara y al micrófono o las propias redes sociales que no piden acceso al almacenamiento del dispositivo.
Esto no supone solamente un riesgo para la privacidad del usuario, sino también un vector de entrada claro para cualquier ataque contra nuestros dispositivos móviles.
Pues bien, siendo conscientes en Google de todos los problemas de seguridad en Android que proceden de este hecho y de la mala publicidad que se arroja sobre el Sistema Operativo (como la reciente declaración de Apple donde cita informes de Nokia de 2019 y 2020 que sitúan que estos sistemas tienen entre 15 y 47 veces más infecciones que el suyo); han querido dotar al sistema operativo del que me parece uno de los mayores avances en seguridad desde hace mucho tiempo. Se trata de una evolución en su capa de protección, llamada Play Protect, que ahora hace un análisis automático de las aplicaciones que tenemos descargadas (como ya venía haciendo), pero también revisa cuándo emplearon por última vez los permisos que tenían concedidos. Os explicaré en detalle por qué me parece una implementación tan acertada de un sistema.
Lo primero, como se puede ver en la imagen que pongo a continuación, es que no es algo que tengamos que activar (no como la decisión de cifrar el dispositivo o de cifrar las tarjetas SD que usamos para que los datos sean seguros, y que ya comenté en el pasado), lo que directamente aporta al usuario una mejora de la seguridad sin causarle ninguna fricción (no tiene que ponerse a pensar qué es esta característica de seguridad o si le interesa).
Lo segundo que hace bien es que no dependan del usuario esas acciones de remediación, es decir, como usuario, no tengo que gestionar alertas que me dicen “creo que la app X tiene privilegios peligrosos, revísalos” y yo lo único que pienso es “leñe, si tan peligrosos son y ya los tienes identificados, dime cuáles son o quítalos directamente”. De nuevo, reducimos fricción al usuario. Es básicamente seguir la filosofía de los antivirus con la que estamos más familiarizados: primero bloquean el fichero que sospechan que es una infección y, luego, ya nos avisan de que se ha bloqueado y de que tengamos mucho cuidado si queremos verlo, que sólo lo hagamos si estamos seguros de ello. Con esto ya estamos consiguiendo girar el paradigma de la seguridad de “lo permito todo ante la duda de si será bueno o no” hacia “lo bloqueo ante la duda hasta que sepa seguro que es bueno”, algo que en opinión de este escritor es una bendición para un campo como el de la ciberseguridad.
El tercero de los puntos clave es, justamente, que no es algo irrevocable, sino que, una vez realizadas las acciones, el usuario puede tomar decisiones e incluso deshacer las acciones tomadas, siendo además un panel bastante accesible y amigable - solo hay que ir a Play Store > Play Protect y darle a una de las dos únicas acciones que nos permite (“Ver Aplicaciones”) para revisar los permisos que se han quitado - o, simplemente accediendo a la aplicación para ir a usarla, nos volverá a pedir los permisos como la primera vez que la instalamos.
Y, es más, la funcionalidad tiene comportamientos tan útiles como:
- Quitar todos los permisos de aquellas aplicaciones que no hemos usado en 3 meses. Esto es genial porque no elimina la aplicación, por si es una de esas aplicaciones que usamos para cuestiones muy puntuales, como la de la declaración de la Renta, pero sí evita que, de verse comprometida la aplicación, ésta no tenga permisos en el dispositivo para poder llevar a cabo acciones maliciosas.
- Poder desactivar estos análisis en las aplicaciones que más usamos (ej.: este autor se pasa el día con Excel en su móvil y acabé harto de tener que volver a darle los mismos permisos una y otra vez cada cierto tiempo), tras haber visto que, efectivamente, la aplicación requiere de esos permisos legítimamente, de modo que le quité ese análisis automático.
- Activar un acceso directo a ver todos los permisos de la aplicación para ver todos los que tiene concedidos. Por seguir con el mismo ejemplo, vemos que Excel, de normal, pediría acceso a Contactos y Cámara, pero no son realmente necesarios para el uso que yo hago de Excel, luego siguen desactivados para siempre.
En definitiva, que se trata de una mejora de la seguridad que, si nos interesa como usuarios, podemos personalizar a nuestras preferencias, pero, si no, sigue operando sin que tengamos que hacer nada, protegiéndonos eficazmente de este riesgo tantas veces explotado. Y es que esto debería ser la ciberseguridad en opinión de este autor: una ayuda, una palanca para el usuario, que no le añada más tareas o preocupaciones, sino que le permita seguir con su uso habitual de la manera más sencilla, segura y poco intrusiva que se pueda.
Espero que os haya gustado el artículo de este mes, ¡volveremos a vernos el mes que viene!