Category Archives: Seguridad Android

08Nov/18

Cuántas apps maliciosas realmente hay en Google Play

Ya sea cierto o no,  la seguridad está percibida como uno de los puntos flacos de Android. Desde sus mismos inicios, el tópico de que un sistema abierto es más inseguro no ayudó a esta percepción; sin embargo, también es justo decir que Google tal vez no ha hecho lo suficiente para luchar contra estos […]
La entrada Cuántas apps maliciosas realmente hay en Google Play aparece primero en El Androide Libre.

Source: Android libre

08Nov/18

Apps falsas de bancos en la Google Play Store

Sabemos que hay que tener especial cuidado con las aplicaciones que instalamos ya que pueden sobrepasarse en los permisos, incluir malware o no ser lo que prometen antes de que las instalemos. Como suele ocurrir en cualquier producto de consumo, quien utiliza las apps debe ser responsable ya que le va su seguridad en ello. El […]
La entrada Apps falsas de bancos en la Google Play Store aparece primero en El Androide Libre.

Source: Android libre

30Oct/18

Rastrear tu localización usando tu móvil cuesta 5 dólares y algo de ingenio

La mayoría de las ocasiones los anuncios que aparecen en las apps son un “mal menor”. El precio a pagar por tener un servicio gratuito y de calidad, y uno que la mayoría de usuarios acepta sin problemas. Sin embargo, puede que no tengamos muy claro qué es lo que estamos pagando exactamente cuando usamos […]
La entrada Rastrear tu localización usando tu móvil cuesta 5 dólares y algo de ingenio aparece primero en El Androide Libre.

Source: Android libre

22Oct/18

Las llaves USB son el futuro de la seguridad, pero ¿funcionan con Android?

Cuando compramos un móvil o creamos una cuenta en un servicio, tenemos en cuenta muchos aspectos importantes, pero ¿alguno de ellos es la seguridad? Probablemente no, y debería ser una de nuestras prioridades.
La seguridad ya no es cuestión de crear una contraseña única o poco común; simplemente eso ya no es suficiente para enfrentarse a las hordas de hackers que quieren nuestros datos. Incluso aunque usemos la contraseña más difícil que se nos ocurra, no servirá de nada si el servidor es hackeado y obtienen nuestra contraseña en texto plano, por ejemplo.
La autenticación en dos pasos ya no es suficiente
La responsabilidad sobre nuestra seguridad no depende sólo de nosotros, los usuarios; también de los servicios y el hardware que usamos. Si uno de ellos no está a la altura, poco importa que el resto no lo esté; una cadena sólo es igual de fuerte que su eslabón más débil.
Android ha sido clave en mejorar nuestra seguridad, gracias a opciones como la autenticación en dos pasos. Este método consiste en comprobar que somos quienes decimos ser usando un segundo dispositivo o servicio. Un método muy común es enviar un correo o un mensaje con una clave.
Sin embargo, incluso estos sistemas son tan seguros como parecen; si un atacante tiene acceso a nuestro móvil, habiéndolo infectado con malware gracias a una app que hemos instalado, por ejemplo, podría obtener el código que hemos recibido y entrar en nuestra cuenta sin problemas. Los mensajes a correos también están cada vez más en desuso.

Por todo eso, Google ofrece un método alternativo (y más sencillo) de autenticación en dos pasos: un mensaje emergente que nos pregunta si realmente queremos dar acceso a nuestra cuenta. Pero incluso ese método tiene sus desventajas.
Las llaves USB de seguridad, la clave para nuestra privacidad
La clave puede estar en usar un dispositivo adicional para comprobar nuestra identidad; algo físico, que llevemos siempre encima como si fuera un documento de identidad, pero incluso más seguro. Y así nacieron las llaves USB de cifrado.
Estas llaves son memorias USB que guardan una clave criptográfica única; en los servicios compatibles, lo único que tenemos que hacer para autenticarnos es insertar la llave en nuestro ordenador. El programa o web obtendrá la clave y comprobará que es auténtica; así que, si no queremos, no tenemos ni que escribir nuestro usuario ni contraseña. Por todo esto, las llaves USB se han planteado como las verdaderas sucesoras de las contraseñas.

En estos momentos, las dos llaves más populares son las de YubiKey y Google. La primera, creada por la empresa de seguridad Yubico, está disponible en varios factores de forma; suelen ser pequeñas, y la idea es que las llevemos en nuestro llavero como una “llave” normal. Aunque también hay otras minimalistas, que están diseñadas para estar siempre en el conector USB de nuestro ordenador.
Por su parte, Google lleva un tiempo usando llaves USB para garantizar la seguridad en sus propias oficinas; y recientemente decidió compartir esta tecnología con el mundo. Las Titan Key son llaves USB que nos permiten iniciar sesión en Google sin necesidad de contraseña; son las mismas que la compañía usa, así que su seguridad está garantizada. Aunque en un principio sólo se venden en EEUU, es de esperar que con el tiempo vayan llegando al resto del mundo.
Llaves de seguridad para móvil, también existen
Probablemente te has dado cuenta de que sólo he hablado de ordenadores hasta ahora. Pero eso no significa que los smartphones, y Android en particular, no puedan disfrutar de esta tecnología. Los grandes fabricantes ya soportan el sistema operativo móvil por defecto, pero la mayoría ha decidido no usar el puerto USB.

Lo cual tiene sentido; el mercado de los smartphones está muy fragmentado en cuanto a las conexiones disponibles. Los más modernos y de gamas más altas ya usan USB-C, pero no podemos ignorar la gran porción del mercado de móviles con microUSB; eso sin mencionar Apple y su obsesión por seguir usando Lightning.
Por eso, los fabricantes de llaves han preferido optar por otros estándares, que no nos obliguen a conectar la llave al móvil.
Yubikey, la opción con NFC
En concreto, NFC parece ser la opción más popular; el Yubikey 5 usa este estándar para que sólo tengamos que pasar la llave por el móvil para desbloquear nuestra cuenta.

Es un proceso rápido que no requiere conectar nada, y que inmediatamente nos permitirá conseguir una conexión segura. No necesita energía y permite una llave pequeña que podemos llevar en el llavero.
Google apuesta por el Bluetooth
En cambio, en Google han optado por una versión de su llave con Bluetooth. La ventaja de esta implementación es que no tenemos que pasar la llave cerca del móvil; el alcance de Bluetooth es mucho mayor. Cuando compramos una Titan Key, vienen las dos versiones en la caja: la USB y la Bluetooth; así que no tenemos que pagar el doble, Google ofrece el paquete completo por 50 dólares.

La llave Bluetooth es más voluminosa que alternativas con NFC, y necesita una batería para funcionar (recargable por USB). Sin embargo, la mayor ventaja de usar Bluetooth es también su mayor desventaja; un ladrón podría iniciar sesión a distancia, mientras que con una llave NFC tendría que juntar el móvil y la llave. Pero claro, si nos roban la llave lo primero que tendríamos que hacer es desautorizarla para entrar en nuestra cuenta.
Ver vídeo
Como véis, ya hay opciones para iniciar sesión de manera incluso más segura en Android. Y es probable que en el futuro veamos más avances en este sentido, especialmente en el mercado móvil.La entrada Las llaves USB son el futuro de la seguridad, pero ¿funcionan con Android? aparece primero en El Androide Libre.

Source: Android libre

22Oct/18

Así protegerá Android las transferencias bancarias y otras operaciones críticas

Google ha anunciado una nueva API de seguridad para Android Pie que permite proteger transacciones de ataques maliciosos. El sistema parece sencillo, pero tiene ciertos detalles que merece la pena mencionar.
Android Protected Confirmation, la herramienta que da mayor seguridad a las transacciones
En el blog de desarrolladores de Android han presentado una nueva herramienta para Android 9 Pie. Su nombre oficial es Android Protected Confirmation, y su finalidad es proteger las transacciones que hagamos con nuestro móvil.

Imagina que utilizas la aplicación de tu banco para transferir una importante cantidad de dinero, por ejemplo, pagar la matricula de la universidad. Este nuevo sistema se integra en la aplicación de tu banco y antes de enviar dinero aparece en pantalla, indicándote que expreses tu consentimiento para enviar el dinero.
¿Y esto por qué es tan seguro? La respuesta se debe a que evita que ninguna aplicación realice operaciones sin tu aprobación. Imagina que por un casual un malware consiguiese acceder a la aplicación de tu banco y enviar dinero sin que nos enteremos. Con el uso de esta API la operación quedaría bloqueada hasta que apruebes, o deniegues, la operación.

Seguridad Android: Cómo tener el móvil Android más seguro
Si te importa la seguridad Android, te contamos los consejos para elegir el móvil más seguro del mercado, además de trucos para reforzar esa seguridad.

¿Por qué tenemos que hacer una acción?
Interrumpir el proceso para confirmar que realmente queremos autorizarlo puede parecer molesto, o incluso un paso innecesario por parte del usuario. La tecnología nos ha acostumbrado que todo debe de ser rápido, inmediato y transparente. O al menos, es lo que el público general termina asimilando.
Ver vídeo
Demostración de la nueva función de Android en el Omnipod DASH.
Esto no es así, y es que el objetivo final de la informática sea automatizarlo todo, existen ciertas operaciones que requieren una interacción humana obligatoria.
Hablamos de operaciones críticas, y enviar dinero es la más representativa de todas. ¿A quien le haría gracia descubrir un día que tu móvil ha vaciado tu cuenta bancaria y enviado todo tu dinero a una tercera persona? Creo que a nadie.
Una operación crítica jamas debe de ser aprobada por una máquina.
La autorización de una operación crítica siempre debe ser mediante la interacción humana. En la vida real suele ser mediante nuestra firma, y en el mundo digital a través de acciones que claramente sean intencionales.
Por ejemplo, Android Protected Confirmation exige que hagas una doble pulsación en el botón de encendido para confirmar que autorizas la aplicación. No es una acción que vayas a realizar por accidente, sino que requiere de una mínima voluntad de acción. Esa misma voluntad de acción descarta métodos como el reconocimiento facial, el cual tendría potestad de autorizar una operación por reconocerte, aunque tu no quieras.
Además de transferencias bancarias, la gestión de contraseñas es otro tipo de operación crítica que podría verse beneficiada de esta nueva API de Android.
¿Es seguro el control con el botón de encendido?

Realmente Google no ha confirmado que el Pixel 3 sea el único móvil que tenga esta medida de seguridad por la inclusión del chip Titan M, pero si leemos características en detalle del propio procesador podemos entender la razón por la que un chip de seguridad integrado es un requisito indiscutible para el funcionamiento de esta nueva característica.
Tal y como leemos en Wired, una de las características del chip Titan M es la posibilidad de leer el contacto eléctrico que hacen los botones físicos del Google Pixel 3 para permitir la acción.
El chip de seguridad Titan M impide emular por software la pulsación del botón de encendido.
Esta pequeña característica hace que el entorno de dar consentimiento esté a salvo, ya que el chip podrá identificar una pulsación real de una que cualquier software malicioso pueda intentar utilizar para engañar.

Así es Titan M, el chip de seguridad exclusivo de los Google Pixel
Google ha decidido tomarse la seguridad en serio, al menos en sus nuevos dispositivos. Y ha incorporado un chip exclusivo de seguridad para ello.

Primero en el Pixel 3, pero llegará a los fabricantes

Google ha confirmado que esta nueva herramienta forma parte de Android 9 Pie, pero no significa que cualquier móvil que tenga la última versión de Android vaya a poder utilizar esta nueva herramienta. En el momento de escribir este artículo, Android Protected Confirmation solo es compatible con los Google Pixel 3 y 3XL, descartando a las generaciones anteriores de dispositivos Pixel.
¿Cuál puede ser la razón de esta decisión? La más razonable es que sea la inclusión de Titan M, el nuevo chip de seguridad que Google ha incluido en su tercera generación de Pixel, lo que nos da a pensar que esta herramienta no llegará a ningún móvil anterior.
Google ha confirmado estar trabajando con otros fabricantes para que puedan implementar en sus móviles esta nueva medida de seguridad. Quizás móviles de Samsung, que ya integraban su suite de seguridad Knox, si que puedan recibir esta función en actualizaciones, pero como caso general asumimos que esta nueva herramienta llegará únicamente a nuevos móviles.

Análisis a fondo del Google Pixel 3 XL
Analizamos a fondo el Google Pixel 3 XL, aspirante al trono Android por naturaleza. Buen teléfono, cámara increíble, software puro de Google… Y notch.

La entrada Así protegerá Android las transferencias bancarias y otras operaciones críticas aparece primero en El Androide Libre.

Source: Android libre