Android vs. iOS: características, políticas y controles de seguridad

El debate sobre la seguridad de Android vs. iOS sigue su curso, y ambas plataformas se han ido adaptando mejor a las necesidades de las empresas desde sus respectivos lanzamientos. Pero los dos sistemas siguen presentando riesgos que requieren un cierto análisis y, cómo no, soluciones.

Históricamente, los departamentos de TI se han decantado hacia las plataformas BlackBerry y Windows Mobile por sus sistemas de seguridad para la gran empresa y sus prestaciones de administración de dispositivos móviles. Por ejemplo, todos los smartphones de BlackBerry soportan políticas de seguridad y aplicación controladas centralmente y tienen sólidos sistemas de encriptación por hardware para la información en reposo y en tránsito sin necesidad de introducir aplicaciones de terceras partes.  

Pero a los trabajadores de hoy día ya no les basta con los dispositivos BlackBerry. Con la llegada de los smartphones, los usuarios se ven obligados a decidir entre plataformas, entre Android o iOS. Los empleados traen sus smartphones al trabajo, cuenten o no con el apoyo de los empleadores. Por tanto, es preciso que los administradores estén al corriente de algunas cosas respecto a las características de seguridad y los riesgos de Android e iOS para ofrecer una mejor protección tanto de los dispositivos como de la información.

Bajo las tapas: postura de seguridad Android versus iOS

El iPhone original carecía de algunas funciones de seguridad básicas, lo mismo que el Android. Actualmente, las plataformas están en su cuarta y quinta generación, respectivamente, y tanto Android como iOS ofrecen características y políticas de seguridad considerablemente más robustas.

Bajo las tapas, tanto iOS 5 como Android 4.0 Ice Cream Sandwich usan procesos aislados para aislar sus aplicaciones entre sí y de otros elementos sensibles del sistema operativo. Una de las características de seguridad de iOS es que una aplicación no puede buscar, ver o modificar códigos o datos de las demás. En otras palabras, las aplicaciones no tienen acceso raíz al núcleo o a los recursos sensibles del dispositivo. Todas las aplicaciones operan con los mismos permisos de baja granularidad, salvo unas pocas excepciones controladas por los usuarios, como el acceso a la ubicación y las notificaciones.

La seguridad de Android difiere de la de iOS en que las aplicaciones de Android no pueden verse o modificarse los datos entre ellas, pero sí pueden examinarse los códigos y compartir acceso a dispositivos extraíbles de almacenamiento, como una tarjeta digital segura (SD). Android también tiene un modelo de permisos granular a la carta por el que los usuarios deben otorgar derechos a cada aplicación en el momento de su instalación. Los usuarios sólo tienen estas opciones: conceder los permisos y descargarse la aplicación o denegarlos y no descargarla. Esto da a los desarrolladores de aplicaciones más facilidades para crear aplicaciones que abusen de los permisos.

Desde una perspectiva de administración de riesgos, el planteamiento de seguridad de la plataforma iOS hace más difícil el abuso por parte de aplicaciones maliciosas o pobremente escritas, pero ambas plataformas son vulnerables a los ataques vía navegador. Por ejemplo, las aplicaciones de iOS descargadas mediante jailbreak usan bugs en el navegador Safari. Desde una perspectiva de mitigación de riesgos, la estrategia de seguridad e Android es más flexible: los escáneres antimalware pueden detectar aplicaciones maliciosas en Android pero no en iOS.

Aplicando las normas: controles de seguridad en Android vs. iOS

Tanto iOS 5 como Android 4.0 soportan de forma nativa los controles de seguridad normalmente exigidos por las empresas, incluyendo el control de acceso a nivel de dispositivos, bloqueo/limpieza remotos y encriptación de la información en reposo y en tránsito. En ambos sistemas operativos, los departamentos de TI pueden requerir usar un PIN o contraseña de complejidad específica, autobloquear la pantalla del dispositivo después de un periodo de inactividad o bloquear remotamente el dispositivo conectado a la red. La seguridad de Android soporta también opciones de bloqueo basadas en el reconocimiento de patrones y características faciales, pero no son suficientemente robustas para su aplicación a nivel empresarial.

En algunos casos los hackers pueden sortear los controles de acceso – acceso remoto a un dispositivo que ha sido manipulado o extracción física de una tarjeta SD para Android—. Si se manipula un dispositivo para hacer un jailbreak, el atacante puede acceder al mismo de forma remota registrándose con la contraseña raíz. El hacker no se verá obligado a ingresar la contraseña normal del usuario para el bloqueo de pantalla, pero seguirá teniendo acceso al dispositivo en su totalidad. Asimismo, si se extrae físicamente la tarjeta SD del aparato Android, el intruso puede insertarla en otro dispositivo y acceder sin problemas a los datos –correo electrónico, archivos adjuntos, etc.—almacenados en el dispositivo original.

Ambas plataformas soportan también la limpieza remota, pero sigue habiendo diferencias en cuanto a implementación y efectividad. Con iOS, TI puede invocar una limpieza remota completa o de todos los dispositivos conectados a la empresa utilizando las interfaces de programación de aplicaciones (APIs) para la administración de dispositivos móviles (MDM) de Apple. Las APIs eliminan sólo aquellas políticas y aplicaciones instaladas por medio de un sistema de MDM dejando, por lo demás, intacto el dispositivo. En Android, la limpieza remota requiere instalar previamente una aplicación de terceros, como un agente MDM, o configurarlo con Microsoft Exchange ActiveSync. En este caso, el departamento de TI puede limpiar todo el dispositivo o seleccionar determinados datos y aplicaciones; si hace una limpieza total, simplemente procederá a resetear el aparato y lo devolverá, por defecto, a los ajustes iniciales de fábrica, eliminando los contenidos de la tarjeta SD.

Las dos plataformas pueden usar encriptación para proteger los datos en reposo, pero las capacidades del hardware varían de modelo a modelo. Todos los dispositivos iOS desde el iPhone 3G S han permitido la encriptación mediante el estándar avanzado de cifrado de 256 bits a fin de proteger la información en flash, la cual se desbloquea vía PIN/contraseña. Las aplicaciones también pueden aplicar un segundo software de encriptación a sus propios datos. Por ejemplo, el cliente nativo de correo encripta los mensajes y los archivos adjuntos. Algunas (no todas) las tabletas Android que usan Android 3.0 Honeycomb y versiones superiores, así como el smartphone Android 4.0, soportan la encriptación mediante hardware. Cada vez es más frecuente que las aplicaciones de Android para empresas usen software de encriptación para proteger sus propios datos, independientemente de las capacidades del dispositivo.

Finalmente, ambas plataformas soportan una variedad de métodos de encriptación inalámbrica, como la protección del correo y la Web por Secure Sockets Layer/Transport Layer Security, acceso a Wi-Fi protegido (WPA y WPA2), además de varios clientes nativos de redes privadas virtuales (VPN). Android 4.0 añadió una API para permitir el desarrollo por terceros de clientes para el Protocolo de Seguridad de Internet VPN (todavía no está disponible en iOS, excepto para la VPN de Cisco Systems, que iOS soporta de forma nativa). El departamento de TI puede configurar remotamente las cuentas para exigir la protección de la información móvil de ambas plataformas, aunque de momento los ajustes son más flexibles en iOS que en Android.

Stop al malware: procedencia de las aplicaciones Android versus iOS

A la hora de mitigar el riesgo para las empresas, la diferencia más importante entre iOS y Android en materia de seguridad se centra en la gobernanza de la distribución e implantación del software de terceros. Apple ejerce un control de hierro sobre las aplicaciones para iOS, revisando todas las solicitudes de terceras partes para asegurar la aprobación previa de todas las APIs y exigiendo que todos los desarrolladores firmen el código con certificados emitidos por Apple. Los usuarios no pueden instalar aplicaciones en los dispositivos iOS a no ser que las descarguen de la App Store de Apple o de la tienda de aplicaciones de una empresa. Google tiene un enfoque más abierto y permite a los desarrolladores que firmen el código con certificados autoemitidos y que publiquen aplicaciones en Google Play sin una revisión previa. (Google Bouncer hace un filtrado en busca de aplicaciones maliciosas, pero no es, propiamente dicha, una revisión previa a la publicación). Los usuarios pueden cambiar un ajuste para permitir side loading, lo que les permite instalar aplicaciones procedentes de otras fuentes.

El rigor que ejerce Apple en su proceso de revisión y autorización ayuda a prevenir la entrada de malware en los dispositivos iOS. Aunque existe, hasta ahora el malware para iOS sólo ha infectado dispositivos que han sufrido un jailbreak. (Esto es debido a que estos dispositivos sortean las normas de Apple para descargarse aplicaciones ajenas a la App Store). Por otro lado, se han documentado ya varios cientos de brotes de malware en dispositivos Android, incluyendo algunas conectadas con aplicaciones de Google Play. Google se ha movido con rapidez para eliminar el malware de su tienda y de los dispositivos afectados, pero sigue siendo más sencillo atacar el sistema operativo Android.

MÁS INFORMACIÓN ACERCA DE LA SEGURIDAD DE ANDROID Vs. IOS

Protección de datos: Guía de seguridad para Apple y Android

Los ataques contra el iOS de Apple son una cuestión de tiempo

La seguridad de dispositivos Android en los departamentos de TI

6 características de iOS 6 a las que deberían prestar atención los departamentos de TI

El departamento de TI de la empresa puede hacer un inventario remoto de las aplicaciones instaladas tanto en dispositivos iOS como Android. Cuando es apropiado, TI también puede eliminar aplicaciones instaladas en un aparato Android, pero iOS no permite la limpieza forzosa de las aplicaciones bajadas de la App Store por el usuario. El control de las aplicaciones es un área en permanente innovación en ambas plataformas. Habrá que estar atentos a las nuevas posibilidades que van surgiendo para ayudar a los departamentos de TI a administrar las aplicaciones y los riesgos de seguridad, tanto en iOS como en Android.