¿Son las actualizaciones oficiales un peligro?

por:

Regresamos con otro post sobre seguridad para centrarnos hoy en un manido consejo que, pese a estar extendido, como tantas otras cosas, no tiene por qué ser cierto.

Hablamos de la archiconodia recomendación de que para garantizar la seguridad en nuestros equipos y mantenernos alejados de “bugs” debemos mantener actualizado tanto nuestro sistema operativo como nuestras aplicaciones residentes. Y, por supuesto, asegurarnos también de que dichas actualizaciones provengan de una fuente “oficial”, es decir, de los propios fabricantes del software que estamos actualizando.

Bien, sobre el papel y a modo teórico, nada que objetar a tal consejo. Pero veremos que la práctica es otra cosa bien distinta.

Todo comenzó con dos autoridades en la materia contradiciéndose mutuamente y a través de sus posiciones tanto en redes sociales como a nivel público.

De un lado, Eugene Kaspersky, fundador y CEO de la empresa de antivirus que lleva su apellido (que dicho sea de paso, sabe lo suyo de esto de la seguridad online) no dudó en posicionarse a favor de las actualizaciones oficiales como primera y elemental línea de defensa de cara a mantener nuestros equipos lo más protegido posibles.

En la otra esquina del ring, tenemos a John McAfee, también fundador de la otra gran compañía de software antivírico que también lleva su nombre (y que cada vez que abre la boca dispara contra todo lo que se mueve y también sabe lo suyo en materia de seguridad). En este caso, no dudó en criticar precisamente las actualizaciones de software oficiales como otra puerta más de entrada de basura y peligros para nuestra privacidad y seguridad en las comunicaciones.

Suya es una frase mítica que ronda por las redes sociales y que vale su peso en oro por lo clara que es: “¿Para qué demonios necesita una aplicación de móvil que es una linterna, tener acceso a mi ubicación y lista de contactos?“. Como lo ven, sentido común no le falta al bueno de McAfee.

Las actualizaciones oficiales como fuente de spyware

Y es que hace tiempo que las compañías de software (hablo de las grandes y es público ya que Google, Microsoft, Facebook, Apple y compañía colaboran con agencias gubernamentales estadounidenses como la NSA, el FBI y la CIA entre otras, para espiar dispositivos a lo largo y ancho del planeta) insertan en sus propios sistemas operativos, programas y aplicaciones, puertas traseras además de complementos que no hacen “sólo” lo que afirman en sus declaraciones iniciales de Términos de Uso.

Desde los años 90´s se viene especulando de forma más o menos pública con que Microsoft no sólo no corregía sino que además fomentaba bugs de seguridad en sus sistemas Windows, que después eran aprovechados por las autoridades para acceder a los equipos de forma remota.

Pero, claro, la paranoia casi veinte años después en materia de privacidad (gracias a las filtraciones de Snowden y Wikileaks) ha alcanzado ya niveles máximos, siendo ya público y oficialmente reconocido que la NSA tiene programas bien estructurados de intervención de comunicaciones e infiltración en equipos informáticos de todo el mundo y de cualquier sistema operativo. A nadie se le escapa que esto, de facto, no se podría hacer si los desarrolladores no colaborasen activamente en este tipo de tramas.

CÓMO ACTÚAN ILÍCITAMENTE LAS ACTUALIZACIONES OFICIALES.

Todos sabéis que, por ley, las aplicaciones que descargamos (ya sea desde Google Play para Android, Apple Store para Iphone o repositorios oficiales similares para Windows y Mac) deben informar de los “permisos” que dichas aplicaciones requieren del usuario, de manera que se supone que no sólo estamos informados sino que “aceptamos” conceder estos permisos al descargar a instalar.

Actualización mostrando los permisos que necesita

Pronto los usuarios empezaron a ser reticentes a eso de que cualquier app, juego, o software de conexión a una red social, necesitara “conocer nuestra ubicación”, “escribir mensajes o tweets en nuestro nombre”, y “acceder a nuestra lista de contactos” entre otras lindezas. De manera que muchas descargas no se convertían después en instalaciones cuando el usuario leía estas condiciones que la ley obliga informar a las compañías de software.

Así que se activó la trampa de las actualizaciones. Y aquí es donde viene el peligro.

Los desarrolladores crearon una ingeniosa metodología para burlar esta barrera legal. Proporcionarían la aplicación o programa a descargar, sin solicitar privilegios lesivos o que llamaran la atención del usuario. Es decir, la aplicación “literna” sería sólo eso, una linterna en el móvil, sin más intrusismo para la privacidad. De este modo, el usuario la descarga e instala confiado.

Y una semana o dos más tarde, en una de esas maravillosas descargas y actualizaciones que la mayoría de la gente tiene configurada de manera automática cuando hay una red wifi activada, se descargaría el paquete que sí es lesivo y sí atenta contra la privacidad y la seguridad de los usuarios, sin que la empresa desarrolladora de software se vea obligada a informar de nuevos términos de uso en la descarga de la actualización. Y ahí es donde la aplicación “literna” (como cualquier otra que sirve de ejemplo) se hace con el contro de nuestra ubicación activando el GPS del móvil cuando le plazca; accede a nuestra lista de contactos; de correo; o posee permisos de administración de nuestras redes sociales.

software_companies

Vamos, lo que el bueno de McAffee alerta a todo el que le quiere escuchar.

¿Son oficiales estas actualizaciones?. La respuesta es un rotundo sí.

¿Proceden de lo que los antivirus reconocen como una fuente segura?. Por supuesto. Son actualizaciones de los mismos desarrolladores de la aplicación.

¿Son un peligro para nuestras comunicaciones, privacidad y seguridad online y offline? Definitivamente.

De modo que, mucho cuidado con el axioma manido de que mantener actualizados nuestros sistemas operativos y programas, con las mejoras de los propios desarrolladores reconocidos, son garantía de seguridad.

Como os decíamos al comienzo de este post, la práctica es a menudo una buena fuente de desmitificar buenos consejos y las propias compañías oficiales de software son, también a menudo, uno de los principales proveedores de peligros para nuestra privacidad y seguridad.

Saludos cordiales a [email protected]

The following two tabs change content below.

Alquimista

Hackeando la vida de 8 a 14 horas. Escribo con pseudónimo porque mucho de lo que se escribe debe ser anónimo en materia de seguridad y hacking. Creo en un conocimiento libre, en un pensamiento libre, en un software libre y, en suma, en una mente libre. Década y media de experiencia en materia de hacking y seguridad informática y no informática.

Deja una Respuesta