Tómate un respiro, tómate un Kit Kat

Hace unas semanas se conoció que Google había dejado de desarrollar actualizaciones de seguridad para los sistemas Android cuya versión sea anterior a 4.4 (también denominada Kit Kat). Esto ha causado bastante revuelo ya que se trata de una decisión que afecta a la seguridad de más 900 millones de dispositivos, casi nada.

Es importante tener en cuenta que las versiones 4.3, 4.2 y 4.1, si nos fiamos de la Wikipedia, son de julio de 2013, noviembre de 2012 y julio de 2012, respectivamente. Es decir, que la versión 4.1 no tiene ni siquiera tres años. No parece un tiempo excesivo como para dejar de dar soporte en materia de seguridad, ¿cierto?

Es evidente que sin soporte por parte del fabricante para corregir los problemas de seguridad del sistema el dispositivo queda vulnerable y, por consiguiente, también el usuario. En cierto modo, no disponer de las actualizaciones para la corrección de vulnerabilidades produce una obsolescencia del dispositivo, no por cuestiones de rendimiento como venía ocurriendo hasta el momento en los dispositivos tecnológicos, si no por cuestiones de seguridad. No podemos olvidar que no estamos hablando de lavadoras que se quedan obsoletas, sino de dispositivos que acumulan un volumen muy importante de información personal: fotografías, correo electrónico, accesos a redes sociales, banca electrónica, etc., y que van a ser uno de los principales objetivos del cibercrimen.

El descontento por parte de los afectados ha sido sonado, hecho que pone de manifiesto que las cuestiones relativas a la seguridad ocupan cada vez una posición más importante entre las prioridades del usuario final. Así pues, no sería de extrañar que en el medio plazo el soporte para la corrección de vulnerabilidades pase a ser un punto clave a considerar a la hora de adquirir un terminal. Por otra parte, desde el punto de vista de los fabricantes, cabe esperar una respuesta que dé cobertura a las necesidades de los usuarios en materia de seguridad, ya sea como un valor añadido o como un aspecto básico más a considerar.

Con este planteamiento (y con un poco de imaginación), las características del nuevo mega_smartphone_007 podrían tener un aspecto tal que así: pantalla ultra HD 6.2”, triple SIM, 128 GB de almacenamiento, 8GB de memoria RAM, cámara de 26 megapixels… [añada los N+1 acrónimos de su gusto] y soporte para la corrección de vulnerabilidades y mejora de la seguridad durante los próximos ‘x’ años.

Dejando al margen los supuestos sobre cómo se trasladarán a las características del dispositivo los aspectos relativos a la seguridad, una cosa está clara: si formas parte de los usuarios afectados te han hecho un roto. ¿O no?

El caso de Google nos sirve de ejemplo para iniciar el análisis de un tema que en el futuro tendrá gran repercusión en la seguridad de nuestra información y que dará mucho que hablar. Hay varios enfoques que pueden ser interesantes en esta problemática:

a) Como usuario final, ¿qué derechos tenemos como consumidores?, ¿qué medidas podemos adoptar a título personal? Si existe legislación en torno a la disponibilidad de piezas de repuesto, ¿no es razonable ampliar esta obligación al ámbito del software? ¿Aceptaríamos que los fabricantes de automóviles dejasen de fabricar piezas de respuesto para los vehículos pasados tres años desde su lanzamiento?

b) Como fabricante, ¿qué coste implica tener en funcionamiento un número amplio de versiones?, ¿es preferible una menor frecuencia de actualización y saltos más «grandes» y espaciados?, ¿cómo afecta eso a un mercado tan dinámico como el de los smartphones?

c) Como empresa, ¿qué postura debemos adoptar para no ver repercutida nuestra seguridad?, ¿cuál es el coste de reemplazo de todos los dispositivos que serán potencialmente vulnerables en un futuro cercano?, ¿cómo encaja aquí BYOD y los dispositivos vulnerables de los usuarios?, ¿qué parte de un SGSI deberíamos adaptar para considerar estas necesidades de seguridad?

Profundizaremos en el tema considerando alguno de estos enfoques en futuras entradas. Sobra decir que cualquier sugerencia será bienvenida.

Comments

  1. ¿es la culpa de google por no dar soporte? ¿o es la culpa de las operadoras por no sacar las actualizaciones? La pescailla que se muerde la cola me parece a mi… Al final el perjudicado el usuario final.

    Mi opinión personal es que, visto que ahora se suele actualizar por OTA, el fallo esta en los operadores y, por ello, google abre esta batalla contra ellos( perjudicando,eso si, al usuario final).

  2. Un detalle a tener en cuenta: las actualizaciones para corregir vulnerabilidades tampoco pueden siempre instalarse en los equipos si el fabricante u el operador no las liberan así que si tu fabricante no quiere, no te actualizas por mucho soporte que dé Google.

    A Google le interesa que los usuario actualicen y usen las ultimas versiones del sistema operativo, pero son las operadoras y los fabricantes los que quieren que sus teléfonos no se actualicen para que compremos terminales nuevos y firmemos permanencias nuevas.

  3. La culpa es del usuario, simple y llanamente. El mercado te ofrece una gran cantidad de marcas, si compras una marca a la que solo le importa vender un nuevo terminal cada 2 años máximo, es culpa del usuario.

    Si la gente dejara de comprar terminales que quedaran sin nuevas actualizaciones a los mocos meses de la compra, las empresas acabarían por solventar dichos problemas.

  4. ¿Y quien espera actualizaciones? Los fabricantes se resisten fuertemente a sacar actualizaciones incluso aunque las saque Google. Así que en realidad el hecho de que Google deje de mantener equipos con versiones viejas afecta prácticamente en nada al usuario final, que de todas formas no tenía actualizaciones porque el fabricante opina que así como se vende se queda y si quieres algo diferente compra el modelo nuevo.

  5. Hola,

    felicidades por el artículo, totalmente de acuerdo.
    Tengo un teléfono nexus y lo compré por el soporte directo de google… google dejó de actualizarlo en la versión 4.3 ahora tengo que ver qué proyecto alternativo (cyanogen) me permite estar tranquilo y no pensar que llevo todos mis datos en un dispositivo vulnerable a múltiples vulnerabilidades ya no tan recientes.

    Mi última compra? Un ipad y sólo por el soporte del SO.

  6. Hola a todos.

    En primer lugar quiero agradecer vuestro interés y comentarios.
    Con este tipo de artículos (de carácter poco técnico y cuyo objetivo es abrir el debate sobre un tema que en la mayor parte nos afecta como usuarios), la aportación por parte de los lectores es especialmente valiosa. Muchas gracias.

    Dicho esto y con la intención de no extenderme demasiado incluyo mi opinión sobre lo que habéis indicado:

    – Google. Con independencia de si el resto de operadoras despliegan sus actualizaciones o no, creo que sería cuanto menos necesario que ofreciera soporte al menos durante 3 años. Por decir un número, menos de 3 años me parece inaceptable.

    – Operadoras. Desde mi punto de vista, deberían tantas actualizaciones como lo hiciera el Google o, como mínimo, durante los 3 años consecutivos.

    – Usuario. En muchos casos (me atrevería a decir, en la mayoría de casos), el usuario final no dispone de información precisa y da por supuesto que su nuevo smartphone no quedará desfasado antes de que cante el gallo. No quiero restarle importancia a la responsabilidad que cada uno de nosotros tenemos al realizar una compra, pero me consta que no es fácil conocer con detalle los aspectos relativos al soporte y mantenimiento tendremos por parte del fabricante / operadora, etc. En esta situación, resulta complicado tomar una decisión adecuada.

    Nuevamente, gracias por vuestras aportaciones.

    Un saludo,
    Samuel.

Trackbacks

  1. […] me recuerda a la entrada que escribió Samuel hace unas semanas sobre las vulnerabilidades en Android; ¿es de recibo o incluso, debería ser legal, que un fabricante se permita el lujo de […]

  2. […] me recuerda a la entrada que escribió Samuel hace unas semanas sobre las vulnerabilidades en Android; ¿es de recibo o incluso, debería ser legal, que un fabricante se permita el lujo de […]