Cada vez que debemos hablar sobre seguridad informática, es probable que destilemos paranoia, pero lo más triste de todo es que esta clase de noticias son las que nos justifican automáticamente, y no importa qué tan buena sea la voluntad de los proveedores de servicios, alguien siempre encontrará un agujero por el cual entrar. El viernes pasado, investigadores de la Universidad de Ulm descubrieron una vulnerabilidad en Android, la cual afecta al 99 por ciento de los dispositivos que usan el sistema operaitvo de Google. El asunto ya se encuentra en manos de Mountain View, y la corrección aparentemente no requerirá ninguna clase de actualización sobre los móviles y tablets, pero deberá pasar un tiempo antes de que el sabor amargo se vaya por completo...
Podemos navegar, podemos descargar, y podemos ciertamente estar conectados, pero la pregunta que cada vez es más difícil de responder es si podemos confiar. La seguridad ha sido un tema verdaderamente caliente durante estos últimos dos meses. Ya casi no queda más por agregar sobre el incidente de la PlayStation Network que afectó a millones de usuarios. Fue el equivalente a una detonación nuclear para Sony, y todavía está recogiendo los trozos. Pero el caso que nos trae aquí hoy involucra a Google Android: El 13 de mayo pasado, tres investigadores de la Universidad de Ulm publicaron un contundente informe en el cual muestran cómo los denominados “tokens” de autenticación que el usuario recibe de Google al intentar ingresar ya sea a Calendar, Contacts o Picasa desde Android, son enviados por conexiones HTTP convencionales sin ninguna clase de cifrado.
Si estos tokens son solicitados a través de una red WiFi correctamente configurada y con todos los protocolos de seguridad activos, el riesgo sería menor, pero el problema surge cuando son requeridos en una red WiFi de acceso abierto. Estos tokens pueden ser capturados de forma relativamente sencilla, algo que ya de por sí es serio, pero hay dos detalles más: La duración de los tokens puede extenderse hasta dos semanas, y no están atados al dispositivo utilizado. En otras palabras, si intentas acceder a uno de estos servicios desde tu móvil o tablet vía WiFi pública, existe la chance de que alguien capture estos tokens para luego ingresar a tu lista de contactos, agenda y/o imágenes. Las únicas dos versiones de Android que no parecen tener este problema son la 2.3.4 (Gingerbread), y la 3.0 (Honeycomb), pero debido a la enorme fragmentación que sufre Android, estas versiones están disponibles en menos del uno por ciento de los dispositivos. La excepción a esto es Picasa, ya que sigue enviando tokens por HTTP sin importar la versión de Android.
Por suerte no ha habido ningún reporte de casos que hablen sobre usuarios afectados por esta vulnerabilidad, quedando así en la categoría de “potencial”, pero en Mountain View ya se han puesto a trabajar, emitiendo una actualización a nivel servidor que será aplicada de forma automática. En teoría, el usuario no debería hacer nada: No hay que actualizar ningún móvil o tablet, ya que Google lo corregirá desde su lado, probablemente forzando HTTPS en todos sus servicios y reduciendo el tiempo de validez de los tokens. Sin embargo, si tienes un dispositivo Android (independientemente de su versión), y has utilizado una red pública en estos días, una actitud muy sana sería cambiar la contraseña de tu cuenta de Google, y como siempre, nada de nombres de perros, gatos, novias, grupos de música o fechas de nacimiento. Una contraseña “de verdad”, sólo por si acaso.
Por suerte no ha habido ningún reporte de casos que hablen sobre usuarios afectados por esta vulnerabilidad, quedando así en la categoría de “potencial”, pero en Mountain View ya se han puesto a trabajar, emitiendo una actualización a nivel servidor que será aplicada de forma automática. En teoría, el usuario no debería hacer nada: No hay que actualizar ningún móvil o tablet, ya que Google lo corregirá desde su lado, probablemente forzando HTTPS en todos sus servicios y reduciendo el tiempo de validez de los tokens. Sin embargo, si tienes un dispositivo Android (independientemente de su versión), y has utilizado una red pública en estos días, una actitud muy sana sería cambiar la contraseña de tu cuenta de Google, y como siempre, nada de nombres de perros, gatos, novias, grupos de música o fechas de nacimiento. Una contraseña “de verdad”, sólo por si acaso.