- Global Voices en Español - https://es.globalvoices.org -

Desigualdad mundial en tu bolsillo: Cómo smartphones baratos y políticas poco rigurosas nos hacen vulnerables a la piratería informática

Categorías: Emiratos Árabes Unidos, Activismo digital, Economía y negocios, Medios ciudadanos, Tecnología, GV Advox

Tienda de telefonía móvil en Lusaka, Zambia. Foto de Curious Lee vía Flickr (CC BY-NC-SA 2.0)

Escrito por Nathalie Maréchal [1]. Nathalie es investigadora en Ranking Digital Rights.

En lo que se refiere a teléfonos inteligentes, no todos los usuarios han sido creados iguales. Gente de todo el mundo con ingresos bajos y medios dependen en su mayoría de aparatos con Android para comunicarse y compartir información, pero los teléfonos más baratos a menudo hacen a sus usuarios más vulnerables a los ataques informáticos y otras amenazas en línea.

Los aparatos con el sistema operativo Android representan el 88% del mercado mundial, los iPhone representan el 12% restante [2]. Pero tampoco todos los dispositivos con Android han sido creados iguales: los modelos creados y controlados directamente por Google, como los smartphones Nexus y Pixel, disfrutan de una protección significativamente mejor contra la piratería informática que los manufacturados por fabricantes como Samsung, Huawei, Sony o Xiaomi. También son mucho más caros, casi a la par con los iPhone.

Como resultado, los usuarios que pueden permitirse comprar aparatos nuevos de gama alta con más frecuencia están protegidos de muchas amenazas a las que la mayoría de usuarios –que usan modelos más baratos o no los reemplazan tan a menudo– sí son vulnerables.

Esto significa que quienes menos se lo pueden permitir son los más vulnerables al fraude, robo de identidad, estafas, ciberacoso, acoso sexual y otros peligros a los que una persona está expuesta cuando se viola su privacidad digital.

Esto es un problema serio de desigualdad a nivel mundial, pero no adecuadamente entendido.

Un nuevo estudio de Ranking Digital Rights, iniciativa de investigación sin ánimo de lucro que evalúa las prácticas de las compañías de telecomunicaciones, telefonía móvil e internet más poderosas del mundo en aspectos que afectan los derechos de los usuarios, ha encontrado que las compañías fallan a la hora de comunicar información básica acerca de cómo los teléfonos inteligentes (y el software que los hace funcionar) afectan la seguridad de los usuarios.

Todo lo que hacemos en un dispositivo móvil deja huellas digitales que se pueden usar para pintar un muy revelador retrato de quiénes somos, qué hacemos, qué compramos e incluso qué pensamos. Estos datos son valiosos para los publicistas; pero también para gobiernos, delincuentes y cualquiera que quiera causarnos daño.

Vehículo de MTN en Uganda, 28 de noviembre de 2005, CC 2.0.

Los investigadores están siempre encontrando nuevos fallos técnicos en programas del entorno móvil que los atacantes (incluyendo los financiados por el estado) pueden aprovechar, y qie les permite instalar software espía o incluso controlar aparatos de forma remota mediante el simple envío de un mensaje de texto a la víctima. Global Voices ha cubierto varios casos, sobre activistas iraníes [3], usuarios de Internet tibetanos [4]y otros.

Aunque algunos usuarios reciben «parches» de seguridad o actualizaciones del fabricante del software para arreglar el problema, lo cierto es que no todos los reciben. Y los fabricantes de los aparatos a menudo no explican a los usuarios por qué las actualizaciones son importantes.

Muchas compañías mantienen programas de «revelación responsable» que alientan a quienes descubren errores o problemas técnicos que se los cuenten, para poder desarrollar soluciones y hacerlas llegar a los aparatos que usan el software; normalmente mediante una actualización.

Esto funciona bastante bien desde la perspectiva de Apple y Google –las dos compañías que producen el software con el que funciona el 99,6 por ciento [5] de los teléfonos inteligentes de todo el mundo. A mediados de 2016, cuando un grupo de investigadores en seguridad liderado por Bill Marczak, entonces estudiante de doctorado en Berkeley, descubrió [6] que el gobierno de los Emiratos Árabes Unidos estaba usando un método extremadamente sofisticado, y antes desconocido, para atacar a defensores de derechos humanos con el objetivo de convertir sus iPhone en micrófonos que grabaran todo a su alrededor. Por fortuna, el disidente emiratí Ahmed Mansoor [7] no sólo no fue engañado por el ataque, sino que alertó a Marczak y sus colegas quienes, a su vez, informaron a Apple. Los ingenieros de Apple trabajaron horas extraordinarias para proporcionar un parche a los usuarios en menos de un mes. El equipo de seguridad de Android es igualmente diligente.

El problema llega con otros fabricantes de hardware para Android como Samsung, HTC y Xiaomi.

Por varias razones, estos fabricantes modifican el sistema operativo de código abierto Android de forma que se vuelve más difícil entregar actualizaciones de software. El código que Google publica tiene que ser modificado para ir de acierdo con los cambios hechos en el propio sistema operativo. Las compañías de telefonía móvil también efectúan sus propias modificaciones sobre las hechas por el fabricante del aparato, lo que añade un paso más al proceso y retrasa todavía más la entrega de actualizaciones. Apple no permite tales cambios en iOS, y Google controla el proceso de actualización para los Nexus y los Pixel comprados en Google Store.

Como resultado, en cualquier momento dado hay millones de usuarios de Android cuyos aparatos son vulnerables a fallos de seguridad conocidos –ataques que son conocidos por la comunidad mundial de seguridad en TI. Es como cerrar la puerta principal de tu casa con una llave de la que muchas personas tienen copia. Y debido a que estos aparatos son significativamente más baratos que los modelos Nexus y Pixel o que los iPhone, la gente pobre, socialmente marginada y con menos conocimientos tecnológicos –la misma gente que es más probable que acceda a internet exclusivamente a través de sus teléfonos inteligentes– es la que más probablemente está más expuesta a ataques informáticos.

Ranking Digital Rights: Índice de Responsabilidad Corporativa 2017

El Índice de 2017 clasifica 22 compañías según 35 indicadores en tres categorías [8]. Los indicadores miden si y qué tan bien las compañías revelan las políticas que afectan la libertad de expresión y la privacidad de los usuarios. El Índice evalúa las políticas de la empresa matriz, la empresa operadora y algunos servicios seleccionados (que dependen de la estructura de la empresa).

Lee acerca de la metodología [9], el proceso de estudio [10] y cómo RDR califica [9] a cada compañía en su sitio web [11]. Ranking Digital Rights fue fundada por la cofundadora de Global Voices, Rebecca MacKinnon [12].

Según nuevos datos publicados por Google, sólo la mitad de los dispositivos Android [13] recibieron un parche de seguridad en 2016, y solamente alrededor del 3% de los dispositivos en todo el mundo están equipados con la última versión del sistema operativo, «Nougat». Reconociendo que se trata de un problema serio, la Comisión Federal de Comercio [14] y la Comisión Federal de Comunicaciones [15] de Estados Unidos abrieron una investigación conjunta [16] específicamente sobre la distribución de parches de seguridad para dispositivos móviles. Sin embargo, más de un año después, ninguna de las agencias ha publicado respuestas de las compañías.

El Índice de Responsabilidad Corporativa 2017 de Ranking Digital Rights compara compromisos y divulgaciones públicamente disponibles que afectan los derechos humanos de los usuarios, incluyendo la libertad de expresión y la privacidad, para 22 compañías de internet y telecomunicaciones de alcance mundial. Incluye a Samsung, que controla la mayor parte de dispositivos Android en el mundo, así como 10 proveedores de telecomunicaciones internacionales. Ninguna de las 11 compañías involucradas en la distribución de actualizaciones de software para Android (excepto Google) divulgaron información acerca de los cambios que hicieron a la versión stock de Android, o cómo esos cambios podrían afectar a la entrega de actualizaciones de seguridad.

Además, de las tres compañías de teléfonos inteligentes examinadas, tan solo Google especificó la fecha [17] hasta la que se garantizarían actualizaciones para diferentes modelos. Los dispositivos Nexus y Pixel tienen garantizadas actualizaciones hasta al menos dos años después de que el dispositivo esté disponible en Google Store, y recibirán parches de seguridad al menos durante tres años desde que el dispositivo esté disponible por primera vez, o al menos 18 meses desde que la Google Store haya vendido el dispositivo por última vez; lo que sea mayor.

Lo ideal sería que Google extendiera ese periodo todavía más, pero al menos comunica ese compromiso claramente a los usuarios (ni Apple ni Samsung informan de una «fecha de caducidad»). Dependemos para muchas cosas de nuestros smartphones –y las personas con bajos ingresos sin banda ancha ni computadores en casa son los que más dependen de ellos. Ricos o pobres, todos merecemos saber cuánto tiempo será seguro usarlos y qué compañías se esfuerzan por mantenernos a salvo.

Nathalie Maréchal [1] es investigadora en Ranking Digital Rights y estudiante de doctorado en la Escuela Annenberg para Comunicaciones y Periodismo de la Universidad del Sur de California. Síguela en @marechalUSC [18].