Salvaguardando la seguridad de nuestro dispositivo Android

ACTUALIZADOS: 13 mayo 2021

Buenas, mi nombre es Pablo F. Iglesias, autor de la página www.pabloyglesias.com y CEO de la consultora CyberBrainers, desde la que ayudamos a personas y empresas a mejorar su presencia digital y reputación online.

En este primer artículo para DetectivesPrive.com quería hablar sobre la seguridad y privacidad en dispositivos Android. Un tema que trato en profundidad en el Curso de Seguridad y Privacidad en Internet.

De hecho hablándolo con los chicos de DetectivesPrive vimos oportuno empezar por aquí, ya  que hoy en día no es raro encontrarte con personas que no tienen dispositivos de escritorio, y que toda su interacción con el mundo digital se hace mediante dispositivos móviles, principalmente smartphones y tablets.

Por ello, vamos a hablar un poco de historia, comprendiendo qué tenemos metido en nuestro bolsillo, y qué impacto puede tener a nivel de privacidad y seguridad.

¡Empezamos!

Salvaguardando la seguridad de dispositivos Android

Un poco de historia sobre Android 

A día de hoy, y descontando los iPhones e iPads, a los cuales dedicaremos un artículo más adelante, todo dispositivo móvil que haya en el mercado corre una versión de Android. O a lo sumo, una de AOSP, el «Android sin Google».

En España, por ejemplo, Android lidera con un increíble 97% del mercado. A nivel mundial se habla de en torno al 85%. En Reino Unido y EEUU, históricos baluartes dominio de iOS, Android ya supera el 50% de cuota de mercado.

¿Que por qué? Muy sencillo. iOS solo puede correr en un dispositivo de la manzanita. Sin embargo, Android se ofrece a fabricantes como «software libre», pudiendo instalarse en cualquier distribución de hardware que se estime oportuna, e incluso permitiendo a dichos fabricantes incluir capas de personalización propias.

¿El único requisito? Que junto a Android se instalen una serie de aplicaciones de Google. A fin de cuentas, y como explico en el Módulo 3 del Curso, Android no deja de ser un Caballo de Troya más dentro de los engranajes que hacen que Google sea el gigante que es hoy en día.

La estrategia del Android de Google, por tanto, no difiere mucho de la licencia de Windows, que también se ofrece a terceros, liberando a la compañía de la necesidad de controlar toda la cadena de producción de dispositivos. El modelo de negocio de Google, te recuerdo, es sacar valor de los datos, no hacer productos.

Y por ello, Android es una maquinaria perfecta para un ecosistema en crecimiento. Aunque el iPhone con iOS pegara el golpe en la mesa primero, esa apertura ha permitido que el ecosistema de Android crezca a un ritmo muchísimo mayor que su homólogo de la manzanita… para bien y para mal.

Mayor apertura significa también mayor responsabilidad de parte del usuario. Android es seguro… siempre y cuando el usuario lo utilice como Dios manda. Android es privado… siempre y cuando el usuario lo parametrice como Dios manda.

O en este caso, como Pablo te recomienda. 

Vamos a ello :D, pero antes, un disclaimer:

He preparado este Módulo basándome en el Android 8.0 puro que tiene el Xiaomi Mi A1, uno de los primeros terminales acogidos al programa Android One, y por tanto, sin capa de personalización del fabricante. En la práctica todo lo que voy a comentar como mínimo seguramente ya lo tenga tu dispositivo, pero al tratarse de un sistema operativo abierto, lo mismo las opciones que comento están colocadas en otro menú o bajo otra nomeclatura. Cada fabricante hace lo que le viene en gana para estructurar sus ajustes, y a esto hay que incluir que en cada versión del sistema operativo puede haber sutiles cambios en la estructura y el contenido de los menús.

Seguridad en Android

Como ya es habitual, lo primero que debemos hacer es revisar las opciones de seguridad que hay en el menú. En Android 8.0, por ejemplo, están dentro de la categoría «Seguridad y Localización«.

Seguridad en Android

¿En qué debemos fijarnos?

  • Encuentra mi dispositivo: Es la funcionalidad que Google nos ofrece por si el día de mañana perdemos el dispositivo, y algo que te recomiendo encarecidamente activar. Gracias a ello, si nos lo roban o lo extraviamos, podríamos bloquearlo remotamente (siempre que tenga conexión, claro)mostrar por pantalla un aviso de terminal extraviado, e incluso localizarlo o emitir un pitido de alerta (teniendo, eso sí, el GPS activo). Lo configuramos una vez y nos olvidamos. Y al menos en mi caso me sirvió para dormir más tranquilo por la noche cuando me robaron en el tren la mochila con todos mis dispositivos…
  • Actualizaciones: Como vengo diciendo en todos y cada uno de los Módulos del curso, lo más importante a nivel de seguridad es que el producto o servicio que usemos esté convenientemente actualizado a la última versión. Esto en Android no es tan sencillo, ya que no depende única y exclusivamente del usuario, sino más bien de que todo el ecosistema (manofacturers, fabricantes y la propia Google) se ponga de acuerdo para ofrecer una actualización a tu dispositivo. Pero en las nuevas versiones Android se ha ido modularizando, y quizás en unos años esto deje de ser un problema debido, precisamente, a iniciativas como Android One (Google obliga a los fabricantes acogidos a este programa a mantener al menos durante dos años actualizando mensualmente los dispositivos) y los parches de seguridad, que la compañía libera mensualmente. Esta es la principal razón de que en su día apostara por un terminal Android One. Y por cierto, que al igual que hay que mantener, en la medida de lo posible, actualizado el dispositivo, también debemos mantener actualizadas las aplicaciones que instalamos.
  • Sistema de bloqueo: Hablamos de un dispositivo que va a salir de casa, y que por tanto, es susceptible de robo o extravío. Lo que significa que tiene que tener sí o sí un sistema de bloqueo de pantalla. Por el blog expliqué en su día mis recomendaciones al respecto, ordenando de mayor a menor la seguridad del modo de bloqueo elegido, pero por resumírtelo muy mucho: huella dactilar mejor que reconocimiento facial, mejor que contraseña alfanumérica, mejor que PIN, mejor que patrón de desbloqueo.
  • Cifrado: De nuevo, en versiones modernas de Android el cifrado viene activo por defecto, lo que significa que todo el contenido del dispositivo solo es accesible si el usuario conoce una clave de descifrado previamente elegida. Pero para versiones anteriores es posible activarlo desde este lugar. Ahora bien, es importante tener en cuenta que una vez cifrado, la única opción para eliminar el cifrado es resetearlo a como vino de fábrica, y que si tenemos el cifrado activo, por ejemplo, no podremos reiniciar automáticamente el dispositivo (cada reinicio requiere volver a meter la contraseña de descifrado).
  • Ni fuentes desconocidas, ni depuración USB, ni root: La amplia mayoría de usuarios no necesitan tener rooteado el dispositivo (si no sabes de qué hablo, mejor :)). Y por la misma razón, si no eres desarrollador de Android no tiene sentido que tengas activo la depuración USB o utilices fuentes desconocidas para instalar aplicaciones de fuera del market oficial. Con estas tres cosas que por defecto vienen desactivadas ya minimizamos muchos vectores de ataque. ¡Así que no las actives!
  • Y la cuenta de Google: Sobre esto tengo de hecho un Módulo entero en el Curso. Nuestra cuenta de Google es la cuenta con la que nos logueamos en el dispositivo, así que la seguridad de Android depende en primera instancia de la seguridad de nuestra cuenta de Google. ¿Ves por qué quería tratar este módulo al final? Además piensa que el doble factor de autenticación, un sistema de seguridad que recomiendo activar en todas las cuentas que podamos (también está explicado en profundidad en el Curso), pende, habitualmente, del dispositivo móvil, por lo que se cierra el círculo.

Habría bastantes más cosas a considerar, como es el hecho de instalar únicamente aplicaciones que vayamos a usar(ten en cuenta que toda aplicación es en esencia un vector de ataque más), y debemos seguir considerando todas las medidas de seguridad digital básicas, empezando por no clicar en enlaces que parezcan fraudulentos, en cerciorarnos de que estamos en la URL adecuada cuando ingresemos datos en páginas web, y tener mucho ojo con las campañas de phishing y bulos que circulan por la Red.

A la hora de conectarnos a cuentas, por cierto, suele ser más recomendable hacerlo desde aplicaciones oficiales que desde la propia web. Lo que me lleva ineludiblemente a hablar de privacidad.

2. Privacidad en Android

Llegamos al último punto a considerar dentro de las fronteras de Android: La privacidad.

Y para ello, recurrimos nuevamente a revisar los ajustes del sistema, en este caso el apartado «Aplicaciones y notificaciones«.

Privacidad en Android

Desde aquí podemos entender con mayor profundidad a qué tiene acceso cada aplicación, pudiendo si así lo vemos oportuno negarle el acceso a una u otra funcionalidad.

Hay que entender, por supuesto, que hay permisos que una aplicación necesita para funcionar. Por ejemplo, la app de cámara necesita tener acceso al almacenamiento para poder guardar la foto o vídeo que saquemos. En caso contrario, la app no funciona.

Pero hay otros permisos que no son estrictamente necesarios, y que lo mismo para según qué aplicación queremos conceder o no.

Yo te recomendaría que revisaras, principalmente, aquellas apps que te piden:

  • Acceso a datos de inicio.
  • Acceso a cámara.
  • Acceso a contactos.
  • Acceso a la localización.
  • Acceso al micrófono.
  • Acceso al historial de llamadas.
  • Acceso al historial de SMS.
  • Acceso al almacenamiento.

Que te pida alguna de estas no significa que la app vaya a hacer un mal uso de las mismas. Pero si por ejemplo una aplicación de linterna te pide acceso a tu lista de contactos… quizás deberías preocuparte, ya que no hay una sola razón sensata para que lo haga.

¿Qué más tienes que considerar a nivel de privacidad?

Lo principal es que seas consciente de que en el bolsillo llevas un ordenador que además de ser portátil, tiene acceso a la red de forma continuada, sensores de movimiento y GPS, capacidad de emitir pagos, y que normalmente cuenta con todas las credenciales de acceso a servicios digitales ya  metidas por defecto.

Por esa misma razón, si ya extremamos las precauciones con los ordenadores de sobremesa, imagínate con los smartphones y las tablets.

Y esto se traduce en que, por ejemplo, deberíamos tener una VPN de pago o de control propio habilitada para conectarnos desde redes WiFi públicas.

En mi caso utilizo NordVPN, que ha sido considerada una de las más completas del mercado, pero en la práctica puedes utilizar cualquier servicio de VPN que sea de pago (los servicios gratuitos viven de traficar con los datos), o crearte tú mismo una VPN con la red de tu hogar.

Gracias a la VPN, toda conexión que hagas sale o entra de tu dispositivo cifrada, evitando así los típicos ataques de Man In the Middle, y los posibles envenenamientos de conexión.

Ten en cuenta además que tener activo el GPS, o conectarte a una red, significa de facto estar supeditado al control de terceros. Algo que en centros comerciales se aprovecha hasta límites insospechados.

Así que la cuestión es decidir hasta qué punto queremos conceder privacidad a cambio de funcionalidad. Por volver al caso de antes, el tener el GPS activo en efecto puede ser usado para tracearme, pero además, me servirá si el día de mañana pierdo o extravío el móvil, además de por supuesto poder acceder a los servicios de localización de forma más cómoda.

Te va a tocar a ti decidir dónde pones los límites.

Sobre el autor

Pablo F. Iglesias

Experto en Ciberseguridad

Mi nombre es Pablo F. Iglesias, y soy, ante todo, un apasionado de la tecnología, con más de diez años de experiencia en el desarrollo, marketing y la ciberseguridad.

Me gano la vida como Consultor de Presencia Digital y Reputación Online, aunque también he trabajado para otros (I+D de Telefónica, Mozilla, BBVA…). De hecho soy el presidente de la Consultora de Reputación Online CyberBrainers, y en todo este tiempo he sido fundador, co-fundador, vocal y vicepresidente de varias startups y asociaciones relacionadas con el mundo de la ciberseguridad, la transformación digital y el marketing.