La reciente obligación impuesta por la Unión Europea a Apple de permitir la compra e instalación de aplicaciones desde fuera de la App Store ha suscitado un intenso debate sobre las implicaciones de seguridad que esto conlleva para los usuarios del iPhone en el territorio. Según Gary Davis, el Oficial de Protección de Datos de Apple, la implementación de estas capacidades, aunque necesaria para cumplir con el Acta de Mercados Digitales (DMA por sus siglas en inglés), podría hacer que atacar a los usuarios de iPhone sea más económico que nunca. Muy malas noticias.
Más vectores de ataque nunca son buenas noticias
En una entrevista concedida a iCulture, Davis expone sus preocupaciones respecto a las posibles repercusiones de la DMA en la seguridad de iOS. La esencia de su argumento radica en que la apertura de la plataforma a métodos de pago y marketplaces alternativos podría abaratar significativamente los costos de desarrollo de exploits dirigidos a los usuarios de iPhone.
“Lo que nos preocupa y lo que también se puede leer en el documento técnico es que los costes de un ataque a iOS podrían disminuir. Eso se debe a estas nuevas formas potenciales de atacar a los usuarios. Esto se puede hacer a través de mercados alternativos o métodos de pago alternativos. Es posible que veamos ataques que nunca antes hemos visto. Los costes de desarrollar un exploit para iOS siguen siendo muy altos. Nuestro equipo en el Laboratorio de Seguridad está tratando de hacer que esos costes sean cada vez más altos para que no valga la pena para los atacantes dirigirse a iOS”.
“Eso es algo que nos preocupa en este momento. Simplemente no sabemos cómo se desarrollará. Por eso mostramos a las personas que descargan aplicaciones de estas fuentes alternativas una pantalla especial con más información. Junto con el proceso de notarización, esperamos que los usuarios mantengan la misma confianza”.
Lo cierto es que durante años el App Store ha sido una pieza clave de la seguridad de los dispositivos iOS. El simple requerimiento por parte de Apple de auditar cualquier aplicación que pueda ejecutarse en un iPhone hace que el malware quede, casi siempre, fuera de la ecuación. El hecho que incluso con estas medidas de seguridad se haya colado alguna vez una app malintencionada, ya esboza un escenario poco alentador.
Al contexto de esto, podemos recordar las declaraciones de Craig Federighi en el juicio de Epic contra Apple. En esa ocasión, el máximo responsable del software de Apple afirmó que el nivel de malware en el Mac era mucho más alto que el de iOS, y lo atribuyó a la posibilidad de instalar aplicaciones de fuentes que escapan a los controles de seguridad de Apple.
Siguiendo en la entrevista, Davis también comenta sobre los efectos no previstos de la DMA. Según el ejecutivo, aunque la regulación puede ser beneficiosa para fomentar la competencia, también puede representar un retroceso en términos de seguridad. Para Apple, controlar los potenciales vectores de ataque, a la par que proveer a iOS de una seguridad de vanguardia, ha sido clave para alcanzar un nivel de protección que es un estándar en la industria y que ningún otro ecosistema parece haber podido replicar.
Toda la entrevista plantea el siguiente argumento ¿podría el coste de fomentar la competencia ser la seguridad de los usuarios? En este sentido tendremos que esperar para poder evaluar la situación, pero la realidad indiscutible es la siguiente. Si hace unos meses Apple tenía el control de los métodos de pago y las herramientas para verificar la seguridad de las aplicaciones, ahora las aplicaciones pasan solo una verificación básica mucho menos exhaustiva y cada una de ellas puede enlazar a la web para recoger los datos de pago de los usuarios.
No tiene por qué ser así, pero las opciones que un actor malintencionado tiene para conseguir aprovecharse de los usuarios acaban de aumentar exponencialmente. Justo la preocupación de Davis y el motivo por el que afirma que los costes de atacar al sistema puedan disminuir. Si a eso le sumamos que los usuarios de iOS, históricamente, son los más atractivos para un potencial atacante por una combinación de factores económicos y sociales, el panorama pinta poco prometedor.
Por supuesto Apple hará todo lo posible para disminuir el riesgo. Pero ya hemos visto en todas las comunicaciones públicas de la compañía que tienen que reconocer que la DMA no les permite garantizar el mismo nivel de seguridad del que sí disfrutan los usuarios del iPhone que viven fuera de Europa. Una situación que preocupa a Davis y que seguramente a más de otro usuario.
