Google MASA: Evaluar la seguridad de las apps disponibles en la Play Store

Comienza a sonar una canción en la radio. Te gusta y piensas «¿de quién será?» Abres el móvil y te descargas una aplicación para que la reconozca por ti. Después te bajas otra app para escucharla de nuevo. Te gusta tanto que entras en otra para buscar más sobre la artista. Y así hasta el infinito. Nuestros móviles están llenos de aplicaciones de lo más variopintas. Apps que empleamos para gestionar nuestras cuentas bancarias, enviar mensajes, ver videos o mirar la predicción del tiempo. Dichas aplicaciones tienen acceso a muchos de nuestros datos. Les damos permisos para saber nuestra ubicación o entrar a nuestra galería de fotos. Pero, ¿son seguras las apps disponibles en la Play Store y que instalamos en nuestros móviles? La iniciativa Google MASA persigue evaluar su seguridad para dar a los usuarios garantías de que están a salvo.

MASA significa, en su traducción al castellano, evaluación de la seguridad de las aplicaciones móviles. Este proyecto, puesto en marcha por Google, a través de la App Defense Alliance, busca garantizar la seguridad de las apps que miles de millones de personas se descargan a través de la Play Store.

Si las aplicaciones para móviles han adquirido una enorme importancia y presencia en nuestro día a día, su seguridad es fundamental para proteger nuestros dispositivos, pero también nuestra propia intimidad o nuestros negocios, frente a ciberataques que puedan vulnerarlos.

¿Qué aplicaciones quiere evaluar Google MASA? Todas las que estén disponibles en la Play Store. Desde la compañía aclaran que la evaluación de la seguridad de las apps a través de los protocolos de Google MASA no está prevista que sea obligatoria, pero desde luego es recomendable y su ejecución implicará que Google certifique que la app ha pasado dicha evaluación de seguridad. Aumentando, así, la confianza de los usuarios.

1. App Defense Alliance: Garantizar la seguridad de la Play Store

Google MASA es una de las tres iniciativas que ha puesto en marcha la App Defense Alliance fundada por la multinacional de cara a cumplir un objetivo central: mejorar la seguridad de la Play Store y de todo el ecosistema de aplicaciones que aloja. Las otras dos iniciativas son:

• Malware Mitigation. Un proyecto centrado en detectar aplicaciones potencialmente dañinas y detenerlas antes de que sean accesibles para todos los usuarios en Google Play. Para ello, Google y sus socios escanean y evalúan el riesgo de las apps que se encuentran en la cola para ser publicadas en Google Play.
• CASA. Una iniciativa centrada en evaluar la seguridad de las aplicaciones en la nube.

La misión de la App Defense Alliance se asienta sobre cinco principios básicos que rigen las diferentes iniciativas que se están poniendo en marcha:

• Protección. Defender a los usuarios de Android frente a malware, ransomware y otro tipo de amenazas que van surgiendo en el panorama de la ciberseguridad.
• Colaboración. Google asume que para lograr la protección de las aplicaciones, es fundamental contar con el apoyo y la colaboración de otros actores del sector, como las compañías de servicios de ciberseguridad y ciberinteligencia.
• Educación. Es crucial que tanto los desarrolladores de las aplicaciones como los usuarios estén concienciados sobre la importancia de la seguridad y lleven a cabo buenas prácticas en el desarrollo y uso de las aplicaciones, respectivamente.
• Transparencia. Fomentar la transferencia de información valiosa, para construir un ecosistema de aplicaciones más seguro.
• Evolución. Los atacantes no paran de innovar y de optimizar sus técnicas y tácticas. Por ello, es imprescindible evaluar constantemente las aplicaciones en búsqueda de nuevas amenazas.

2. Google MASA. Un sistema de evaluación de la seguridad compuesto de tres niveles

Teniendo en cuenta las aspiraciones y principios de la App Defense Alliance, Google MASA está llamada a ser una iniciativa de gran alcance e impacto en la forma de desarrollar y proteger las aplicaciones móviles.

El sistema de evaluación se asienta sobre el MASVS de OWASP. Es decir, el estándar de verificación de seguridad para aplicaciones móviles elaborado por la fundación OWASP y que se ha convertido en un referente canónico a nivel mundial. Habida cuenta de esto que venimos de exponer, Google MASA se limita a fomentar la verificación de seguridad de las apps disponibles en la Play Store, empleando la metodología OWASP y ofreciendo una certificación de seguridad a aquellas aplicaciones que superen la evaluación con éxito.

Precisamente, el papel de Google se circunscribe a la concepción de la iniciativa y a la emisión de las certificaciones, que serán visibles en la sección de seguridad de cada aplicación. El resto del proceso queda en manos de desarrolladores y labs autorizados por Google para efectuar la evaluación.

Así las cosas, Google MASA se sustenta sobre tres niveles:

• Los requerimientos de seguridad exigidos en el Nivel 1 de MASVS.
• Los procedimientos para realizar las pruebas que verifiquen dichos requerimientos incluidos en el MSTG; la guía de OWASP para realizar pruebas de seguridad en dispositivos móviles.
• La experiencia y el conocimiento acumulados por laboratorios y compañías que prestan servicios de ciberseguridad en la elaboración de dichas pruebas y en el análisis de los resultados obtenidos.

2.1. MASVS

OWASP es una fundación dedicada a recopilar buenas prácticas en materia de ciberseguridad y transferir información que sea útil para analistas y especialistas. Su ingente producción de conocimiento, la ha transformado en un auténtico referente a nivel global. Hasta el punto de que la metodología OWASP se ha convertido en un estándar de facto en todo el planeta. Un hecho que viene a reconocer Google cuando asienta su iniciativa MASA sobre dicha metodología.

De entre sus múltiples proyectos, cabe destacar MASVS, una guía centrada en estandarizar los requerimientos de seguridad que deben cumplir las aplicaciones móviles para garantizar su protección frente a ataques maliciosos. Para ello, MASVS construye un sistema que conjuga niveles de verificación y requerimientos de verificación.

2.1.1. Niveles de verificación

MASVS estipula tres niveles en función del nivel de seguridad que se busca alcanzar en la aplicación:

• Nivel 1 (L1). Seguridad estándar. Este nivel es recomendable para la totalidad de las aplicaciones móviles. Puesto que se asienta sobre unos requerimientos de seguridad básicos relacionados con la calidad del código, la gestión de los datos y la interacción de la app con el entorno móvil. Este nivel es el que se exige cumplir para obtener la certificación de MASA.
• Nivel 2 (L2). Defensa en profundidad. Además de los requerimientos incluidos en el nivel 1, se añaden controles más avanzados. Este nivel es deseable para aplicaciones que manejan datos muy sensibles como las bancarias.
• Resistencia contra la ingeniería inversa y la manipulación (R). Este nivel requiere que las aplicaciones cuenten con técnicas de protección específicas para hacer frente a ataques concretos y definidos en profundidad. Sus requerimientos son diferentes a los de los otros niveles, de ahí que se pueda sumar a cada uno de ellos, pero no emplearse solo.

2.1.2. Requerimientos de verificación

En función del nivel de verificación escogido para la app, recordemos que en el caso de Google MASA se exige el nivel 1, MASVS establece una serie de requerimientos de seguridad agrupados en siete categorías, tales como almacenamiento de datos y privacidad (V2) o interacción con la plataforma (V6).

Algunos requerimientos son obligatorios tanto para el nivel 1 como para el 2. Por ejemplo, el requerimiento «4.5. Existe una política de contraseñas y es aplicada en el servidor». Mientras que otros solo son necesarios si se escoge el nivel 2, como el «4.10. Para realizar transacciones críticas se requiere una autenticación adicional».

Existe una octava categoría de requerimientos (V8), centrados única y exclusivamente en el nivel R. Y, por ende, irrelevantes a la hora de cumplir con las exigencias de Google MASA.

2.2. MSTG

MASVS establece los requerimientos que una aplicación debe cumplir para ser verificada con un nivel 1 de seguridad y, por tanto, poder formar parte de MASA. Pero, ¿cómo se cumplen estos requerimientos?

La respuesta también nos la da OWASP a través del MSTG. Esta guía estandariza las pruebas de testeo que se deben llevar a cabo para cada uno de los requerimientos de seguridad. Y, además, ofrece la explicación técnica necesaria para llevarlas a cabo. De tal manera que todas las aplicaciones, sin importar su sector o la procedencia de sus desarrolladores, se verán sometidas a las mismas pruebas de seguridad.

Es, precisamente, esta estandarización la que convierte al MSTG en un documento de trabajo básico en el terreno de la ciberseguridad y en un referente para iniciativas como Google MASA.

2.3. Laboratorios autorizados

Tenemos los requerimientos de seguridad de las aplicaciones y los procedimientos para realizar las pruebas que validen dichos requerimientos. Solo nos falta un elemento más: ¿Quién va a realizar las pruebas?

Google encomienda esa tarea a laboratorios autorizados por la multinacional. Compañías de reputado prestigio y contrastada experiencia en el manejo de la metodología OWASP y en la realización de técnicas como auditorías de aplicaciones móviles o pruebas de penetración.

Estos laboratorios realizarán las pruebas haciendo gala de su excelencia profesional, evaluarán los resultados y los remitirán a los desarrolladores con consejos para solucionar los problemas o riesgos de seguridad detectados.

3. Las etapas del proceso de certificación de Google MASA

La colaboración entre Google, los laboratorios y compañías autorizadas para llevar a cabo las evaluaciones y los desarrolladores permite que la iniciativa MASA sea especialmente ágil. Así, desde que el desarrollador toma la iniciativa de someter la app a la verificación exigida por Google MASA, hasta que se incluye una insignia en el apartado de seguridad de la app en la Play Store pueden pasar, tan solo, unas cuantas semanas. Detengámonos en cada una de las fases del proceso:

3.1. Toma de decisiones y acuerdo entre desarrolladores y labs

En primer lugar, nos encontramos, claro está, con la fase en la que el desarrollador de la aplicación decide evaluar su protección y certificar su seguridad. Una vez tomada la decisión, el desarrollador debe seleccionar uno de los laboratorios autorizados por Google para llevar a acabo la evaluación.

Tras cerrar el acuerdo y facilitar a la compañía de servicios de ciberseguridad la información necesaria, ésta comenzará a probar la versión pública de la aplicación, disponible en Google Play.

3.2. Testeo de las aplicaciones, evaluación y soluciones

El laboratorio autorizado realizará todas las pruebas recogidas en el MSTG y facilitará al desarrollador la evaluación en el plazo de 10 días.

Esta evaluación incluirá consejos y pasos para solventar los problemas detectados. En función de las vulnerabilidades halladas y de la capacidad del equipo del desarrollador para implementar las recomendaciones hechas por el laboratorio, el final de la fase de evaluación puede variar.

Una vez que la aplicación cumpla todos los requerimientos establecidos para el nivel 1 en MASVS, el laboratorio dará por finalizada la evaluación.

3.3. Informe de validación a Google y obtención de la certificación MASA

Llegados a este punto, la compañía encargada de testear la app, remitirá un informe de validación directamente a Google, sin que el desarrollador tenga que realizar dicha tarea. Así, se confirmará que la aplicación en cuestión cumple con los requisitos de seguridad exigidos por MASA y el desarrollador podrá hacer constar en el formulario de seguridad de los datos de la app que ha sido verificada de acuerdo a lo establecido por Google MASA. Además, dispondrá de una insignia en el apartado de seguridad, a la vista de todos los usuarios, en el plazo de una semana.

De tal manera que Google y App Defense Alliance estiman que, desde la evaluación inicial del laboratorio, hasta la disponibilidad de la insignia solo pasarán dos o tres semanas.

4. Beneficios de Google MASA

A la luz de todo lo que hemos venido exponiendo, parece evidente que esta iniciativa tiene como gran beneficio incrementar el nivel de seguridad de las aplicaciones móviles que usamos en todos los planos de nuestra vida. Desde el ámbito familiar, hasta el profesional.

Si bien Google busca securizar la Play Store y su ecosistema de apps, las personas, los negocios y los propios desarrolladores de aplicaciones también pueden salir beneficiados del proceso de verificación de Google MASA.

4.1. Para los desarrolladores y las compañías

En primer lugar, y aunque resulte extremadamente obvio, los desarrolladores consiguen, ante todo, que sus aplicaciones sean más seguras.

A ninguna compañía le gusta tener apps lastradas por vulnerabilidades que pueden ser explotadas por agentes maliciosos. Una filtración masiva de datos personales, el secuestro de información privilegiada o la caída de la aplicación pueden tener consecuencias catastróficas para el negocio. Tanto a nivel económico como reputacional.

Verificar las apps de acuerdo con Google MASA, obliga a las compañías a trabajar de manera constante en proteger sus aplicaciones.

Además, al someterlas a una evaluación independiente, a cargo de profesionales de prestigio y empleando la metodología OWASP, pueden conocer con absoluta precisión qué vulnerabilidades tiene su aplicación y cómo solventarlas. Lo que al equipo de desarrollo se le pudo haber escapado, saldrá, con toda seguridad, a la luz durante la evaluación.

Si todo esto fuese poco, la obtención de la insignia contribuye a que la aplicación gane prestigio y genere confianza en el usuario que la descarga desde Google Play. La confianza es un activo capital, tanto en el ámbito empresarial como en el personal.

4.2. Para las empresas y personas usuarias

En nuestros dispositivos móviles tenemos almacenadas grandes partes de nuestra vida. Y datos extremadamente delicados. Como las contraseñas de acceso a nuestro correo electrónico o a nuestra app del banco. El móvil es una parte de nosotros mismos y una herramienta de trabajo de primer nivel. Por ello, todos deseamos que esté plenamente protegido frente a las amenazas.

A la hora de descargar una aplicación, la seguridad debe ser un elemento fundamental para responder a la pregunta clave: «¿la descargo o no?». A medida que vamos siendo conscientes de los riesgos vinculados a aplicaciones inseguras, la protección va adquiriendo relevancia. Ya no solo nos importa la usabilidad de una aplicación o sus funcionalidades, sino también su nivel de seguridad y su capacidad de proteger nuestros datos.

Por ello, las aplicaciones que cuenten con la insignia de Google MASA adquirirán, automáticamente, una pátina de fiabilidad a ojos de empresas y personas. Incluso aunque estos usuarios desconozcan las vicisitudes ligadas al proceso de evaluación de los requerimientos de seguridad de la aplicación. O no sepan, tan siquiera, qué es OWASP. Lo cierto es que en el apartado de seguridad figurará claramente que la aplicación ha sido evaluada por laboratorios independientes y su nivel de protección es óptimo.

A la larga, aquellas aplicaciones que no sean verificadas, quedarán relegadas por los usuarios, puesto que su seguridad no habrá sido contrastada por ningún agente externo habilitado para tal tarea. Los datos son un activo importante para cualquier negocio… y la seguridad también.

4.3. Protección permanente del ecosistema de apps

Seguramente al lector atento no se le habrá escapado una cuestión: no hemos indicado cuál es la fecha de caducidad de la insignia de Google MASA.

Google ha establecido que la evaluación debe renovarse cada año. De tal manera que las apps sean reevaluadas una vez al año para garantizar que se adaptan a las condiciones cambiantes del ámbito de la ciberseguridad y que son seguras frente a los nuevos ataques diseñados e implementados por los malos.

De esta forma, las aplicaciones que se acojan a la iniciativa MASA serán capaces de garantizar a los usuarios que las descargan desde Google Play que son seguras y que sus dispositivos estarán a salvo.

Al fin y al cabo, de nada sirve que una aplicación pueda garantizar que cumple los requisitos de seguridad exigidos por Google MASA un año si, en los meses siguientes, no lleva a cabo acciones para fortificarse permanentemente ante las nuevas amenazas.

En definitiva, la iniciativa MASA permitirá a los usuarios saber qué aplicaciones disponibles en Google Play son seguras; ayudará a los desarrolladores a trabajar en la protección de sus apps y a ganarse la confianza de los usuarios; y facilitará que el ecosistema de aplicaciones que personas y negocios usan diariamente sea seguro y esté óptima y permanentemente protegido frente a los agresores.