Proteger a apps, personas y negocios, el objetivo de Google MASA

¿Alguien recuerda cómo era organizar una cena con amigos antes de que tuviéramos aplicaciones móviles? Llamadas múltiples y entrecruzadas. Tener que preguntar a desconocidos porque no encontramos el local. Hacer las cuentas de la abuela para pagar. Contraer deudas porque alguien no tenía suficiente dinero en efectivo. Las apps han solventado todas estas cuestiones. A la vez que han ido adquiriendo una relevancia mayor en nuestras vidas, almacenando y teniendo acceso a datos muy sensibles. Por ello, el objetivo de Google MASA, una iniciativa de la App Defense Alliance, es proteger a apps, personas y negocios frente a los ataques maliciosos.

ADA es un proyecto impulsado por el gigante tecnológico Google. Y tiene como misión garantizar la seguridad del ecosistema de aplicaciones de la Play Store. Lo que se traduce en una mayor y mejor protección de los usuarios de dichas apps, sean personas o negocios.

De tal manera que podamos quedar con nuestros amigos a través de WhatsApp o Telegram. Llegar al restaurante gracias a Google Maps. Hacer las cuentas mediante una calculadora. Saldar deudas a través de Bizum. Y, después, subir una foto en la que estemos todos juntos a Instagram. Todo ello sin temer que la seguridad de todas las apps que tenemos en el móvil se vea comprometida. Y, con ella, nuestra información personal.

1. Evaluar periódicamente las aplicaciones móviles

¿Cómo se va a lograr el objetivo de Google MASA de proteger a apps, personas y negocios? Mediante un sistema de evaluación independiente periódica, en el que colaboran Google, laboratorios autorizados que prestan servicios de ciberseguridad y los desarrolladores de las apps.

1.1. Contratar servicios de ciberseguridad

Así, toda aquella compañía que quiera sumarse a este proyecto para asegurar el ecosistema de apps móviles, debe someter su aplicación a una evaluación realizada por uno de los labs autorizados por Google. Estos profesionales revisarán la versión pública de la app, disponible en la Play Store, de cara a verificar si la misma cumple con los requisitos de seguridad básicos.

1.2. OWASP: Estandarizar las evaluaciones

Para ello, los analistas emplearán la metodología OWASP. Un estándar en el mundo de la ciberseguridad y que incluye dos documentos clave:

• Mobile Application Security Verification Standard (MASVS). En este documento se estipulan una serie de controles de seguridad que deben tener las aplicaciones móviles para ser seguras. En Google MASA se exige a las apps que cumplan con la mayoría de los requisitos del nivel 1 de seguridad.
• Mobile Security Testing Guide (MSTG). En esta guía figuran los procedimientos que deben seguir los analistas para efectuar de forma óptima las pruebas para comprobar cada uno de los requisitos de seguridad presentes en MASVS. De esta manera, se consigue estandarizar las evaluaciones, sin importar el sector de la compañía que las contrata o el lugar del mundo en el que se llevan a cabo.

1.3. Subsanación de problemas y obtención de la insignia de Google MASA

En el caso de que la evaluación verifique que no se cumplen todos los requisitos de seguridad, los profesionales propondrán a los desarrolladores las medidas necesarias para subsanar las vulnerabilidades encontradas.

Una vez que todos los problemas se solucionen, el laboratorio remitirá a Google el informe que valide el cumplimiento de los requisitos.

Finalmente, en el apartado de seguridad de la app en la Play Store figurará una insignia. Ésta se hallará a la vista de todos los usuarios y servirá para garantizar que la aplicación se ha sometido a la evaluación y cuenta con los requerimientos de seguridad básicos.

Este proceso debe realizarse una vez al año. De cara a fomentar un esfuerzo permanente por parte de los desarrolladores en la protección de sus apps frente a las nuevas amenazas que van surgiendo.

2. Toma de conciencia: Los peligros están ahí fuera… y van en aumento

En primer término, Google MASA supone una toma de conciencia colectiva sobre lo importantes que son las aplicaciones móviles en nuestro día a día y lo vital que resulta garantizar su seguridad.

Ataques de ingeniería social, malware, ransomware… Los malos pueden desplegar un sinfín de tipologías de ataques y vulnerar las apps y dispositivos que empleamos.

Los efectos de estas agresiones pueden ser devastadores. Tanto para las compañías que han desarrollado las apps, como para las personas y negocios que las utilizan.

Estafas, substracción de dinero de las cuentas bancarias, secuestro de información, divulgación de datos confidenciales… Todas estas acciones repercuten tanto a nivel económico como social, menoscabando la credibilidad de las compañías y la confianza de los usuarios.

Basta con echar un ojo a las noticias para descubrir que los ataques contra apps o que se efectúan a través de ellas están a la orden del día. Troyanos como Brata, que se escondía, precisamente, en una supuesta app de seguridad, o Xenomorph dan buena cuenta de ello.

A través de Google MASA, la multinacional pide a desarrolladores y usuarios que tomen conciencia de los peligros y actúen en consecuencia. Los primeros evaluando las apps y fortificándolas, los segundos, empleando únicamente apps que ofrezcan garantías de seguridad.

3. ¿Son seguras las apps que nos bajamos?

Precisamente, Google MASA busca ayudar a las personas y los negocios a la hora de dilucidar si se descargan o no una app de la Play Store.

Nadie quiere instalar en su dispositivo una aplicación móvil potencialmente peligrosa. O lastrada por vulnerabilidades que pueden ser explotadas por los atacantes.

Sin embargo, en algunas ocasiones nos bajamos aplicaciones de este tipo. A veces, por la falta de concienciación con respecto a la seguridad. Ya lo dice el refranero popular con sorna: «solo nos acordamos de Santa Bárbara cuando truena». Y en otras ocasiones, simplemente es que no somos capaces de saber si una app es segura. O, en cambio, debemos desconfiar de ella.

Google MASA nos ayudará en ambos aspectos. ¿Cómo? Gracias a la insignia que figurará en el apartado de seguridad de las apps que se sumen al proyecto.

Si la aplicación móvil cuenta con la insignia podemos estar seguros de que:

1. La aplicación es propiedad del desarrollador y su identidad ha sido verificada. Lo que nos protege frente a malware como TeaBot, que emplean aplicaciones falsas, con visos de ser reales, para instalar troyanos que atacan a apps verídicas de nuestro móvil, en este caso las bancarias.
2. La app ha sido evaluada por profesionales de contrastada valía. Y que han seguido la metodología de OWASP.
3. La herramienta cuenta con todos los requisitos de seguridad básicos. Y, por ende, hace gala de un nivel de seguridad óptimo.

4. Protección para generar confianza y evitar crisis

Por su parte, los desarrolladores tienen mucho que ganar si deciden formar parte de Google MASA y, así, colocar a la seguridad en el centro de su estrategia empresarial. Tanto en términos reputacionales, como en aspectos puramente ligados al negocio.

Así, el salto a la nube que han emprendido muchas compañías a lo largo del mundo, debe ir unido a una estrategia de seguridad consistente que garantiza la protección de los activos críticos empresariales. Y las apps móviles lo son.

Esta cuestión se ve con nitidez en el sector financiero. En este ámbito, empleamos las apps para gestionar algo tan importante como nuestro dinero o los servicios financieros que contratamos. Pero las apps son importantísimas en muchos otros sectores. Para los medios de comunicación que surjan problemas con sus apps móviles supone un inconveniente mayúsculo. Lo mismo pasa con los servicios de contenidos por streaming como Netflix o Spotify. O con compañías del sector sanitario que gestionan nuestros datos de salud.

No basta con que las apps funcionen de manera eficiente. Su seguridad también tiene que ser óptima. Tanto en lo relativo a la información que albergan, como en lo que respecta a los permisos que les concedemos. Si una aplicación es vulnerada, el alcance del ataque puede extenderse a otras apps.

De ahí que el objetivo de Google MASA sea garantizar la protección de todo el ecosistema de apps que conforma la Play Store.

4.1. Consecuencias económicas y reputacionales

Si una app es atacada con éxito, la compañía que la desarrolló tendrá que hacer frente a múltiples consecuencias. Por un lado, de orden legal, si no se han realizado las debidas actuaciones para proteger los datos de los ciudadanos y las empresas. Lo que puede traducirse en cuantiosas sanciones. Por otro lado, tendríamos las consecuencias reputacionales. La confianza de los usuarios desciende estrepitosamente si una app ha demostrado ser insegura. Lo cual redunda en un decrecimiento del volumen de negocio de la compañía.

Finalmente, tendríamos las consecuencias económicas directas. Si la vulneración de la seguridad de la app afecta a su servicio, la continuidad de negocio se vería en entredicho, generando pérdidas económicas inmediatas. Imaginemos, por ejemplo, que la app de Amazon o de Aliexpress sufre un ataque exitoso y los usuarios no pueden emplearla. Cada segundo de parálisis se traducirá en millones de euros perdidos.

5. Innovación continua y fortificación permanente

El objetivo de Google MASA es ayudar a los desarrolladores a evitar estas situaciones de crisis. Para ello, ofrece una receta muy sencilla:

• Colaboración entre compañías y analistas de ciberseguridad.
• Implementación de las mejores prácticas del sector.
• Evaluación continua.

El resultado que se espera conseguir es una fortificación permanente del ecosistema de apps. Y, por ende, de los dispositivos que emplean personas y empresas.

5.1. Colaboración entre desarrolladores y analistas

La propia puesta en marcha de la App Defense Alliance hace gala de la importancia que da Google a la colaboración en el terreno de la ciberseguridad. En un ámbito tan complejo, en el que los actores maliciosos no dejan de innovar, la colaboración se hace completamente indispensable.

Por ello, Google MASA apuesta por fomentar la participación tanto de los desarrolladores de apps, como de las compañías de ciberseguridad más punteras. Así, no basta con que los desarrolladores realicen auditorías de seguridad de sus propias aplicaciones. Sino que es necesario que la evaluación corra a cargo de laboratorios autorizados por Google. Compañías con un largo recorrido en la auditoría y fortificación de apps móviles y con amplia experiencia en el manejo de la metodología OWASP. ¿Por qué?

Las compañías de servicios de ciberseguridad y ciberinteligencia son claves para detectar vulnerabilidades y para ayudar a los desarrolladores a prepararse frente a nuevos ataques. Por ello, la evaluación de los requisitos de seguridad va acompañada de medidas que deben implementarse para solventar insuficiencias. Esta transferencia de conocimiento contribuye a fortificar el ecosistema de apps.

A su vez, los profesionales de la ciberseguridad aumentan sus conocimientos y experiencia. Y se mantienen permanentemente a la vanguardia en lo que respecta a los ataques y amenazas que afectan a las apps móviles.

5.2. Las mejores prácticas periódicamente actualizadas

El objetivo de Google MASA es extender las mejores prácticas del sector en el desarrollo y protección de las aplicaciones móviles. De ahí que haya apostado por la metodología OWASP como herramienta para establecer los requisitos de seguridad de las apps y las pruebas que se deben llevar a cabo para constatar su cumplimiento.

La Fundación OWASP es un auténtico referente mundial que apuesta por recolectar, sistematizar y compartir las mejores prácticas en materia de ciberseguridad. Sus guías y documentos son empleados a lo largo y ancho del planeta. Por ello, el trabajo conjunto con MASVS y MSTG garante una óptima fortificación del ecosistema de apps. Además, estos documentos son actualizados por los equipos de OWASP de forma periódica. Lo cual les permite adaptarlos a las amenazas emergentes que se han detectado desde la última versión publicada.

Así, la protección continua no se logra solo por una evaluación periódica de las apps, sino por una actualización constante de las herramientas metodológicas empleadas por los analistas.

5.3. Tareas de protección permanentes

Precisamente, el objetivo de Google MASA es crear una dinámica que garantice una protección permanente de las apps disponibles en la Play Store. De ahí que éstas deban ser evaluadas una vez al año.

Nos encontramos en un mundo enormemente cambiante. Constantemente surgen nuevos tipos de ataque. Aparecen técnicas de ingeniería social innovadoras. O se lanzan troyanos disruptivos. Todas estas amenazas pueden socavar lo que segundos antes era completamente seguro.

Aunque una compañía haya puesto todo su empeño en desarrollar una aplicación móvil segura, recurriendo a profesionales de gran cualificación y empleando recursos y herramientas estandarizadas, la garantía de seguridad no es eterna. El esfuerzo por proteger una app no termina en su desarrollo. Sino que debe ser constante. Google MASA viene a recordar a los desarrolladores esta cuestión. Fomentando, así, que busquen, detecten y subsanen problemas de seguridad permanentemente.

Si los malos son altamente innovadores, los actores implicados en la fortificación de las aplicaciones móviles que forman parte de nuestra rutina diaria, también tienen que serlo. Por ello, volviendo al inicio de este apartado, la colaboración entre todos ellos es indispensable. La unión hace la fuerza y facilita la posibilidad de aprender, evolucionar, anticiparse y adaptarse a los cambios.

6. El objetivo de Google MASA: lograr un ecosistema de apps mejor protegido para y un mundo más seguro

La seguridad está es una necesidad humana que se manifiesta desde el inicio de los tiempos. Nuestros antepasados se refugiaban en cuevas, como las de Altamira, no solo por guarecerse frente a las inclemencias del tiempo. Sino también por seguridad defensiva. Por lo mismo, las ciudades del pasado se escondieron detrás de murallas. Hoy en día, con el mundo físico fusionado con el digital, la ciberseguridad se ha convertido en una cuestión que no podemos ni debemos eludir. Negocios y personas se juegan mucho en ello.

Debido a ello, Google MASA es una iniciativa pionera que busca lograr un ecosistema de apps móviles más seguro. Empleando la colaboración y la concienciación como base.

Así como nos preocupa perder el móvil o que nos lo roben, también debe preocuparnos que éste sea atacado sin salir en ningún momento de nuestro bolsillo.

Dada la relevancia creciente que tienen las aplicaciones móviles en gran parte de las facetas de nuestra vida, tanto a nivel personal como laboral o empresarial, su seguridad debe ser prioritaria.

Como han demostrado múltiples malware en los últimos años, las consecuencias económicas, personales y reputacionales de instalar apps falsas y perniciosas o contar con aplicaciones pobremente protegidas son demoledoras. Ninguna compañía que haya desarrollado una aplicación móvil se puede permitir que ésta se vea lastrada por vulnerabilidades no subsanadas. O que no se encuentre plenamente protegida frente a las amenazas emergentes.

En definitiva, un ecosistema de apps mejor protegido, conformado por aplicaciones móviles evaluadas periódicamente por profesionales de contrastada valía y a la vanguardia en la lucha contra las ciberamenazas es una garantía de seguridad para todas las personas y empresas que empleamos a diario dichas apps. De lo contrario, nos veremos expuestos a ataques maliciosos que atenten contra nuestra intimidad, nuestro dinero y nuestros datos más sensibles.