Soluciones combinadas para incrementar la seguridad de las aplicaciones para móviles
Las estadísticas relativas a la seguridad de los teléfonos móviles revelan que, desde la salida al mercado del primer smartphone, se han realizado escasos avances en este campo. Según Arxan, una de las empresas líderes del sector de la protección de software, el 90 % de las aplicaciones presentan graves fallos de seguridad, mientras que el 46 % de las compañías dedicadas a desarrollarlas prevén que sus productos serán objeto de ataques informáticos en un máximo de seis meses tras su lanzamiento. A pesar de que en el mercado existen sistemas de protección, estos no ofrecen un nivel adecuado de seguridad, son caros o bien son difíciles de utilizar. «A los desarrolladores les resulta casi imposible determinar el valor del producto que adquieren, o evaluar los beneficios y los riesgos derivados de invertir en protección», afirma Bjorn De Sutter, coordinador de ASPIRE y profesor del Laboratorio de Sistemas Informáticos de la Universidad de Gante (Bélgica). La mayoría de las organizaciones disponen de un presupuesto limitado para invertir en la seguridad de sus aplicaciones, por lo que el mercado parece estar atrapado en un círculo vicioso. Es aquí donde la tecnología de ASPIRE entra en liza: «Intentamos propiciar un avance vanguardista presentando mejoras específicas», explica el profesor De Sutter. «Por ejemplo, hemos desarrollado técnicas anti-depuración (“anti-debugging”) realmente difíciles de sortear. Traspasamos la barrera de combinar numerosos tipos de protección, abarcando así una amplia variedad de características y retos —como la implantación en código fuente y binario— sin descuidar los requerimientos industriales, como el funcionamiento conjunto con compiladores de código genéricos, método que impide controlar la generación de código». El consorcio pudo demostrar la viabilidad de estos métodos teóricos en casos complejos y realistas. También desarrolló un sistema de apoyo a la toma de decisiones con una metodología de evaluación incorporada para favorecer la eficacia de las medidas de protección de software. «Hasta donde sabemos, se trata del primer instrumento de este tipo que ayuda a los usuarios a elegir combinaciones de medidas de protección adecuadas dependiendo de sus programas, recursos y requisitos de seguridad», comenta el profesor De Sutter. Fuerzas combinadas Uno de los principales puntos fuertes de ASPIRE consiste en combinar diversos métodos de protección. Lógicamente, el propósito es complicarles las cosas a los piratas, pero sin descuidar los requerimientos de los múltiples recursos incluidos en cada aplicación. Por último, aunque no menos importante, esta estrategia permite que el sistema proteja incluso los propios métodos de protección. Tal y como señala el profesor De Sutter, esta combinación de medidas eficaces hace que los ataques requieran tanto tiempo y esfuerzo que dejan de merecer la pena. En el plano técnico, ASPIRE articula cinco líneas de defensa: ocultamiento del valor de los datos, ocultamiento del código, técnicas para evitar la falsificación («anti-tampering»), certificación remota y técnicas de renovabilidad. «Los métodos renovables nos permiten distribuir diferentes versiones de un mismo programa y actualizarlas con frecuencia de forma que, una vez que los atacantes encuentran una vía eficaz, sólo pueden explotarla en un número limitado de casos y durante un breve lapso», explica profesor De Sutter. El objetivo consiste en reducir las posibilidades de que un ataque resulte rentable, con la esperanza de que los atacantes desistan por completo de intentarlo. De cara a corroborar la fiabilidad de su sistema, el profesor De Sutter y su equipo han lanzado un reto público consistente en desafiar a los piratas para que ataquen siete programas. A quienes logren el objetivo se les ofrece una recompensa si comunican el método empleado al consorcio. Mirando al futuro Los casos de uso ejecutados han proporcionado un conocimiento valioso que el consorcio pretende aprovechar próximamente. Se han obtenido algunos resultados positivos, especialmente el hecho de que el sistema de ASPIRE se pueda implantar en bibliotecas complejas integradas en aplicaciones para Android. Además, el consorcio ha determinado que existe margen de mejora en diversos métodos de protección. La mayor parte del código desarrollado por el proyecto se hará público una vez toque a su fin en octubre de 2016, de modo que todos los investigadores interesados puedan implantar, analizar y ampliar los métodos de protección facilitados. «Los socios industriales de ASPIRE están trabajando en sus respectivos planes de explotación. Por nuestra parte, mi equipo seguirá desarrollando estas herramientas con fines científicos propios y en colaboración con empresas del sector», concluye el profesor De Sutter.
Palabras clave
ASPIRE, teléfono inteligente, smartphone, seguridad de teléfonos móviles, aplicaciones para teléfonos móviles, ciberseguridad