Para proteger a los consumidores, el Congreso debe asegurar la cadena de suministro de la tienda de aplicaciones

los Ley de mercados abiertos de aplicacionesun proyecto de ley que, entre muchas otras cosas, requeriría que los fabricantes de dispositivos permitan la instalación de aplicaciones no examinadas en los dispositivos móviles de los usuarios, ganó la aprobación del Comité Judicial del Senado de los Estados Unidos a principios de este mes.

Esta legislación confrontaría el modelo de distribución de aplicaciones de “jardín amurallado”, en el que las aplicaciones solo se pueden instalar desde las tiendas oficiales de aplicaciones, que ha existido desde los primeros días de los teléfonos inteligentes. Si bien muchos se han centrado en los beneficios potenciales para los consumidores de la competencia de las tiendas de aplicaciones, esta parte de la legislación propuesta introduce riesgos de seguridad de dispositivos no deseados, pero potencialmente significativos, al permitir las entregas de aplicaciones a través de canales no supervisados.

El alejamiento del modelo actual de “jardín amurallado” presenta nuevos riesgos de seguridad para los usuarios, que pueden recurrir a tiendas con un mayor volumen de aplicaciones maliciosas. Las tiendas de aplicaciones de Apple, Microsoft, Google y otras grandes empresas de software analizan las aplicaciones que se venden en sus tiendas en busca de malware y vulnerabilidades.

Si bien tales evaluaciones pueden ser imperfectas, particularmente cuando carecen de revisión humana, la naturaleza controlada de estas tiendas reduce en gran medida la capacidad de los actores cibernéticos malintencionados de usar aplicaciones para robar datos de usuarios o cometer fraude.

En comparación, las tiendas de aplicaciones mal reguladas, como muchos encontrados en China, son caldo de cultivo para aplicaciones comprometidas llenas de malware. Las tiendas de aplicaciones reguladas inadecuadamente que carecen de los controles de seguridad más básicos aumentan el riesgo para los consumidores al facilitarles la descarga de una aplicación comprometida que puede robar sus datos o defraudarlos.

Las tiendas de aplicaciones se han convertido en una parte central de la cadena de suministro de software moderna. Las aplicaciones que brindan a los consumidores ofrecen una gama de servicios financieros, de salud y personales que son vitales para nuestra vida cotidiana y que contienen datos altamente confidenciales.

Los individuos y las empresas más pequeñas corren un mayor riesgo de que les roben sus datos o de que las aplicaciones malintencionadas los estafen porque carecen de los recursos que las empresas más grandes usan para controlar qué software se puede instalar en sus dispositivos.

El reciente Programa malicioso Flubot El ataque, por ejemplo, aprovechó los mensajes de texto dirigidos a los destinatarios para que descargaran una aplicación maliciosa en sus teléfonos que permitía a los atacantes robar información financiera e interceptar mensajes de texto. El malware, que requería que los usuarios permitieran la instalación de aplicaciones desde fuera de la tienda de aplicaciones de Google, demuestra cómo las aplicaciones comprometidas pueden causar estragos en los usuarios desprevenidos.

Flubot es solo una parte de una tendencia mayor hacia el uso de software comprometido para robar datos confidenciales o datos de rescate. El peligro que representa esta tendencia solo se magnificaría con un movimiento hacia los mercados no regulados que carecen de la revisión de aplicaciones y el control de seguridad en las tiendas oficiales.

Permitir la “carga lateral” sin restricciones de aplicaciones (la instalación de aplicaciones desde fuera de una tienda de aplicaciones oficial) crea un riesgo aún mayor, ya que permite la instalación de aplicaciones desde cualquier lugar de la web. Si bien esto puede otorgar a los usuarios acceso a más aplicaciones gratuitas, también crea oportunidades significativas para que los ataques engañen a los usuarios para que instalen aplicaciones llenas de malware. Una aplicación gratuita no es gratuita si el resultado es una cuenta bancaria vacía.

Afortunadamente, el Congreso puede imponer estándares de seguridad en las nuevas tiendas de aplicaciones que pueden ayudar a proteger a los usuarios finales consumidores.

Primero, pueden exigir que las tiendas tengan un nivel básico de revisión de seguridad y monitoreo de aplicaciones, incluida la revisión humana. La revisión humana ayuda a garantizar que los permisos utilizados por la aplicación reflejen la publicidad de la aplicación, un paso vital para evitar que las aplicaciones malintencionadas hagan cosas que no deberían hacer.

En segundo lugar, EE. UU. y otros gobiernos deberían abandonar los planes para exigir una “carga lateral” sin restricciones: el riesgo para el usuario final promedio es simplemente demasiado grande cuando puede instalar una aplicación desconocida con unos pocos clics sin comprender los riesgos de seguridad que la acompañan.

Finalmente, algunos usuarios pueden optar por quedarse con las tiendas de aplicaciones oficiales para reducir el riesgo de instalar una aplicación maliciosa, pero para los usuarios que deciden instalar aplicaciones desde fuera de esas tiendas, también deben practicar una buena higiene del dispositivo para reducir el riesgo al bloquear la instalación. de aplicaciones de fuentes no confiables y evitar aplicaciones de la web abierta o tiendas de aplicaciones no confiables.

Los riesgos que plantean las aplicaciones maliciosas siempre existirán, pero los responsables de la formulación de políticas y los usuarios pueden hacer más para garantizar que un espacio de tienda de aplicaciones cada vez más competitivo minimice la amenaza a los datos personales de los usuarios. Agregar estándares de seguridad básicos, como los descritos anteriormente, a las propuestas existentes puede ayudar a minimizar los riesgos de seguridad que plantea un nuevo mundo de opciones de tiendas de aplicaciones.