A día de hoy, se puede decir que el uso de tiendas de aplicaciones es la norma, echando un vistazo rápido al modo de instalar aplicaciones en los sistemas operativos más habituales, encontramos que:
- En smartphones o tablets, la instalación de una aplicación depende de la AppStore: https://www.apple.com/es/ios/app-store/ si tienes un terminal Apple, y en general de la PlayStore: https://play.google.com/ si usas Android. En este segundo caso, puedes encontrar además más opciones de tienda, tanto de fabricantes (Huawei AppGallery, Samsung Galaxy Store…) como de terceros (Amazon Appstore, AuroraStore, Aptoide…), pero en todo caso, la tienda de turno es el lugar desde el que instalar y gestionar las aplicaciones del dispositivo..
- En ordenadores con Linux, desde hace años están los repositorios de paquetería, ya con interfaces sencillos de usuario a modo tienda de aplicaciones típica, aunque lógicamente por el carácter abierto de este sistema, también es posible otro tipo de instalaciones fuera de estos repositorios. En equipos Apple tenemos la AppStore como punto de encuentro principal, aunque también se permita la instalación de aplicaciones de modo tradicional. Y en ordenadores con Windows, encontramos la excepción que confirma la regla, aunque posee la tienda Microsoft Store, ésta no ha despegado ni posiblemente consiga despegar nunca, así que el modo habitual de instalar aplicaciones es el típico ejecutable y posterior “Siguiente, Siguiente”, aunque es cierto que también hay alternativas como Chocolatey, Ninite… de las que ya hemos hablado anteriormente que facilitan las cosas: https://ciberseguridadtotal.com/tu-software-siempre-actualizado-ninite-chocolatey-y-patch-my-pc/.
Incluso el tema de tienda de aplicaciones, va más allá de aplicaciones en sí, y se aplica a complementos de éstas, con ejemplos típicos como: Chrome web store para instalación de complementos en el navegador Google Chrome: https://chrome.google.com/webstore/category/extensions?hl=es, Addones para instalación de complementos en Mozilla Firefox: https://addons.mozilla.org/es/firefox/, o Extensions para Microsoft Edge: https://www.microsoft.com/es-es/store/collections/edgeextensions/pc.
Y en este escenario, para nosotros, los usuarios finales, parece que todo son ventajas, por muchos motivos:
- Por un lado por sencillez, nada de buscar aplicaciones en páginas web de dudosa procedencia, simplemente a través del buscador de la tienda, encontraremos rápidamente las aplicaciones disponibles para dar solución a nuestras necesidades. Todo con un interfaz simple, con descripciones, capturas de pantalla, e incluso opiniones de usuarios que han probado la aplicación.
- Por otro lado la seguridad, las aplicaciones de las tiendas, han pasado unos filtros para ser publicadas allí, eso no quiere decir que debamos considerarlas de confianza al 100%, desgraciadamente se cuela mucho malware en estas tiendas, pero al menos si han pasado unas revisiones y estándares mínimos, y si se detecta que son maliciosas tras la publicación, serán retiradas de la tienda.
- Y por último el tema de actualizaciones, ligado directamente a la seguridad y funcionalidad de las aplicaciones, y es que a través de la tienda, el acceso a nuevas actualizaciones software es en general transparente, de modo que siempre accederemos a la última versión de la aplicación de turno sin tener que interactuar para ello con el sistema.
Todo lo anterior suena genial, pero sin embargo propone en ocasiones un exceso de confianza, que deriva por ejemplo en el típico smartphone con cientos de aplicaciones instaladas, que desgraciadamente en su mayoría no son de utilidad, y además han comprometido la seguridad de nuestro dispositivo.
Resumiendo, nunca hay que bajar la guardia, y menos teniendo en cuenta certezas como las siguientes:
Que las tiendas no están libres de malware:
Por ejemplo el siguiente estudio del de upstream del primer trimestre del año pasado, habla de más de 29.000 aplicaciones maliciosas en la Play Store que infectaron a más de 11 millones de equipos: https://www.upstreamsystems.com/upstreams-secure-d-detects-malware-spike-q1-2020-29000-malicious-android-apps-play-double-2019-figures/.
Por parte de Google, el informe del año pasado https://security.googleblog.com/2021/04/how-we-fought-bad-apps-and-developers.html comenta que evitaron que casi 1 millón de aplicaciones maliciosas llegaran a su tienda.
Y por parte de apple, el titular del informe del año pasado es todavía más impactante: “App Store stopped more than $1.5 billion in potentially fraudulent transactions in 2020”: https://www.apple.com/newsroom/2021/05/app-store-stopped-over-1-5-billion-in-suspect-transactions-in-2020/.
Es decir, mucho malo trata de meter mucho bicho en esas tiendas, y aunque haya mecanismos para controlarlo, inevitablemente termina llegando parte, que podemos comernos con patatas si no tenemos cuidado.
Que las tiendas están a lo que están:
Es decir, a ganar dinero, como es lógico además. Apple, Google… no tienen el negocio para hacernos felices, sino para tener más billetes, y eso a veces se nota y mucho, de modo que casi parece más importante generar la tienda más grande, a que ésta sea de calidad, y como ejemplo algo que creo es muy representativo:
Recientemente hubo algo ruido sobre la siguiente peculiaridad, al buscar “Microsoft Authenticator” en la tienda de complementos de Google Chrome, aparecían 3 resultados, y en orden, los 2 primeros eran una estafa de phishing, que incluso tenían comentarios de usuarios indicándolo, y sólo la tercera opción era la oficial de Microsoft. Resulta incomprensible que el mejor buscador del mundo, no sea capaz de poner a la aplicación oficial de Microsoft en primer lugar, y además que se cuele algo tan fragante, dónde un desarrollador cualquiera, coge para sí el nombre de algo oficial como “Microsoft Authenticator”:
Por otro lado, además del negocio de las tiendas, está el negocio de las aplicaciones. Es decir, una aplicación tiene el objetivo de monetizarse, ha llevado un esfuerzo, tiene a un conjunto de personas detrás, y lógicamente de alguna manera tendrá que obtener un beneficio. Muchas veces encontramos aplicaciones aparentemente “gratis”, que además nos permiten hacer cosas que por naturaleza son de pago, y creo muy necesario que tengamos la suficiente capacidad como para reflexionar sobre ello y percatarnos de la posible estafa. Porque en esos casos el negocio es posible que terminemos siendo nosotros, es decir nuestros datos. En este sentido conviene revisar los permisos solicitados por la aplicación, y Exodus, del que hablamos en: https://ciberseguridadtotal.com/exodus-auditoria-de-privacidad-de-aplicaciones-android/ es un buen punto de partida.
Unos “briconsejos”:
Esto podría alargarse mucho, por lo que empezamos con la despedida del artículo, y que mejor que acabar con unos consejos, de sobra conocidos, pero que no viene mal refrescar:
- Evitar aplicaciones innecesarias: a día de hoy prácticamente cualquier smartphone viene con una gran cantidad de aplicaciones preinstaladas de confianza para tareas típicas como: calculadora, lector de QR, grabadora de voz, wallet, radio, correo electrónico, administrador de ficheros… que no son por tanto necesarias incluir a mayores.
- Revisa antes de instalar: al igual que en el ejemplo anterior de “Microsoft Authenticator”, fíjate bien en quién es desarrollador de la aplicación, especialmente para “apps oficiales”. Echa un ojo también los comentarios y nota que posee la tienda, o en el número de descargas, y si tiene web oficial o soporte.
- Evitar ilegalidades: si una app promete hacer algo ilegal por decirlo de alguna manera, ya sea descargar videos de youtube o vimeo, escuchar spotify premium por la cara o ver el fútbol sin pasar por caja, desconfía, y si te emperras en instalarlo, que no sea en tu dispositivo principal, sino en otro que des por contado que estará comprometido.
- Evitar síndrome de diógenes digital: instalando aplicaciones de forma voraz, como si no hubiese un mañana. Ejemplo de necesitar una aplicación para la lista de la compra, y terminar instalando 7 que pruebas y no pruebas, y terminan quedando para siempre en el dispositivo. Y por supuesto, ver si esa necesidad puede resolverse con lo que ya tienes, o con las apps genéricas de referencia, y es que siguiendo el ejemplo anterior, un simple Google Keep (notas de Google) puede permitirte esa funcionalidad sin instalar cosas raras o reinventar la rueda.
- Verificar permisos: ya sea con Exodus como hemos comentado, o a través de la descripción del producto y propio asistente de instalación. Si una aplicación de linterna solicita permiso para hacer llamadas y acceder a los ficheros del dispositivo, algo raro hay ahí.
- Usar el sentido común: porque sin duda, y mira que somos pesados aquí con ello, es el mejor arma contra cualquier tipo de engaño o ataque que comprometa tu seguridad y datos.
