• No se han encontrado resultados

Protección del mercado de aplicaciones móviles

N/A
N/A
Info
Descargar
Protected

Academic year: 2021

Share "Protección del mercado de aplicaciones móviles"

Copied!
8
0
0

Cargando.... (Ver texto completo ahora)

Descargar ahora ( 8 página )

Texto completo

(1)

IT

E P

A

PE

R

:

TE

cc

n

d

El

m

ER

c

A

d

o

Pl

Ic

Ac

Io

n

Es

m

ó

vIl

Es

Protección del mercado

de aplicaciones móviles

White paper

cómo la firma de código puede reforzar la seguridad

para las aplicaciones móviles

(2)

2

Protección del mercado de aplicaciones móviles

Cómo la firma de código puede reforzar la seguridad para las

aplicaciones móviles

Contenido

introducción . . . . 3

nace un sector: el surgimiento del mercado de aplicaciones móviles . . . . 3

el negocio de las aplicaciones móviles está en auge, y también lo están los riesgos para la seguridad . . . . 4

Aplicaciones para todos . . . . 4

La seguridad es clave para el desarrollo exitoso de las aplicaciones . . . . 5

¿Los certificados autofirmados son realmente seguros? . . . . 6

Los certificados de firma de código mitigan los riesgos para la seguridad exclusivos para las aplicaciones móviles . . . . 6

Cómo funciona la firma de código . . . . 6

(3)

introducción

El surgimiento de aplicaciones móviles ha cambiado significativamente la forma en que millones de personas de todo el mundo trabajan, juegan y se comunican. Ahora los usuarios pueden descargar cualquier tipo de aplicación imaginable —desde mapas y productos promocionales de juegos, películas y programas de televisión hasta aplicaciones que convierten los dispositivos en linternas y mucho más— directamente en sus smartphones y otros dispositivos móviles.

Si bien el mercado de aplicaciones móviles aún es relativamente joven, ha crecido de manera exponencial en los últimos años, y lo seguirá haciendo a gran velocidad. Alimentado por millones de consumidores y usuarios comerciales que buscan aplicaciones innovadoras, este crecimiento explosivo presenta una gran oportunidad para los desarrolladores de software que buscan crear —y monetizar— la próxima aplicación para ayudar a las personas a ser más productivas o simplemente a que se diviertan.

Sin embargo, los desarrolladores no son los únicos que buscan beneficiarse del repentino aumento de las aplicaciones; los cibercriminales quieren infectar y explotar la mayor cantidad posible de dispositivos móviles para robar información

confidencial. Las aplicaciones infectadas no son solo una amenaza para los usuarios de dispositivos móviles, sino también para los proveedores de plataformas y redes, los fabricantes de dispositivos y la reputación del sector en general.

Por fortuna, los desarrolladores pueden proteger su código —y el de sus clientes— con una tecnología sencilla y fácil de gestionar: los certificados de firma de código. En este white paper, se describe el aumento de las aplicaciones móviles y se explica por qué los certificados de firma de código son fundamentales para proteger todo el ecosistema de aplicaciones móviles.

nace un sector: el surgimiento del mercado de aplicaciones móviles

Las aplicaciones de dispositivos móviles existen desde hace años, pero algunos analistas han elegido el 11 de julio de 2008 —el día que Apple lanzó su tienda de aplicaciones de iPhone— para marcar el nacimiento del mercado de las aplicaciones móviles. Los clientes de Apple han descargado más de 3000 millones de aplicaciones en solo los primeros 18 meses desde la apertura de la tienda, con lo que se convirtió en la tienda de aplicaciones más grande del mundo1.

Aunque Apple fue aclamada como la empresa pionera de las aplicaciones móviles, los usuarios de dispositivos móviles ya venían descargando aplicaciones de tiendas online desde hace muchos años. Los usuarios de dispositivos móviles también han podido descargar aplicaciones desde una gran cantidad de fuentes “no oficiales”, incluidos los sitios web populares, como Download.com, y directamente desde los propios desarrolladores de aplicaciones. Además, algunos proveedores de redes de telefonía móvil han tanteado el terreno con sus propios sitios de aplicaciones móviles. Si bien la tienda de aplicaciones de Apple no fue la primera en ofrecer aplicaciones, fue la primera en probar que los consumidores acudirían en tropel a obtener aplicaciones móviles —e integró tiendas virtuales en los dispositivos— que eran sencillas de descargar, instalar y utilizar. Reduciendo los obstáculos técnicos y financieros, la innovadora tienda de Apple también logró atraer a cientos de miles de desarrolladores entusiastas de aplicaciones. Todo esto ha cambiado significativamente el panorama de las aplicaciones móviles. Ahora los proveedores de plataformas y redes, además de algunos fabricantes de dispositivos, ofrecen kits de desarrollo para ayudar a los distribuidores de software a crear aplicaciones

(4)

4 innovadoras. A su vez, los desarrolladores que trabajan con tiendas virtuales

obtienen ayuda de marketing y fácil acceso a millones de clientes listos para pagar por la próxima aplicación.

Las aplicaciones móviles se han convertido en un gran negocio. Esto es una realidad que ha generado más oportunidades para los desarrolladores, un aluvión de nuevas aplicaciones para clientes y una feroz competencia entre los fabricantes de dispositivos, los proveedores de redes y los proveedores de plataformas que compiten por conservar su lugar en el mercado de aplicaciones móviles.

el negocio de las aplicaciones móviles está en auge, y también lo están los riesgos para la seguridad

Desde el lanzamiento de la tienda de aplicaciones de Apple, muchas otras empresas se han unido al mercado y han abierto su propia tienda de aplicaciones; la más conocida es Android Market de Google.

Además de vender aplicaciones por medio de tiendas virtuales, los desarrolladores pueden trabajar junto con proveedores de redes y fabricantes de dispositivos, cuyos portales, por lo general, no contienen tiendas virtuales dedicadas a crear aplicaciones en una gran variedad de dispositivos y sistemas operativos móviles. Por ejemplo, AT&T ha creado un efectivo programa para desarrolladores que permite a los distribuidores de aplicaciones llegar a 80 millones de clientes de AT&T; mientras que LG ha creado su propia tienda de aplicaciones para ofrecer aplicaciones compatibles con dispositivos LG vendidos bajo diversas marcas.

Aunque las tiendas virtuales están de moda actualmente, los usuarios aún pueden descargar aplicaciones desde diferentes sitios web no oficiales independientes. De hecho, las descargas no oficiales representan la mayor parte de las descargas de aplicaciones y de los ingresos en todo el mundo. La cantidad de descargas no oficiales disminuirá a medida que las tiendas virtuales se vuelvan más populares, pero probablemente seguirán siendo un importante canal de distribución.

Con decenas de miles de aplicaciones para elegir, los clientes gastan mil millones de dólares en aplicaciones todos los años. En el año 2012, se calcula que el gasto de los consumidores en descargas aumentará a casi 14.000 millones de dólares2. Para tener

una idea más clara, este número es más del doble de todos los ingresos juntos de los 20 principales clubes de fútbol con más ganancias del mundo3.

Para los usuarios de dispositivos móviles, las aplicaciones están a solo un toque o un clic de distancia. Por desgracia, más descargas de aplicaciones y software significan más posibilidades de que se infiltren códigos maliciosos. De hecho, las aplicaciones maliciosas ya se están introduciendo sigilosamente en las tiendas virtuales: en enero de 2010, dos cooperativas de crédito descubrieron una aplicación “bancaria” en Android Market de Google, que engañó a los clientes para que enviaran información financiera confidencial a cibercriminales. Google rápidamente eliminó la aplicación, junto con otras 50 aplicaciones escritas por el mismo pirata informático4.

Aplicaciones para todos

Un considerable aumento en la cantidad de descargas de aplicaciones seguirá alimentando el rápido crecimiento del mercado de aplicaciones móviles. ¿Cómo será este aumento? En el año 2012, IDC predice que habrá 85.000 millones de descargas de aplicaciones; un aumento masivo de los 38.000 millones del año 20112. Esto

significa un poco más de 12 aplicaciones descargadas por cada persona en el planeta5.

2 IDC Predictions 2012: Competing for 2020 (1 diciembre 2011)

http://www.idc.com/getdoc.jsp?containerId=231720&pageType=PRINTFRIENDLY

3 Deloitte Football Money League 2011 - (febrero de 2011) http://www.deloitte.com/assets/Dcom-4 “Malware Sneaks Into Android Market” (Los programas maliciosos entran sigilosamente en Android Market),

Wired.com, 14 de enero, 2010

(5)

A medida que las aplicaciones móviles se vuelvan más populares, los ataques de programas maliciosos contra estos dispositivos aumentarán de manera exponencial. Parte de lo que hace que las aplicaciones maliciosas sean tan peligrosas es

que pueden ser prácticamente imposibles de detectar. Las aplicaciones de programas maliciosos se pueden ensamblar con facilidad usando partes de kits de herramientas de desarrolladores estándar, y muchas de estas aplicaciones aprovechan la información —como ubicaciones y listas de contactos— a la cual muchos usuarios conceden acceso cuando creen que una aplicación es segura y legítima. Incluso si los usuarios no están seguros de que una aplicación es segura, muchos no leen las notificaciones de permiso detenidamente o conceden acceso por costumbre. Puede que solo se necesite un clic para permitir que una aplicación acceda a información altamente confidencial.

Incluso si los usuarios no permiten que una aplicación detecte dónde se encuentran u otra información personal, muchas están diseñadas para recopilar este tipo de información de todas maneras. El proyecto App Genome Project descubrió que el 28% de las aplicaciones de Android y el 34% de las aplicaciones de Apple pueden rastrear la ubicación de un usuario. Además, descubrió que el 7,5% de las aplicaciones de Android y el 11% de las aplicaciones de Apple pueden acceder a las listas de contactos y direcciones.

Las aplicaciones que se crean para recopilar información personal son un objetivo ideal para los piratas informáticos. Si las aplicaciones como estas se dejan sin protección, los piratas informáticos pueden alterar algunas líneas de código y convertirlas en programas maliciosos peligrosos que roban información. En lugar de crear un programa malicioso desde cero, los piratas informáticos simplemente pueden infiltrarse en una aplicación existente, lo que hace aún más difícil descubrir programas maliciosos.

Pese a la creciente concienciación y al hecho de que los usuarios finales son más cuidadosos y toman más precauciones para evitar infecciones, los programas maliciosos han llegado para quedarse. Dadas estas tendencias, la protección de sus aplicaciones móviles es absolutamente esencial para proteger a sus clientes, sus productos, su reputación comercial y todo el ecosistema de aplicaciones móviles.

La seguridad es clave para el desarrollo exitoso de las aplicaciones

Junto con juegos sin interrupciones o una interfaz atractiva y fácil de usar, los desarrolladores de aplicaciones también necesitan considerar cómo hacer llegar de manera segura sus aplicaciones a los clientes. Si bien la mayoría de los programas maliciosos parecen ser una molestia más que un peligro real, una infección de un programa malicioso de cualquier tipo puede llegar a ser desastrosa. Y el hecho de que los consumidores le tengan miedo a la descarga de aplicaciones, no solo puede dañar la reputación de un desarrollador o un proveedor de redes, sino también disminuir los ingresos, ya que los usuarios empiezan a optar por aplicaciones, redes y dispositivos que consideran seguros.

Muchas tiendas virtuales y sitios web de aplicaciones reconocen este peligro y han desarrollado protocolos de seguridad que requieren el uso de firmas digitales para identificar al desarrollador de software. Sin embargo, algunas tiendas requieren solo certificados digitales autofirmados que no validan la identidad del desarrollador, una práctica que puede exponer a las tiendas virtuales—y a los clientes— a aplicaciones maliciosas.

(6)

6 Aunque la mayoría de los sitios web y las tiendas de aplicaciones preparan algunos

estándares de seguridad, estos, a menudo, no son tan efectivos como podrían serlo. Los certificados de firma de código de un proveedor de confianza pueden ayudar a garantizar la distribución segura y a fortalecer la confianza de que sus aplicaciones son seguras para descargar.

¿Los certificados autofirmados son realmente seguros?

Los certificados autofirmados más usados no son la mejor opción para los

desarrolladores. Aunque la autofirma confirma que el código proviene de un editor particular y que no ha sido alterado, no puede probar que el editor es fiable. En otras palabras, cualquiera puede autofirmar un certificado, incluso un cibercriminal. Trabajar con un tercero de confianza ayuda a garantizar que su código es seguro, demuestra que su empresa es auténtica y evita que los cibercriminales se hagan pasar por desarrolladores legítimos.

Los certificados de firma de código mitigan los riesgos para la seguridad exclusivos de las aplicaciones móviles

Si bien están impulsados por objetivos comerciales que son considerablemente diferentes, los fabricantes de dispositivos móviles, los proveedores de plataformas y redes y los desarrolladores de aplicaciones están estrechamente relacionados y dependen de ellos mismos para mantener un próspero mercado de aplicaciones móviles. Debido a riesgos comunes para sus ingresos y su reputación, cada uno de estos actores clave tiene intereses en garantizar la seguridad y la integridad de todo el entorno de aplicaciones móviles. Los certificados de firma de código, en especial aquellos de un proveedor de confianza, son fundamentales para proteger las aplicaciones móviles y las tecnologías que las respaldan.

Para los desarrolladores, los beneficios de los certificados de firma de código son evidentes. Muchas tiendas virtuales y proveedores de redes requieren firmas digitales para permitir que las aplicaciones accedan a las funciones del teléfono, y los certificados de firma de código no solo ayudan a garantizar que su código no haya sido alterado desde que se firmó, sino que también pueden demostrar a los clientes y partners comerciales que usted es un desarrollador legítimo y de confianza.

Los proveedores de redes, por otra parte, afrontan un desafío diferente. Ante una disminución de ingresos por los servicios de voz, los proveedores de redes necesitan atraer a más suscriptores y vender más servicios de red. Para lograr que este nuevo modelo comercial enfocado en los servicios sea un éxito, los proveedores de redes se centran en las aplicaciones, ya sea trabajando con desarrolladores para crear aplicaciones de plataformas cruzadas y dispositivos cruzados (como AT&T) o respaldando los dispositivos móviles que presentan las últimas aplicaciones populares. Ayudando a garantizar la integridad del código de las aplicaciones y proporcionando un mecanismo para controlar qué aplicaciones se implementan en sus redes, los certificados de firma de código pueden ayudar a los proveedores a mantener sus redes sin programas maliciosos.

Cómo funciona la firma de código

Los certificados de firma de código de un proveedor pueden autenticar la identidad del editor y la integridad de cada parte del código firmado. Aquí le mostramos cómo funciona el proceso en general:

1 . Una autoridad de certificación valida la identidad y la autenticidad de un desarrollador como editor de contenido o software.

2 . La autoridad de certificación envía al desarrollador un ID de desarrollador específico que se usa para autenticar al desarrollador cuando desea firmar un código.

(7)

3 . El desarrollador usa su ID de desarrollador específico para firmar los archivos de su aplicación que envían a la autoridad de certificación.

4 . El contenido que se vuelve a firmar o autenticado ya está listo para una distribución de confianza.

Para los fabricantes de dispositivos, el desafío es doble: estas empresas necesitan recurrir a los desarrolladores, a la vez que son conscientes de los requisitos de los proveedores de redes. Para atraer la mayor cantidad de compradores, los dispositivos móviles necesitan ofrecer las aplicaciones que los consumidores quieren. Los fabricantes también necesitan que sus dispositivos habilitados para aplicaciones sean aceptados por los proveedores de redes, una situación que puede implicar una combinación de diversos requisitos de seguridad. Los certificados de firma de código pueden ayudar a garantizar la integridad de las aplicaciones en dispositivos móviles, independientemente de qué red los distribuya.

Los proveedores de plataformas también necesitan garantizar la integridad de las aplicaciones en sus redes, pero por razones diferentes. Los proveedores como estos conceden licencias de sus plataformas a fabricantes de dispositivos, por lo que cuantas más licencias venden, más exitoso se vuelve el proveedor de plataformas. En cambio, los fabricantes de dispositivos que usan estas plataformas desean que sus dispositivos se distribuyan en la mayor cantidad posible de redes. Para proteger a los usuarios finales, además de la reputación de cada actor en esta cadena, la seguridad de firmas de código y las pruebas son esenciales para los proveedores de plataformas.

Desde el desarrollo inicial hasta la descarga final en un dispositivo móvil de un usuario final, los certificados de firma de código se pueden usar para proteger de manera efectiva todo el ecosistema de aplicaciones móviles, protegiendo a los consumidores y a las empresas de la misma manera.

Conclusión

Si bien las aplicaciones móviles existen desde hace más de una década, los

dispositivos móviles nuevos e innovadores y las tiendas virtuales fáciles de usar han hecho que las aplicaciones se vuelvan populares y han generado una demanda más alta que nunca. Los desarrolladores, los proveedores de plataformas y redes y los fabricantes de dispositivos se han unido para crear un mercado próspero y —muy rentable— para las aplicaciones móviles.

Por desgracia, los cibercriminales también buscan beneficiarse del crecimiento explosivo de las aplicaciones móviles. Ya están trabajando en la creación de software malicioso diseñado para robar la información de los usuarios y ocasionar estragos en el ecosistema de aplicaciones más grande.

No obstante, existe una solución relativamente simple, pero altamente efectiva, para proteger las aplicaciones móviles. Mediante el uso de certificados de firma de código de un proveedor de confianza, como Symantec, los desarrolladores pueden proteger su código y probar que su empresa es legítima. Del mismo modo, los proveedores de plataformas y redes, además de los fabricantes de dispositivos, pueden requerir certificados de firma de código en sus protocolos de seguridad para ayudar a garantizar la seguridad en todo el entorno de aplicaciones móviles. Cuando los consumidores sepan con certeza que las aplicaciones son seguras, descargarán más, lo cual aumentará el volumen de distribución y los ingresos para los desarrolladores y las empresas que distribuyen y comercializan su software.

Haciendo que los certificados de firma de código sean una parte integral del proceso de desarrollo de aplicaciones, las empresas —y sus clientes— pueden seguir beneficiándose del aumento inesperado y emocionante del mercado de

(8)

Más información

Visite nuestro sitio web

www.symantec.es/code-signing

Para hablar con un especialista en productos

Llame al 900-812-174, 900-93-1298 o +41-26-429-7727

Acerca de Symantec

Symantec es un líder mundial en soluciones de seguridad, almacenamiento y gestión de sistemas, que ayudan a consumidores y organizaciones a proteger y gestionar su información. Nuestros servicios y software protegen contra más riesgos, en más puntos y de forma más completa y eficaz, ofreciendo tranquilidad sin importar el lugar donde se utilice o almacene la información.

Symantec Spain S.L.

Parque Empresarial La Finca – Somosaguas,

Paseo del Club Deportivo, Edificio 13, oficina D1, 28223, Pozuelo de Alarcón, Madrid, España

1 (866) 893 6565 www.symantec.es

© 2012 Symantec Corporation. Todos los derechos reservados. Symantec, el logotipo de Symantec, el logotipo de la marca de comprobación, Norton Secured y el logotipo de Norton Secured son marcas comerciales o marcas comerciales registradas en los Estados Unidos y en otros países por Symantec Corporation o sus filiales. VeriSign y otras marcas relacionadas son marcas comerciales o registradas de VeriSign, Inc. o sus empresas asociadas o filiales en los EE. UU. y en otros países, y Symantec Corporation tiene licencia para su uso. Los demás nombres pueden ser marcas comerciales de sus respectivos propietarios.

Referencias

Descargar ahora ( PDF - 8 página - 294.12 KB )

Documento similar

Ficha Técnica Imfinzi

En la base de datos de seguridad combinados de IMFINZI en monoterapia, se produjo insuficiencia suprarrenal inmunomediada en 14 (0,5%) pacientes, incluido Grado 3 en 3

Ficha Técnica Dupixent

En este ensayo de 24 semanas, las exacerbaciones del asma (definidas por el aumento temporal de la dosis administrada de corticosteroide oral durante un mínimo de 3 días) se

Ficha Técnica Edistride

En un estudio clínico en niños y adolescentes de 10-24 años de edad con diabetes mellitus tipo 2, 39 pacientes fueron aleatorizados a dapagliflozina 10 mg y 33 a placebo,

Ficha Técnica Enhertu

• Descripción de los riesgos importantes de enfermedad pulmonar intersticial/neumonitis asociados al uso de trastuzumab deruxtecán. • Descripción de los principales signos

Prólogos de ida y vuelta: Juan de Piña, Alonsode Castillo Solórzano, Francisco de Quintana,Juan Pérez de Montalbán y María de Zayas enel campo literario de Lope de Vega

Abstract: This paper reviews the dialogue and controversies between the paratexts of a corpus of collections of short novels –and romances– publi- shed from 1624 to 1637:

Y DE LA LINDA CLAMONDA, HIJA DEL REY DE TOSCAM

E Clamades andaua sienpre sobre el caua- 11o de madera, y en poco tienpo fue tan lexos, que el no sabia en donde estaña; pero el tomo muy gran esfuergo en si, y pensó yendo assi

Tecnicas de aproximacion de throughput en redes de Petri estocasticas

por unidad de tiempo (throughput) en estado estacionario de las transiciones.. de una red de Petri

Ficha Técnica Dupixent

• For patients with severe asthma and who are on oral corticosteroids or for patients with severe asthma and co-morbid moderate-to-severe atopic dermatitis or adults with