Encontramos una aplicación que nos interesa y la descargamos en el móvil, pero nuestro dispositivo Android detecta que la app solicita permisos de uso considerados peligrosos y solicita la aprobación por nuestra parte. ¿Revisamos los permisos que pide?, ¿realmente nos preocupa lo que hay detrás de cada instalación? Según un reciente informe del Kaspersky Lab, apenas un 47% de los usuarios españoles se preocupan por ajustar las configuraciones de las aplicaciones en sus dispositivos y tan sólo el 24,6% rechaza instalar una aplicación móvil si no considera peligroso autorizar estas licencias de uso.
Es más, según el mismo estudio, a alrededor del 83% de las aplicaciones que instalamos en nuestros móviles les permitimos acceder a datos sensibles como contactos, llamadas o mensajes e incluso a manejar controles importantes de administración del dispositivo, como el apagado y encendido, el acceso a los datos del wifi o el accesos a los archivos de firmware.
Kaspersky Security Network llevó a cabo un experimento en el que descargaron las 66 aplicaciones más populares entre los usuarios de Android y las instalaron en varios dispositivos. El resultado fue que 54 de esas aplicaciones funcionaban por sí solas consumiendo 22 MB de datos por día, sin que el usuario ni siquiera las abriese.
A pesar de la fama de poco seguro que ha acumulado desde siempre el mercado de aplicaciones Android, existe un sistema de vigilancia muy eficaz entorno a los permisos de aplicaciones y que al funcionar en aislamiento de procesos garantiza que para determinadas acciones se precise la autorización precisa del sistema operativo. La guía para desarrolladores de Android contempla diversas categorías de permisos, pero los que considera realmente peligrosos son 9, que son precisamente en los que hay que poner especial cuidado, ya que son los que tienen más que ver con nuestra privacidad y seguridad.
Estos son los datos más sensibles de tu teléfono
Acceso al calendario. Permite tanto leer como editar y crear nuevos eventos en el calendario. El peligro está en que modifique algo importante o se elimine del calendario. Además puede usarse para controlar a un usuario al conocer la actividad que está realizando en cada momento.
Acceso a los contactos. Con este permiso la aplicación solicita poder entrar en nuestra lista de contactos, editarla, añadir nuevos y también acceder a la lista de cuentas de servicios cuyo acceso tengamos activado a través del móvil. Evidentemente esto puede suponer un filón para los que se ganan la vida enviando spam o incluso para los estafadores, más aún en el caso de entrar sin permiso en nuestras cuentas y actuar de manera fraudulenta con nuestros perfiles.
Acceso a las cámaras. Permitimos a una app tomar fotos y grabar vídeos por sí misma con el asalto a la intimidad que puede suponer esto, sobre todo si cae en malas manos.
Acceso al almacenamiento o memoria. Ya sea a un sistema de almacenamiento externo como la tarjeta SD o al almacenamiento interno, donde se autoriza a que lo lea o incluso a que almacene allí archivos. El peligro está, obviamente en la recopilación de nuestros datos, pero también en la copia o destrucción de archivos de interés que podamos custodiar.
Acceso al micrófono. Al permitir el acceso de la app a nuestro micrófono nos exponemos a que se graben nuestras conversaciones telefónicas o incluso actuar de micrófonos espía en cualquier otro momento.
Acceso a mensajes de texto. Permite que la aplicación envíe mensajes de texto (SMS, MMS o incluso mensajes tipo push WAP) lea los mensajes guardados o reciba nuevos. Hay que tener especial cuidado con este permiso, ya que es el que más utilizan los ciberdelincuentes para suscribirnos a servicios de pago no deseados.
Acceso a sensores corporales. Permiso ligado con el uso de wearables. Con ello damos datos sobre nuestra salud que normalmente pertenecer a nuestra vida privada.
Acceso a la ubicación. Permitimos que la app sepa en todo momento donde nos encontramos, bien a través de GPS, bien a través de las antenas móviles o el wifi. Esto puede ser usado por delincuentes para saber en qué momento no estamos en casa y también puede suponer una intrusión agresiva de publicidad a través de notificaciones, por ejemplo, las que nos piden que valoremos el restaurante en el que acabamos de comer o que subamos a una red social la foto que acabamos de hacer en un determinado lugar.
Acceso al teléfono. Con ello autorizamos a leer el estado del teléfono, saber el número del mismo, conocer el estado de la red móvil, hacer llamadas, conocer el histórico de las mismas, añadir mensajes de voz, gestionar llamadas colgando o descolgando e incluso redireccionando a otro número. El peligro está en que la app conocerá todos los datos de voz que se hayan hecho desde el móvil y además puede hacer llamadas a servicios de pago sin nuestro consentimiento.
Además están los permisos adicionales o permisos de acceso especial. Suelen ser permisos específicos de algunas apps. Hay que vigilarlos especialmente por ser la puerta de entrada habitual de los virus y malware.
Cómo gestionar los permisos
El sistema operativo Android permite que gestionemos todos estos permisos peligrosos. Para acceder a su control depende a veces de la versión, pero normalmente solo hay que ir a Ajustes – Aplicaciones – Opciones avanzadas o configurador de aplicaciones y allí podremos encontrarlos. Al acceder a cada permiso podemos optar por ver también las aplicaciones del sistema que utilizan un determinado permiso y que normalmente están invisibles, ya que desactivar alguna de ellas puede afectar al funcionamiento óptimo del móvil.
Por otra parte, a partir de Android 6 y posteriores las apps necesitan pedir ese permiso al sistema para acceder las acciones referidas, que también podemos activar o desactivar directamente desde el panel de control de las aplicaciones y accediendo directamente a los ajustes de cada una de ellas.
Otras funciones que podemos controlar desde la configuración de aplicaciones son las que queremos que se establezcan como predeterminadas cuando se soliciten ciertas acciones, tales como: cuál es la app que va a enviar los mensajes de texto o los emails, la que iniciará la galería de imágenes, la que actuará como asistente de voz, con la que queremos que suene la música o cual será la que haga la función de navegador, entre otras. Evidentemente hay que tener mucho cuidado y confiar plenamente en la aplicación a que le concedamos estos privilegios, ya que si se cuela por ahí el malware, podrían desde robar nuestras contraseñas, a enviar mensajes sin que nosotros lo sepamos.
En esta zona de control también podemos controlar la superposición de aplicaciones, es decir las apps que tienen permiso para abrirse por encima de otras que están funcionando. Es importante vigilar a qué apps hemos otorgado esta característica, ya que, por ejemplo, es una puerta de entrada del phishing, que puede crear una vista superpuesta que imite la aplicación de nuestro banco y robarnos las claves de acceso.
Por último debemos vigilar expresamente las apps que tienen permiso de modificación de ajustes del sistema. Si una aplicación malintencionada consigue este permiso, podría cambiar nuestras contraseñas, bloquear los accesos e incluso eliminar datos. Precisamente es una de las formas de entrada del llamado ramsonware, una práctica maliciosa que consiste en secuestrar remotamente un terminal con el fin de obtener un rescate económico a cambio de no borrar los datos que contiene. Es uno de los peores peligros de infección tecnológica del último año y se prevé que aumente en el futuro. Podemos ver la entrada también en la configuración de aplicaciones y conceder o denegar desde allí el permiso sobre el uso del sistema.
Está claro que merece la pena tomar precauciones a la hora de instalar una aplicación en nuestro teléfono móvil y por supuesto, a la mínima sospecha investigar más sobre esa app y si persisten las dudas, no instalarlas. Pero también conviene utilizar el sentido común. Es evidente que si una aplicación que, por ejemplo, busca hoteles a nuestro alrededor nos solicita permiso para usar nuestro GPS, no nos debería resultar extraño. Lo mismo si hablamos de una app de realidad aumentada que nos pidiera usar la cámara, ya que es imprescindible.
Ya vemos que un móvil obliga a estar en continua alerta, si queremos que todo funcione correctamente y no tengamos que cambiar el móvil en poco tiempo, o peor aún, arrepentirnos de cosas peores. Para ello es bueno mantener una pequeña rutina de control: actualizar regularmente las aplicaciones instaladas, descargar solo en tiendas de aplicaciones de confianza y utilizar aplicaciones específicas de limpieza y optimización del smartphone, que incluso pueden funcionar como antivirus.