La nube es tu amiga (tranquilo)

Hace ya unos meses Marcos publicaba una entrada, sobre aplicaciones que permiten o ayudan a recuperar un smartphone (Android) cuando lo hemos perdido o nos lo han perdido. Aparte de las que él mencionaba, en los comentarios aparecieron otras aplicaciones como AndroidLost o SamsungDive. Unos meses antes, en una entrada titulada “El móvil que se pierde sin querer queriendo“, Marcos utilizaba la aplicación Cerberus para proponer una situación hipotética en la que utilizábamos un móvil como canal de espionaje a alguien poco precavido.

Aunque la utilidad de dichas aplicaciones es más que evidente, su uso masivo pone de manifiesto la confianza prácticamente irracional que tenemos la mayor parte de los usuarios en la nube. En uno de los comentarios de la primera entrada, Sergio hacía un interesante comentario en el que apuntaba a la posible doble finalidad de este tipo de aplicaciones: no sólo localizar el móvil sino también controlar al dueño del móvil. Me dirán que esto suena algo paranoico, pero lo cierto es que la paranoia y el “podría pasar” son, posiblemente, los dos principales argumentos detrás de la industria de la seguridad, tanto lógica como física.

Volvamos a los móviles. Estaremos de acuerdo en que básicamente lo que estamos haciendo al instalar una de estas aplicaciones es conceder a “un tercero” acceso a nuestro dispositivo, en ocasiones con capacidad para borrar información, geolocalizar, hacer fotografías, grabar vídeo, etc. Este tercero está en… bueno, en realidad no sabemos dónde está, ni cómo protege dicho acceso a nuestro dispositivo, ni quién tiene dicho acceso, ni cuántas personas trabajan en él, ni nada… de nada. Nil.

Se me ocurren varios escenarios posibles: un insider “malintencionado” interesado en el contenido de los móviles de los usuarios, una intrusión en una de estas empresas, o directamente un servicio ofertado por CHANCHULLASA. La aplicación Cerberus es particularmente interesante por su forma de funcionamiento; permite cualquier acción y además se oculta en el móvil como… como un troyano. Si no fuese ilegal, seguro que más de uno controlaba a su pareja o a sus vástagos mediante este sistema. ¿He dicho ya que es ilegal, verdad?

Así que tenemos un dispositivo con un software instalado que no hemos auditado con el que un usuario remoto puede hacer básicamente cualquier cosa a nuestro móvil. Yo no sé demasiado de móviles, pero suena bien, ¿no? ¿Por qué hacemos esto? Porque pensamos que eso no va a pasar, porque pensamos que nuestra información es irrelevante, porque pensamos que somos una aguja en un pajar. Al fin y al cabo, ¿quién querría hacernos daño y para qué? Claro que esto es básicamente lo mismo que piensa un usuario novato cuando ejecuta una aplicación que le ha llegado a través de un email o una pequeña empresa cuando le proponen hacer una auditoría de seguridad lógica, y si está usted leyendo este blog es que ha superado esa fase. Pero el caso es que podría pasar, así que quizá no hayamos avanzado tanto.

Al mismo tiempo, nos da miedo cifrar nuestro dispositivo, no sea que el cifrado corrompa de alguna manera mágica la información. Nos causa pavor que Google nos geolocalice y lea nuestros emails y es terrorífico que un amigo de lo ajeno nos robe el móvil, lo formatee y no lo volvamos a encontrar. Es preferible, claro que sí, darle acceso remoto y control total a nuestro dispositivo a alguien del que no sabemos nada. Por supuesto, qué duda cabe. Si está en la nube no puede ser malo.

Claro que quizá nada de lo que planteo sea posible técnicamente. Al menos, hasta que alguien encuentre una forma de que lo sea. Ya saben, hay que ser paranoico.

Comments

  1. Y muy justificada tu paranoia. No hace mucho pasó esto:

    http://blog.segu-info.com.ar/2011/06/usuarios-y-contrasenas-de-cerberus.html

    saludos,

  2. No se si habeis leito la politica de privacidad o terminos y condiciones de cerberus pero voy a poner un par de cosas que ponen los pelos de punta, lo he traducido con google aunque se entiende de sobra:
    – “LSDroid también se reserva el derecho de revelar identificación personal, registro, perfil o información de ubicación que LSDroid cree, de buena fe, es apropiado o necesario”
    – “En el caso de que LSDroid es adquirida o fusionada con una tercera entidad, nos reservamos el derecho, en cualquiera de estas circunstancias, de transferir o asignar la información que hemos recogido de nuestros usuarios, como parte de dicha fusión, adquisición, venta o otro cambio de control para que el servicio pueda continuar”
    – “Nos reservamos el derecho, a nuestra discreción, de cambiar, modificar, agregar o eliminar partes de este Acuerdo o las directrices en cualquier momento. Por favor revise este Acuerdo y todas las directrices periódicamente para los cambios.”

    Entre otras cosas dice que aunque cierres el programa este se seguirá trabajando en segundo plano…que se reserva el derecho a guardar datos de localización, llamadas, etc….

    En fin