El objetivo de nuestro equipo es muy sencillo: garantizar la seguridad de más de 2.000 millones de dispositivos Android. En esto nos centramos y estamos trabajando constantemente para mejorar nuestras protecciones y mantener seguros a los usuarios.
Hoy damos a conocer el cuarto informe anual sobre seguridad de Android. Realizamos estos informes para dar a conocer al público las numerosas y diferentes capas de la seguridad de Android, además de comprometernos para que cualquier persona pueda ver el trabajo que realizamos en seguridad.

El año pasado observamos grandes mejoras, y en este artículo incluimos algunos de los mejores logros en seguridad obtenidos en 2017, aunque no todos. Si deseas ver el informe completo, visita g.co/AndroidSecurityReport2017

Google Play Protect
En mayo anunciamos Google Play Protect, el nuevo servicio que incorpora el conjunto de servicios de seguridad de Android disponible en casi 2000 millones de dispositivos. Aunque muchas de las prestaciones de Play Protect han estado protegiendo a los dispositivos Android durante años, deseamos hacerlas ahora más visibles para asegurar a las personas que nuestras protecciones de seguridad funcionan constantemente para garantizar la seguridad de los usuarios.

El objetivo principal de Play Protect es proteger a los usuarios de aplicaciones potencialmente peligrosas (PHA), revisando a diario más de 50.000 millones de apps, además de otras fuentes potenciales de PHA y los dispositivos para, de esta manera, realizar la acción que corresponda cuando encuentre una de estas PHA.

Play Protect usa una amplia variedad de métodos diferentes para mantener seguros a los usuarios y a sus datos, y el impacto del aprendizaje automático en este servicio es ya muy destacado: un 60.3% de todas las PHA se detectaron mediante tecnologías basadas en aprendizaje automático y esperamos que esta cifra aumente en el futuro.

Protegiendo los dispositivos de los usuarios
Play Protect comprueba automáticamente los dispositivos Android para detectar PHA al menos una vez al día, y los usuarios pueden realizar exámenes adicionales en cualquier momento, para garantizarles la máxima tranquilidad. Estos exámenes automáticos nos permiten eliminar casi 39 millones de PHA al año.

También actualizamos Play Protect para responder a las tendencias que observamos en el ecosistema. De esta manera, sabemos que cerca del 35% de las nuevas PHA tuvieron lugar cuando los dispositivos no estaban conectados a Internet o habían perdido conectividad a la red. Como resultado de ello, en octubre de 2017 habilitamos la exploración sin conexión en Play Protect y, desde entonces, hemos evitado 10 millones de instalaciones adicionales de PHA.

Evitando las descargas de PHA
Los dispositivos que descargaron aplicaciones exclusivamente desde Google Play tuvieron nueve veces menos probabilidad de tener una PHA que los dispositivos que descargaron aplicaciones de otras fuentes. Asimismo, estas protecciones de seguridad continúan mejorándose, en parte gracias al incremento de la visibilidad de Play Protect en las aplicaciones incorporadas recientemente en Play. Play Protect ha analizado un 65% más de aplicaciones en Play en comparación con 2016.

Play Protect tampoco se limita a garantizar la seguridad de Google Play, sino que también protege el más amplio ecosistema de Android. Las tasas de instalación de PHA de fuera de Google Play descendieron más del 60%, en gran parte gracias a Play Protect.

Actualizaciones de seguridad
Aunque Google Play Protect es una gran protección contra PHA dañinas, también nos asociamos con fabricantes de dispositivos para asegurarnos que la versión de Android utilizada en los dispositivos de los usuarios se encuentre siempre actualizada y que sea segura en todo momento.

A lo largo de 2017 trabajamos para mejorar el proceso de lanzamiento de actualizaciones de seguridad, y un 30% más de dispositivos recibieron parches de seguridad en comparación con 2016. Además de esto, no tuvimos conocimiento público de ninguna vulnerabilidad crítica de seguridad que haya afectado a la plataforma Android y que no tuviera una solución o una actualización disponibles para hacer frente a dicha eventualidad. Esto fue posible gracias al programa de recompensas para la búsqueda vulnerabilidades en aplicaciones Android (Android Security Rewards Program), a una mejor colaboración con la comunidad de investigadores especializados en seguridad, a la coordinación con partners del sector y a las prestaciones de seguridad incorporadas en la plataforma Android.

Nuevas prestaciones de seguridad en Android Oreo
Presentamos una serie de nuevas prestaciones de seguridad en Android Oreo: haciendo más segura la obtención de apps, eliminando protocolos de red inseguros, proporcionando más control a los usuarios sobre los identificadores, fortaleciendo la seguridad del kernel, etc.

A lo largo del año destacamos muchos de estos logros, pero algunos apenas han tenido difusión. Por ejemplo, actualizamos la API de superposición, para que las aplicaciones no bloqueen toda la pantalla e impidan eliminarlas, un método habitual en las amenazas de ransomware.

La transparencia incrementa la seguridad de Android
Hace tiempo que lo dijimos, pero ahora sigue siendo más cierto que nunca: la transparencia de Android ayuda a fortalecer nuestras protecciones de seguridad. Durante años, el ecosistema Android se ha visto beneficiado por los estudios de los investigadores, y esto continuó siendo cierto en 2017.

Programas de recompensa para la búsqueda de vulnerabilidades de seguridad
Seguimos observando un enorme impulso en nuestro programa Android Security Rewards y, dentro de esta iniciativa, abonamos a los investigadores $1,28 millones, lo que representa un total de más de dos millones de dólares desde el inicio del programa. También incrementamos nuestras principales retribuciones para las vulnerabilidades relacionadas con TrustZone o Verified Boot desde $50.000 a $200,000, y de las explotaciones remotas del kernel desde $30.000 a $150.000.
De forma paralela, también presentamos el programa Google Play Security Rewards, que ofrece una recompensa extra a los desarrolladores que descubran y den a conocer a sus desarrolladores vulnerabilidades críticas seleccionadas en apps albergadas en Play.

Competiciones de seguridad externas
Nuestros equipos también participaron en competiciones externas para el descubrimiento y la comunicación de vulnerabilidades, como el Mobile Pwn2Own. En la competición Mobile Pwn2Own de 2017, ninguna vulnerabilidad pudo poner en peligro a Google Pixel. Y de las vulnerabilidades demostradas contra dispositivos Android, ninguna se pudo reproducir en un dispositivo con código fuente Android no modificado dentro del Proyecto de Código Abierto de Android (AOSP). Estamos encantados de ver las grandes mejoras a la seguridad de Android y seguiremos colaborando para incrementar nuestras protecciones este año (e incluso más allá). Nunca dejaremos de trabajar para garantizar la seguridad de los usuarios de Android.

Publicado por Dave Kleidermacher, vicepresidente de seguridad para Android, Play, ChromeOS