Google presentó el martes una nueva función de suscripción voluntaria para Android llamada Registro de intrusiones para almacenar registros forenses para analizar mejor los ataques sofisticados de software espía.
El registro de intrusiones, disponible como parte del modo de protección avanzada, permite «registro forense persistente y que preserva la privacidad para permitir la investigación de dispositivos en caso de un posible compromiso», dijo la compañía.
El artículo, añadió, fue desarrollado en colaboración con Amnistía Internacional y Reporteros Sin Fronteras. Según un documento de ayuda compartido por Google, registra diariamente las actividades del dispositivo y de la red, incluida información sobre el comportamiento del dispositivo y las diversas aplicaciones que se ejecutan en él.
Los tipos de actividades registradas se enumeran a continuación:
- Actividad de la aplicación (por ejemplo, cuando se inicia un proceso de aplicación)
- Instalaciones, actualizaciones y desinstalaciones de aplicaciones
- Conexiones de red como iniciar y detener Wi-Fi, Bluetooth, búsquedas de DNS y direcciones IP
- Transferencias de archivos hacia o desde el dispositivo a través de USB
- Cambios en los certificados del sistema.
- Cuando el dispositivo está bloqueado o desbloqueado
Google también señaló que los datos de registro están cifrados de extremo a extremo por el dispositivo y se almacenan en los servidores de Google. Las claves de cifrado están protegidas por la contraseña de la cuenta de Google y las credenciales de bloqueo de pantalla, lo que significa que ningún tercero, incluido el propio Google, puede acceder a los registros, aparte del propietario del dispositivo.
«Al almacenar los datos en un servidor seguro, ni siquiera el malware instalado en el teléfono inteligente puede acceder a ellos, eliminarlos o manipularlos», afirma Reporteros sin Fronteras. «El cifrado de extremo a extremo también garantiza que ni Google ni los actores estatales puedan acceder a los datos. La función Intrusion Logging en particular permite la detección y el análisis forense incluso de ataques muy sofisticados y que antes eran difíciles de detectar».
Los registros cifrados se almacenan durante un período de 12 meses, tras el cual se borran automáticamente. Una vez que se habilita el registro de intrusiones, un usuario no puede eliminar los registros antes de la ventana de vencimiento de 12 meses, incluso si la cuenta está cerrada o la función está desactivada. Los usuarios tienen la opción de descargar los registros sin conexión, si prefieren conservarlos durante períodos más prolongados.
Dicho esto, Google ha enfatizado que una vez que los registros se descargan y descifran, los usuarios son responsables de su seguridad. «En ciertos entornos legales o regulatorios, es posible que la ley le exija que proporcione acceso a sus datos descifrados o a sus credenciales de seguridad», señaló.
Otra cosa a tener en cuenta al habilitar la función es que también registra eventos de red generados durante la navegación de incógnito en Chrome, como búsquedas de DNS y conexiones IP, ya que opera a nivel del sistema y no distingue entre los modos de navegación. En otras palabras, cualquiera que tenga acceso a los registros descifrados puede obtener qué sitios web se visitaron, pero no puede inferir páginas específicas de esos sitios.
La motivación detrás del registro de intrusiones es que una persona de alto riesgo, que sospecha que puede haber sido atacada por herramientas de vigilancia avanzadas debido a quiénes son y qué hacen, puede compartir el registro de actividad con expertos en seguridad confiables para un examen detallado.
Los registros se pueden descargar navegando a la aplicación Configuración y luego tocando Seguridad y privacidad -> Protección avanzada -> Registro de intrusiones -> Registros de acceso. Actualmente, la función se está implementando en todos los dispositivos que ejecutan la actualización de Android del 16 de diciembre y versiones posteriores.
«Con Intrusion Logging, Google es el primer proveedor importante que aborda de manera proactiva el desafío de detectar ataques avanzados en dispositivos», dijo en un comunicado Donncha Ó Cearbhaill, jefe del Laboratorio de Seguridad de Amnistía Internacional. «Al poner a disposición de los investigadores más datos forenses consensuados, podemos hacer la vida más difícil a los atacantes y ayudar a la sociedad civil a exigir responsabilidades cuando sus dispositivos son atacados ilegalmente por software espía y herramientas de extracción de datos móviles».
Otras funciones de privacidad y seguridad llegarán a Android
Además del registro de intrusiones, Google ha anunciado una serie de mejoras de privacidad y seguridad, incluidas llamadas financieras verificadas, una nueva función de protección contra suplantación de llamadas telefónicas para combatir ataques en los que los estafadores se hacen pasar por bancos para engañar a los usuarios para que revelen datos confidenciales o transfieran fondos.
Cuando los usuarios reciben una llamada que parece ser de un banco participante, Android solicita a la aplicación de banca en línea instalada que confirme si realmente están intentando comunicarse con el cliente. Si la aplicación confirma que no se está realizando tal cosa, el sistema finaliza automáticamente la llamada.
«Su banco o institución financiera también puede designar números como sólo entrantes, lo que significa que nunca los usan para llamar a los clientes», dijo Google. «Las llamadas entrantes de estos números finalizarán directamente». Se espera que la función esté disponible en dispositivos Android 11+ con Revolut, Itaú y Nubank en las próximas semanas, antes de expandirse a más bancos a finales de este año.
Otros cambios notables se enumeran a continuación:
- Ampliar la detección de amenazas en vivo para emitir advertencias sobre comportamientos sospechosos de aplicaciones, incluido el reenvío de SMS y las superposiciones de accesibilidad que suelen utilizar los troyanos bancarios de Android para robar credenciales.
- Evaluación de archivos APK descargados a través de Chrome en Android en busca de malware conocido cuando la Navegación segura está habilitada antes de su instalación.
- Eliminar el acceso a la API de servicios de accesibilidad de todas las aplicaciones que no estén etiquetadas como herramientas de accesibilidad.
- Deshabilitar el desbloqueo de dispositivo a dispositivo y la compatibilidad con Chrome WebGPU.
- Agregar detección de estafas para notificaciones de chat.
- Mejora de la función Marcar como perdido de Find Hub con la capacidad de bloquear un teléfono con autenticación biométrica, evitando que los ladrones desactiven el seguimiento del dispositivo si un dispositivo está marcado como perdido. Activar Marcar como perdido también activa protecciones adicionales como ocultar configuraciones rápidas y deshabilitar nuevas conexiones Wi-Fi y Bluetooth.
- Reducir la cantidad de veces que un tercero con acceso físico a un dispositivo puede adivinar el PIN o la contraseña, además de implementar tiempos de espera más largos entre intentos fallidos.
- Mejorar la recuperación del dispositivo al hacer que se pueda acceder al número IMEI de un dispositivo a través de la pantalla de bloqueo en dispositivos con Android 12 o superior.
- Mejores controles de privacidad que permiten a los usuarios compartir su ubicación precisa temporalmente para tareas específicas mientras una aplicación específica está abierta y brindan acceso a contactos específicos a una aplicación de terceros, en lugar de compartir toda la libreta de direcciones.
- Presentamos AISeal con pKVM para el aislamiento en el dispositivo, respaldado por hardware, del procesamiento de datos relacionados con la inteligencia artificial (IA).
- Ampliar la transparencia binaria en Android para garantizar la integridad mediante la verificación de compilaciones oficiales y un libro de contabilidad público para aplicaciones auténticas de Google y API de GMS fundamentales.
- Ocultar contraseñas de un solo uso (OTP) de SMS de la mayoría de las aplicaciones durante tres horas para bloquear el robo de OTP por parte de aplicaciones maliciosas a las que se les ha otorgado el permiso de SMS.
- Brindar a los operadores la capacidad de desactivar 2G de forma predeterminada para proteger a los clientes de las vulnerabilidades de la tecnología heredada.
- Reforzar la protección de datos mediante la introducción de criptografía poscuántica para proteger contra amenazas futuras.
- Incorporar controles de usuario explícitos para activar y desactivar funciones completas, barreras de seguridad y transparencia al usar Gemini en Android.
«Al mejorar las protecciones contra estafas bancarias y ampliar protecciones potentes como Live Threat Detección y Android Advanced Protection, garantizamos que Android siga siendo la plataforma más segura», afirmó Eugene Liderman, director de seguridad y privacidad de Android.