Leía ayer el artículo que publicaba el blog para webmasters de Google sobre la implantación masiva de Navegación Segura por defecto en todos los dispositivos Android
El cómo lo han hecho no deja de ser interesante. Actualización de Google Play Services y de paso, este regalito. Eso sí, previa aceptación del navegador (la aplicación), que debe aceptar que Google mangonee lo que quiera al hacer uso de parte de los GPS. Por supuesto, Chrome versión 46 en adelante ya viene con este añadido.
La Navegación Segura de Google es algo que ya teníamos en escritorio desde hace bastante tiempo, y por ello, no es mi interés dedicarle un artículo a un servicio que aunque entiendo aporta mucho (ese paso intermedio hace que muchos usuarios se echen para atrás), ni es nuevo ni implica un cambio de paradigma en un entorno como el móvil.
Pero en cambio, las dificultades de implantar un sistema de lista negra como el de la Navegación Segura de Google en dispositivos de prestaciones reducidas (como son los móviles) sí me ha parecido la mar de interesante.
Tanto como para liarme la manta al cuello y dedicarle estas palabras.
Navegación Segura dentro de un escenario de seguridad móvil aún no maduro
Es un tema que traté en su momento con profundidad. Igual que en el entorno de escritorio podemos considerar que hay ya una madurez adecuada en cuanto a herramientas de seguridad (ojo, madurez, que no seguridad), en el móvil seguimos aún en pañales.
Y es curioso que esto siga así teniendo en cuenta que:
- Los dispositivos móviles parten del know-how del escritorio: son predecesores (hasta cierto punto) de estos, y por tanto, cabría esperar que vengan con la lección aprendida.
- La mayoría de SO móviles han apostado por un ecosistema cerrado: Frente a la apertura de Windows, Linus u OS X (apertura respecto al abanico de acciones que el usuario tiene ante ellos), Android, iOS y WP, incluso la casi extinta BB, apostaron por un escenario en el que el usuario es por defecto simplemente eso, un usuario. Nada de permisos de administración, nada de gestor de archivos, nada de instalar aplicaciones de fuera de un market. La historia de estos primeros sistemas móviles de éxito está escrita bajo el yugo de un entorno fuertemente acotado, lo cual, normalmente, desde el punto de vista de la seguridad, es mejor (mientras menos pueda tocar el usuario…).
- Y pese a todo, esa pre-moderación de los markets ha resultado ser ineficiente, con un porcentaje significativo de malware en los propios markets oficiales. Y pese a todo, esa arquitectura descentralizada plantea, principalmente en Android (y por tanto, hegemónicamente en el mundo móvil, habida cuenta del cerca de 80% de presencia Android en el mercado frente al resto de competencia), un verdadero dolor de muelas de cara a la distribución de parches de seguridad en los dispositivos del usuario final.
En este escenario, la Navegación Segura de Google llega para servir de punta de lanza, junto con las propias medidas de seguridad con las que ya cuenta Android y Google Play, en el entorno web, habitualmente desprotegido, ya no tanto de cara a posible malware (a fin de cuentas, éste debe pasar por los controles propios del dispositivo para instalarse), sino frente a campañas de ingeniería social, que son las más peligrosas y dañinas.
Los problemas del mantenimiento de una lista negra en entornos móviles
Así llego al quid de la cuestión.
La Navegación Segura de Google ofrece un sistema de listas negras mediante el cual, en el momento en el que queremos acceder a una página, la herramienta se encarga de compulsar ese dominio con su lista, y si este se encuentra en ella, alertar al usuario de que podría estar en peligro.
Esa página previa cumple dos funciones. Por un lado, el echar para atrás a un usuario (el propio diseño de la página anima a abandonarla cuanto antes), y por otro,evitar cargar la propia página, que podría, si se hiciera en paralelo o a posteriori, haber causado ya el mal.
Una lista negra tiene, como en su día expliqué, problemas relacionados con su mantenimiento.
El éxito de cualquier sistema de seguridad basado en listas radica, de hecho, en que estas listas estén continuamente actualizadas. Una necesidad que alguien como Google, que es prácticamente la puerta de acceso a internet, puede hacer, y que pocos más podrían llevar a cabo con el mismo porcentaje de éxito.
Y aún así, la lista de páginas peligrosas de Google es relativamente fácil que se quede desactualizada, o que muestre resultados que no se merecen. El que varios usuarios hayan votado como potencialmente peligrosa una página en poco tiempo podría hacer que un dominio entero estuviera bloqueado con ese middlewall unas horas. Y que el administrador solucione ese problema que supuestamente le ha hecho aparecer en esa lista, tampoco significa que automáticamente la web vuelva a estar disponible.
Además, en entornos móviles, la cosa se agrava, puesto que tener Navegación Segura activo significa que:
- Para cada petición de una web, el sistema tiene que llamar a los servidores de Google: Ergo más tiempo de carga, ergo más consumo de ancho de banda, más gasto de batería. Lo que en escritorio apenas notaríamos y apenas nos importa (solemos tener mayores velocidades en escritorio que en móvil, y sobre todo, en escritorio solemos contar con tarifa plana real), en móvil puede ser más molesto. El coste del dato móvil es infinitamente mayor que el del dato de escritorio (o al menos, así lo entiende el usuario final), y para colmo hace que todo vaya un pelín más lento (quizás unas décimas de segundo más lento, pero eso para cada petición).
- La calidad de la conexión no es siempre la adecuada: lo que hace que algo que a lo mejor aumenta el tiempo unas décimas de segundo, acabe aumentándolo unos cuantos segundos. El escenario se vuelve bastante más complejo, por tanto.
- La herramienta ocupa espacio: El sistema que llama a esa lista negra hace que nuevamente los GPS crezcan en peso, lo cual es un problema, sobre todo para móviles de gama baja con poco espacio.
Lo que quiere decir que ya no solo luchamos porque en efecto el sistema permita una navegación más segura, porque las listas negras estén continuamente actualizadas y tengan el menor margen de error posible, sino que además el ancho de banda consumido, el tiempo por petición, el gasto energético (batería) y el espacio de almacenamiento, debe ser el menor posible.
Algo que le aseguro tiene más horas encima que simplemente copiar lo que ya había en el escritorio y pegarlo en el móvil.
Y un ejemplo de un trabajo que seguramente casi nadie va a valorar, y que no hace más que mejorar la experiencia (y la seguridad) frente a nuestros dispositivos móviles.
Entradas
