Leía ayer el artículo que publicaba el blog para webmasters de Google sobre la implantación masiva de Navegación Segura por defecto en todos los dispositivos Android (ES).
El cómo lo han hecho no deja de ser interesante. Actualización de Google Play Services y de paso, este regalito. Eso sí, previa aceptación del navegador (la aplicación), que debe aceptar que Google mangonee lo que quiera al hacer uso de parte de los GPS. Por supuesto, Chrome versión 46 en adelante ya viene con este añadido.
La Navegación Segura de Google es algo que ya teníamos en escritorio desde hace bastante tiempo, y por ello, no es mi interés dedicarle un artículo a un servicio que aunque entiendo aporta mucho (ese paso intermedio hace que muchos usuarios se echen para atrás), ni es nuevo ni implica un cambio de paradigma en un entorno como el móvil.
Pero en cambio, las dificultades de implantar un sistema de lista negra como el de la Navegación Segura de Google en dispositivos de prestaciones reducidas (como son los móviles) sí me ha parecido la mar de interesante.
Tanto como para liarme la manta al cuello y dedicarle estas palabras.
Navegación Segura dentro de un escenario de seguridad móvil aún no maduro
Es un tema que traté en su momento con profundidad. Igual que en el entorno de escritorio podemos considerar que hay ya una madurez adecuada en cuanto a herramientas de seguridad (ojo, madurez, que no seguridad), en el móvil seguimos aún en pañales.
Y es curioso que esto siga así teniendo en cuenta que:
- Los dispositivos móviles parten del know-how del escritorio: son predecesores (hasta cierto punto) de estos, y por tanto, cabría esperar que vengan con la lección aprendida.
- La mayoría de SO móviles han apostado por un ecosistema cerrado: Frente a la apertura de Windows, Linus u OS X (apertura respecto al abanico de acciones que el usuario tiene ante ellos), Android, iOS y WP, incluso la casi extinta BB, apostaron por un escenario en el que el usuario es por defecto simplemente eso, un usuario. Nada de permisos de administración, nada de gestor de archivos, nada de instalar aplicaciones de fuera de un market. La historia de estos primeros sistemas móviles de éxito está escrita bajo el yugo de un entorno fuertemente acotado, lo cual, normalmente, desde el punto de vista de la seguridad, es mejor (mientras menos pueda tocar el usuario…). Y pese a todo, esa pre-moderación de los markets ha resultado ser ineficiente, con un porcentaje significativo de malware en los propios markets oficiales. Y pese a todo, esa arquitectura descentralizada plantea, principalmente en Android (y por tanto, hegemónicamente en el mundo móvil, habida cuenta del cerca de 80% de presencia Android en el mercado frente al resto de competencia), un verdadero dolor de muelas de cara a la distribución de parches de seguridad en los dispositivos del usuario final.
En este escenario, la Navegación Segura de Google llega para servir de punta de lanza, junto con las propias medidas de seguridad con las que ya cuenta Android y Google Play, en el entorno web, habitualmente desprotegido, ya no tanto de cara a posible malware (a fin de cuentas, éste debe pasar por los controles propios del dispositivo para instalarse), sino frente a campañas de ingeniería social, que son las más peligrosas y dañinas.
Los problemas del mantenimiento de una lista negra en entornos móviles
Así llego al quid de la cuestión.
La Navegación Segura de Google ofrece un sistema de listas negras mediante el cual, en el momento en el que queremos acceder a una página, la herramienta se encarga de compulsar ese dominio con su lista, y si este se encuentra en ella, alertar al usuario de que podría estar en peligro.
Esa página previa cumple dos funciones. Por un lado, el echar para atrás a un usuario (el propio diseño de la página anima a abandonarla cuanto antes), y por otro, evitar cargar la propia página, que podría, si se hiciera en paralelo o a posteriori, haber causado ya el mal.
Una lista negra tiene, como en su día expliqué, problemas relacionados con su mantenimiento.
El éxito de cualquier sistema de seguridad basado en listas radica, de hecho, en que estas listas estén continuamente actualizadas. Una necesidad que alguien como Google, que es prácticamente la puerta de acceso a internet, puede hacer, y que pocos más podrían llevar a cabo con el mismo porcentaje de éxito.
Y aun así, la lista de páginas peligrosas de Google es relativamente fácil que se quede desactualizada, o que muestre resultados que no se merecen. El que varios usuarios hayan votado como potencialmente peligrosa una página en poco tiempo podría hacer que un dominio entero estuviera bloqueado con ese middlewall unas horas. Y que el administrador solucione ese problema que supuestamente le ha hecho aparecer en esa lista, tampoco significa que automáticamente la web vuelva a estar disponible.
Además, en entornos móviles, la cosa se agrava, puesto que tener Navegación Segura activo significa que:
- Para cada petición de una web, el sistema tiene que llamar a los servidores de Google: Ergo más tiempo de carga, ergo más consumo de ancho de banda, más gasto de batería. Lo que en escritorio apenas notaríamos y apenas nos importa (solemos tener mayores velocidades en escritorio que en móvil, y sobre todo, en escritorio solemos contar con tarifa plana real), en móvil puede ser más molesto. El coste del dato móvil es infinitamente mayor que el del dato de escritorio (o al menos, así lo entiende el usuario final), y para colmo hace que todo vaya un pelín más lento (quizás unas décimas de segundo más lento, pero eso para cada petición).
- La calidad de la conexión no es siempre la adecuada: lo que hace que algo que a lo mejor aumenta el tiempo unas décimas de segundo, acabe aumentándolo unos cuantos segundos. El escenario se vuelve bastante más complejo, por tanto.
- La herramienta ocupa espacio: El sistema que llama a esa lista negra hace que nuevamente los GPS crezcan en peso, lo cual es un problema, sobre todo para móviles de gama baja con poco espacio.
Lo que quiere decir que ya no solo luchamos porque en efecto el sistema permita una navegación más segura, porque las listas negras estén continuamente actualizadas y tengan el menor margen de error posible, sino que además el ancho de banda consumido, el tiempo por petición, el gasto energético (batería) y el espacio de almacenamiento, debe ser el menor posible.
Un verdadero trabajo de optimización de recursos, que consiguen, entre otras medidas, segmentando por geografía (es decir, dividiendo la lista negra en centenares de listas más pequeñas optimizadas para nuestro país o región), ordenando las listas por prioridad (de las páginas más peligrosas a las menos, de manera que la mayoría de consultas positivas se saldan antes de que la lista entera se haya descargado), comprimiendo lo máximo posible la lista (como se hace en cualquier web optimizada para móviles) y aplicando técnicas de desarrollo que minimicen lo máximo posible el impacto de este nuevo servicio en el almacenamiento y la batería de los dispositivos.
Algo que le aseguro tiene más horas encima que simplemente copiar lo que ya había en el escritorio y pegarlo en el móvil.
Y un ejemplo de un trabajo que seguramente casi nadie va a valorar, y que no hace más que mejorar la experiencia (y la seguridad) frente a nuestros dispositivos móviles.
No se yo hasta que punto se parte en el desarrollo de dispositivos móviles actuales parten del de escritorio, aunque si parten con la lección más o menos aprendida, me explico. Nadie pretende hacer lo mismo desde el móvil o tablet (sea android o ios) que lo que hace con el pc con windows (y supongo que extensible a mac) Google, y lo extiendo a apple, han partido de un paradigma diferente, no parten de lo que antes hacíamos si no de lo que ahora podemos hacer. De las miles de aplicaciones de escritorio existentes en el mundo windows, muchas pasarían a discontinuarse en un entorno móvil, nos lo venden como plataforma en la nube, y nos lo adornan con aplicaciones super guays y superfashion que hacen cosas maravillosas. La realidad es que el número de cosas que se pueden hacer es mínimo con respecto a lo que teníamos en pcs de escritorio, pero, los que mantienen esas necesidades, usan el pc también y listo.
Eso si, en cuanto a la seguridad, la orientación si va alineada, faltarán muchas cosas por hacer, pero de base hay muchas que se han hecho anticipadamente. Google lleva la seguridad como una de sus banderas, apple seguro que ya ha aprendido la lección y se está poniendo las pilas, aunque sea a su manera, y Microsoft tiene sin duda la más amplia experiencia en este tema, siendo quien ha sentado más bases en este tema y quien más leches se ha llevado.
Las listas blancas y negras son siempre un problema por el mantenimiento, lo veo como las firmas de virus que usan los antivirus, son una barrera, pero quizás una medida no mucho ás allá. La gestión de su reputación es otro tema complejo, sin duda. Varios votos negativos y tienes que probar que es falso, con la espada de Damocles sobre tu cabeza.
En cuanto al aumento de la latencia, consumo de datos, espacio consumido o batería, si, bien, todo suma, podemos decir que si usas el proxy de google donde comprime los datos, hasta se mejora en datos consumidos, pero no deja de ser un ahorro menor o a tener en cuenta, sobre todo cuando vas al límite, pero tanto el espacio disponible en el móvil, los datos que las aplicaciones consumen, o los recursos para procesar dichos datos es un problema distinto, que ya has abordado en otras ocasiones.
Me viene a la cabeza, ver como la policía se pone a denunciar conductores en un cruce del polígono en el que trabajo en el que han habido dos accidentes en diez años, y no los ves nunca en la entrada, donde hay accidentes todas las semanas. Bien, vale, el cruce debe ser respetado, pero hay problemas mucho mayores y reales que deberían ser abordados.