La seguridad móvil ha dependido durante mucho tiempo de un control estricto sobre cómo las aplicaciones y los servicios interactúan con un dispositivo. Un nuevo informe del Centro de Política y Derecho de Ciberseguridad advierte que este control podría debilitarse a medida que la Ley de Mercados Digitales de la Unión Europea impulsa a las plataformas móviles a abrir funciones esenciales a desarrolladores externos.
Protecciones móviles bajo tensión
El informe explica que la DMA exige que los grandes proveedores de plataformas admitan la libre interoperabilidad con las funciones de hardware y software móviles integradas en el sistema operativo. Estas funciones internas nunca fueron diseñadas para el acceso abierto. Este simple requisito introduce una serie de riesgos que aumentan a medida que se exponen más componentes del sistema.
Una preocupación es la creación de nuevos puntos de entrada. Los sistemas operativos móviles limitan el acceso a la memoria y al hardware porque estas áreas sustentan controles de confianza. Abrirlos aumenta la probabilidad de que los atacantes accedan a rutas sensibles. El informe señala ejemplos como las interfaces ocultas utilizadas por spyware avanzado, que muestran cómo pequeñas fallas en el diseño del sistema pueden provocar una vulneración generalizada.
El documento también destaca los riesgos para la integridad de los datos. Los desarrolladores pueden solicitar categorías amplias de acceso al buscar interoperabilidad. Las solicitudes aparentemente legítimas podrían permitir la recuperación de contenido confidencial, como detalles de notificaciones o historial de conexión. La falta de límites de permisos ha provocado incidentes de privacidad en el pasado, incluyendo el uso indebido de las funciones de accesibilidad en Android, que permitió que aplicaciones maliciosas leyeran mensajes y capturaran contraseñas . El informe señala que podrían surgir riesgos similares si las solicitudes de DMA eluden los sistemas de permisos existentes.
Preocupaciones sobre la estabilidad de las plataformas móviles
Los investigadores expresan preocupación por el estado general del sistema. Los sistemas operativos móviles dependen de una gestión centralizada y rutas de código predecibles. Cuando terceros obtienen mayor acceso, aumenta la probabilidad de inestabilidad del sistema. El informe cita el incidente de 2024 en el que una actualización mal configurada de un proveedor de seguridad interrumpió el funcionamiento de ordenadores en todo el mundo. Los sistemas móviles evitaron la interrupción gracias a los controles arquitectónicos integrados que limitan el acceso de bajo nivel. La preocupación radica en que los requisitos de DMA podrían erosionar este aislamiento.
Los cambios en la arquitectura plantean nuevas preocupaciones en la cadena de suministro. Las plataformas móviles utilizan defensas exhaustivas para evitar la manipulación del software principal y los mecanismos de actualización. Las solicitudes de interoperabilidad que incorporan componentes no verificados a estas capas podrían generar nuevas oportunidades para los atacantes. La diversidad de plataformas complica el problema, ya que Android e iOS implementan las funciones de seguridad de forma diferente. Una norma uniforme que no tenga en cuenta estas diferencias podría imponer cambios técnicos que debiliten las protecciones establecidas.
La autenticación plantea otro desafío. Los dispositivos móviles dependen de comprobaciones de identidad respaldadas por hardware para proteger acciones confidenciales. Si terceros deben recibir tokens o credenciales para interactuar con funciones protegidas, la solidez de estos sistemas de identidad podría disminuir. Cualquier debilitamiento de estos controles tendría un gran impacto, ya que el modelo de confianza del dispositivo subyace a todas las aplicaciones y datos del teléfono.
Obstáculos técnicos que añaden presión a largo plazo
El informe destaca que la interoperabilidad conlleva complejidad de ingeniería. Cada nueva vía de integración introduce más código para probar y mantener. Si las herramientas de terceros evolucionan más rápido que el sistema operativo, los proveedores podrían tener dificultades para mantener la seguridad alineada con los estándares de referencia. Los plazos de la DMA no siempre se ajustan a la realidad técnica y podrían obligar a la producción de funciones inestables. También señala que las obligaciones de la DMA se solapan con otras normas de la UE relacionadas con la ciberseguridad y la protección de datos , lo que puede generar requisitos contradictorios para las empresas que deben permitir el acceso y proteger los datos de los usuarios.
Recomendaciones para un camino más seguro hacia adelante
La investigación concluye con una guía para los responsables políticos y los proveedores de plataformas. Insta a la Comisión Europea a definir la interoperabilidad en términos de resultados, en lugar de privilegios idénticos. La idea es permitir que terceros accedan a las funciones necesarias a través de interfaces controladas, en lugar de exponer componentes sensibles del sistema.
El documento recomienda un modelo de acceso escalonado. Las funciones de bajo riesgo estarían disponibles para los desarrolladores registrados. Las funciones más sensibles requerirían controles y un escrutinio más rigurosos. Para respaldar este modelo, el informe exige evaluaciones obligatorias del impacto en la seguridad antes de la puesta en marcha de cualquier nueva interfaz de interoperabilidad. Estas evaluaciones abarcarían la protección de datos, las cuestiones relacionadas con la cadena de suministro, el modelado de amenazas y el posible impacto en los usuarios.
El documento también destaca la importancia de proteger el cifrado de extremo a extremo y mantener la minimización de datos. Cada característica de interoperabilidad debe incluir una declaración clara que describa por qué se necesita el acceso a los datos y cómo se limitará.
Finalmente, el informe promueve la armonización con las normas de ciberseguridad de la UE. Sugiere que ENISA debería ayudar a evaluar las solicitudes de interoperabilidad para garantizar que las decisiones reflejen los riesgos técnicos y la información sobre amenazas actual. Este enfoque ayudaría a los guardianes y reguladores a resolver las tensiones entre las obligaciones de la DMA y otras normas de seguridad.
La interoperabilidad está pasando de ser un debate político a una preocupación directa por la seguridad. La DMA influirá en la forma en que las plataformas móviles estructuran los controles de identidad, gestionan los riesgos de terceros y aplican la protección de datos. La investigación indica que la planificación para estos cambios debe comenzar ahora, antes de que las nuevas rutas de acceso se conviertan en algo habitual.
Fuente y redacción: helpnetsecurity.com / Anamarija Pogorelec
