Ya no podemos hablar de las aplicaciones móviles como de una moda pasajera: forman parte de nuestra vida. Y no sólo en los momentos de ocio o para facilitarnos las comunicaciones a distintos niveles; cada vez más, su uso profesional y corporativo se impone como una herramienta diferenciadora de las empresas que han apostado por la movilidad como palanca dinamizadora de sus procesos de negocio.

Sin embargo, el desembarco precipitado de muchas de las empresas al construir sus primeras aplicaciones móviles con tal de no quedarse fuera de la “moda”, sin una estrategia de movilidad corporativa definida, está incurriendo en desarrollos e implementaciones que dejan atrás los requisitos de seguridad que todo proceso corporativo debe cumplir. Un test de usuarios recurrentes sobre muchas aplicaciones móviles actuales que entran a una red corporativa mostraría los efectos desastrosos que estos descuidos pueden ocasionar.

Ameu8 - Aplicaciones moviles - Seguridad

La seguridad no es una característica, es un requisito

El origen del problema está en que los desarrolladores y empresas dejan a un lado la seguridad en cuanto hay algún otro inconveniente en el desarrollo que les impide cumplir sus hitos de entrega. La seguridad no puede ser una característica prescindible, sino un requisito que debe quedar verificado en la trazabilidad de todo el proyecto hasta el producto final: la app.

Es conveniente usar una imagen para recalcarlo: un dispositivo móvil es como una bolsa con agujeros llena de diamantes. Es nuestro trabajo diseñar las aplicaciones móviles de modo que no se salga ninguno bajo ningún concepto.

La seguridad en un dispositivo móvil está basada en unas capas apiladas de cuyo funcionamiento dependen unas de otras:

  • Capa de Infraestructura: Es la inferior de todas y es administrada por la compañía operadora del móvil que provisiona la comunicación.
  • Capa de Hardware: Es el equipo utilizado para operar con la app y acceder a la infraestructura. Lo conocemos como firmware. Es controlado y actualizado por el fabricante del dispositivo.
  • Capa del Sistema Operativo: Es la que funciona entre la app y el hardware. Habitualmente la mantiene el fabricante y es la que recibe el mayor número de ataques.
  • Capa de Aplicación: Contiene todas las interactuaciones de los usuarios con las apps y los procesos que se ejecutan del sistema operativo para que estas funcionen. Tanto usuarios como fabricantes pueden instalar estas app y es otro de los lugares donde se producen los fallos de seguridad: utilización de datos y almacenamiento erróneo, pobres algoritmos criptográficos, desbordamientos de búfer…

Familiarizarse con las amenazas y fallos

El primer paso hacia la creación de aplicaciones empresariales móviles seguras es saber cuáles son las amenazas. Recursos como la Clasificación de Patrones de Ataque Común (CAPEC) y la Comunidad Abierta sobre Seguridad en Aplicaciones (OWASP) son dos buenos lugares para empezar. Conociendo cuáles son los peligros, podremos prevenirlos desde la etapa de planificación.

No hay reglas fijas para obtener la aprobación del mercado, pero el seguimiento de las mejores prácticas y normas para aumentar la seguridad de las aplicaciones móviles son una garantía para que una vez en él, los errores de seguridad no impidan obtener beneficios de nuestro negocio.