DOCUMENTO TÉCNICO

Cómo proteger el
mercado en auge
de las aplicaciones
móviles: firma de
código y desarrollo
de aplicaciones

Una empresa

Cómo proteger el mercado en auge
de las aplicaciones móviles: firma de
código y desarrollo de aplicaciones
Introducción
Con la aparición de las aplicaciones móviles, miles de personas han
cambiado radicalmente su forma de trabajar, divertirse y comunicarse.
Ahora los usuarios pueden descargar cualquier tipo de aplicación
imaginable (juegos, mapas, productos relacionados con películas o
programas televisivos, programas que transforman el teléfono en una
linterna y un largo etcétera) para usarlo en su teléfono inteligente o
cualquier otra clase de dispositivo móvil.
Aunque este mercado aún es relativamente joven, ha crecido a pasos
agigantados durante los últimos años y todo indica que lo seguirá
haciendo en el futuro, gracias a los millones de consumidores y
usuarios profesionales que buscan aplicaciones innovadoras. Este
boom constituye una oportunidad de oro para los desarrolladores de
software que sean capaces de crear y sacarle provecho en el mercado
al próximo programa de moda, ya sea para fines laborales o de ocio.
Sin embargo, los desarrolladores no son los únicos que aspiran
a aprovechar esta oportunidad: los ciberdelincuentes tratarán de
infectar todos los dispositivos móviles que puedan con el fin de
robar información confidencial, lo cual constituye una amenaza no
sólo para los usuarios, sino también para los proveedores de redes y
plataformas, para los fabricantes de hardware y, en definitiva, para la
reputación del sector.
Por suerte, los desarrolladores tienen a su disposición una tecnología
práctica y fácil de gestionar para proteger sus programas (y a sus
clientes): los certificados de firma de código. En este documento
analizaremos a fondo este mercado en auge y la importancia de los
certificados de firma de código para la protección del sector en su
conjunto.
Nace un nuevo sector: los albores del
mercado de las aplicaciones móviles
Las aplicaciones móviles existen hace años, pero algunos analistas
señalan el 11 de julio de 2008 (día en que Apple inauguró su App
Store para iPhone) como la fecha de nacimiento de este mercado.
Desde entonces, el App Store ha tenido un éxito increíble: en sólo
1 1. Se superan los 2000 millones de descargas en el App Store de Apple (en inglés), Apple.com, 28 de septiembre de 2009.
DOCUMENTO TÉCNICO
dos años, ha pasado de ofrecer 500 aplicaciones a 250.000 y, en
septiembre de 2009, Apple anunció que se habían superado los 2000
millones de descargas.1
Sin embargo, aunque se ha erigido a Apple en pionero del mercado
de las aplicaciones móviles, su App Store llegó relativamente tarde,
cuando los usuarios de dispositivos móviles llevaban ya alrededor
de diez años descargando software de tiendas electrónicas similares,
como GetJar, Handango y Handmark, y de otras fuentes, como
los agregadores de contenidos o los sitios web de los propios
desarrolladores. Además, ciertas operadoras, como Sprint, también
han probado suerte en este campo con sus propios sitios de descarga
de aplicaciones móviles.
Aunque el App Store no fuera del todo pionero en el sector, sí fue
el primero en demostrar que las aplicaciones móviles (y los puntos
de venta integrados en los dispositivos) podían tener muchísimo
éxito si eran fáciles de descargar, instalar y usar. Además, al eliminar
obstáculos técnicos y económicos, la innovadora tienda de Apple
consiguió atraer a miles de desarrolladores entusiastas. Todos estos
cambios han revolucionado el panorama de las aplicaciones móviles
y ahora los proveedores de plataformas y redes, al igual que ciertos
fabricantes de hardware, ofrecen kits de desarrollo para facilitar la
creación de programas innovadores. Por su parte, los desarrolladores
que colaboran con los puntos de venta reciben ayuda para sus
actividades de marketing y pueden acceder a millones de clientes
deseosos de adquirir la última aplicación de moda.
En definitiva, las aplicaciones móviles se han convertido en un gran
negocio que abre nuevas puertas a los desarrolladores, ofrece un
sinfín de posibilidades a los clientes y desencadena una competencia
férrea entre los fabricantes de hardware y los proveedores de redes o
de plataformas, que lucharán por llevarse su parte del pastel.

Crece el mercado de las aplicaciones
móviles… y los riesgos para la seguridad
Tras la apertura del App Store, otras empresas han entrado en el
mercado con sus propios puntos de venta, como el Android Market
de Google, el Ovi de Nokia y el Windows Phone Marketplace
de Microsoft. Aunque Research In Motion (RIM) cuenta con la
mayor cuota de mercado en el sector de los teléfonos inteligentes de
Norteamérica, su App World es relativamente pequeño. Palm, por
su parte, ha salido a la palestra con App Catalog.
Además de vender aplicaciones mediante tiendas electrónicas,
los desarrolladores también pueden colaborar con los fabricantes
de hardware y los proveedores de redes, cuyos portales no suelen
contar con puntos de venta de este tipo (o los ofrecen desde hace
muy poco tiempo), con el fin de crear programas para distintos
dispositivos y sistemas operativos. Por ejemplo, AT&T ha diseñado
un eficaz programa de desarrollo que permite a los proveedores de
software llegar a 80 millones de usuarios de AT&T, mientras que
LG ha creado su propia tienda, en la que vende aplicaciones de
distintas marcas compatibles con los dispositivos LG.
Aunque este tipo de tiendas está causando furor, aún es posible
descargar aplicaciones desde otros sitios web independientes y, de
hecho, estos últimos son responsables de la mayoría de descargas
de aplicaciones y beneficios a nivel mundial. Esta situación
puede cambiar a medida que aumente la popularidad de los
puntos de venta electrónicos, pero es probable que los sitios web
independientes sigan constituyendo un importante canal de
distribución.
La amplia oferta de aplicaciones contribuye en gran medida
al auge de este mercado, que mueve miles de millones de
dólares al año. Sólo en 2009, el mercado de aplicaciones
produjo unos ingresos directos e indirectos de 10.200 millones
de dólares (aprox. 7.600 millones de euros), y se calcula que
en 2014 se habrán alcanzado los 25.500 millones de dólares
(aprox. 19.000 millones de euros):2 más de lo que generan el fútbol,
el béisbol, el baloncesto y el hockey profesionales en Estados Unidos
en total.
Los usuarios de dispositivos móviles pueden conseguir nuevas
aplicaciones con sólo un clic. Por desgracia, el aumento de las
descargas implica un mayor riesgo de infecciones de códigos
maliciosos. De hecho, ya se están colando aplicaciones falsas en
las tiendas electrónicas: en enero de 2010, dos cooperativas de
2. Aplicaciones móviles y tiendas electrónicas: modelos de negocio, oportunidades y previsiones (en inglés), Juniper Research, mayo de 2009.
3. Ibid.
4. Se cuela malware en Android Market (en inglés), Wired.com, 14 de enero de 2010.
5. Informe sobre las amenazas para la seguridad en Internet en 2009 (en inglés), Symantec, 20 de abril de 2009.
6. Los creadores de malware atacan las aplicaciones para teléfonos inteligentes (en inglés), Bloomberg Businessweek, 18 de octubre de 2010.
7. Apple y Facebook impulsan grandes cambios en el uso de Internet con dispositivos móviles (en inglés), eWeek.com, 17 de diciembre de 2009.
2 8. La seguridad de los teléfonos inteligentes se pone a prueba (en inglés), BBC News, 9 de agosto de 2010.
DOCUMENTO TÉCNICO
Aplicaciones para todos
El número de descargas de aplicaciones aumenta
vertiginosamente, por lo que este mercado está destinado a
seguir creciendo con rapidez. Pero ¿hasta qué punto? Se calcula
que en el año 2014 se habrán alcanzado los 19.500 millones de
descargas,3 lo que equivale a poco menos de tres aplicaciones
por persona.
crédito descubrieron un programa “bancario” en el Android Market
de Google que engañaba a los clientes para que enviaran datos
financieros confidenciales a los ciberdelincuentes. Google retiró
rápidamente la aplicación, junto con otras 50 desarrolladas por el
mismo hacker.4
En general, los ataques con malware por Internet se están
multiplicando a un ritmo preocupante: en sólo un año (entre 2008
y 2009), aumentaron en un 71% en todo el mundo. Para aclarar
lo que significa esta cifra, podría decirse que cada 4,5 segundos
un ordenador es víctima del malware.5 Aunque la cantidad de
dispositivos móviles atacados es inferior, el número de infecciones
se duplicó entre 2009 y 20106 y el uso del malware contra este
tipo de hardware crecerá de forma exponencial a medida que
aumente su popularidad (se prevé que en el año 2012 las ventas de
teléfonos inteligentes y artículos similares hayan superado a las de
ordenadores de sobremesa).7
Parte del peligro de las aplicaciones maliciosas se debe a la
dificultad para detectarlas. Los programas de este tipo se pueden
ensamblar fácilmente con la ayuda de kits de herramientas de
desarrollo estándar, y muchos de ellos aprovechan información
(como listas de contactos y ubicaciones) que numerosos usuarios
ponen a su disposición al creer que una aplicación es auténtica y
segura. Además, con demasiada frecuencia y sin la certeza de que
la aplicación sea de confianza, los usuarios no prestan suficiente
atención al leer los avisos o conceden acceso a los datos por mera
costumbre, cuando un solo clic puede permitir que una aplicación
obtenga información confidencial.
También existen aplicaciones diseñadas para conseguir datos
personales como la ubicación de los usuarios, sin necesidad de que
estos den su consentimiento de forma explícita. De hecho, el App
Genome Project descubrió que casi un tercio de los programas
detectan la ubicación del usuario, y aproximadamente un 10%
intentan acceder a las listas de direcciones y de contactos.8
 DOCUMENTO TÉCNICO

Las aplicaciones diseñadas para recopilar datos personales

¿Son realmente seguros los certificados
constituyen un blanco ideal para los hackers. Si no se protegen autofirmados?
correctamente, los ciberdelincuentes pueden convertirlas en un
Aunque su uso está muy extendido, los certificados
malware peligroso capaz de robar información confidencial con
autofirmados no son la mejor opción para los desarrolladores.
sólo modificar unas pocas líneas del código y, en lugar de tener que Este tipo de certificados confirma que el código ha sido creado
crear un programa malicioso desde cero, sólo tendrán que hacerse por una empresa concreta y que no ha sido manipulado,
con un programa ya existente, lo que dificulta aún más la detección pero no puede demostrar que el autor del software es digno
del malware. de confianza. En otras palabras, cualquiera puede firmar un
certificado digital de este tipo, incluso un ciberdelincuente. En
Aunque cada vez hay más conciencia del problema y los usuarios cambio, al recurrir a una entidad independiente de confianza,
garantizará que el código es seguro, demostrará que su empresa
toman más precauciones para evitar infecciones, este tipo de ataques
es auténtica y evitará que los ciberdelincuentes se presenten
no va a desaparecer. Dadas las tendencias actuales, es imprescindible como desarrolladores legítimos.
garantizar la seguridad de las aplicaciones móviles para proteger
a los clientes, los productos, la reputación de la empresa y, en
definitiva, todo el sector. Los certificados de firma de código
evitan riesgos específicos de las
La seguridad es clave para el éxito del aplicaciones móviles
desarrollo de aplicaciones Aunque cada uno persigue objetivos comerciales muy distintos,
Además de garantizar la fluidez de los juegos y ofrecer interfaces los fabricantes de hardware, los desarrolladores de software y los
atractivas y fáciles de usar, los desarrolladores también tienen que proveedores de redes y plataformas dependen en gran medida los
plantearse cómo distribuir sus programas de forma segura. Aunque unos de los otros para conseguir que el mercado de las aplicaciones
el malware suele percibirse más como una molestia que como un móviles siga prosperando. Puesto que las amenazas afectan a los
peligro auténtico, las infecciones pueden llegar a tener consecuencias ingresos y a la reputación de todos ellos, el interés por garantizar
desastrosas. Los consumidores temen cada vez más los robos de la seguridad y la integridad de todo el entorno es generalizado.
identidades9 y pueden llegar a modificar sus hábitos de navegación Los certificados de firma de código, sobre todo si los emite un
o de compra si sienten desconfianza hacia un determinado entorno proveedor independiente de confianza, son esenciales para proteger
electrónico.10 las aplicaciones móviles y las tecnologías que las acompañan.

Si los usuarios no se deciden a descargar una aplicación por miedo Para los desarrolladores, la importancia de los certificados de
a que sea peligrosa, buscarán programas, redes y dispositivos que les este tipo es evidente, ya que numerosas tiendas electrónicas y
parezcan más seguros, lo que supone una pérdida de ingresos para proveedores de redes exigen el uso de certificados digitales para
el desarrollador del software sospechoso o el proveedor de la red, que las aplicaciones puedan acceder a las funciones del teléfono.
que además verán enturbiada su reputación. Al utilizar un certificado de firma de código, además de garantizar
que el código no se ha modificado desde que se firmó, podrá
Muchos sitios web de descargas y tiendas electrónicas son demostrar a sus clientes y socios que su empresa es legítima y digna
conscientes del peligro y han diseñado protocolos de seguridad de confianza.
que exigen el uso de certificados digitales para identificar al
desarrollador. Sin embargo, algunas tiendas aceptan certificados La situación es muy distinta para los proveedores de redes. Puesto
autofirmados que no validan la identidad del desarrollador, que los servicios de voz cada vez generan menos ingresos, es
quedando desprotegidas frente a las aplicaciones maliciosas y necesario conseguir nuevos abonados y vender más servicios
exponiendo a sus clientes a posibles infecciones. de red. Las aplicaciones parecen ser la clave del éxito de este
nuevo modelo de negocio centrado en los servicios, por lo que
Si bien la mayoría de las tiendas y los sitios web declaran respetar se están imponiendo dos tendencias: la colaboración con los
ciertos estándares de seguridad, dichos estándares no siempre son desarrolladores para crear programas compatibles con distintos
tan rigurosos como deberían. Ante tal situación, los certificados dispositivos y plataformas (como en el caso de AT&T), y el
de firma de código emitidos por un proveedor de confianza fomento de dispositivos móviles con las últimas aplicaciones de
independiente pueden ser útiles para distribuir las aplicaciones de moda. Los certificados de firma de código contribuyen a garantizar
forma segura y fomentar la confianza de los clientes a la hora de la integridad del código y, además, ofrecen un mecanismo para
descargarlas.

9. La crisis agrava el miedo a los robos de identidades (en inglés), Business Wire, 29 de diciembre de 2009.
10. Una encuesta revela que las preocupaciones por la seguridad afectan a las decisiones de compra por Internet de los estadounidenses (en inglés),
3 National Cyber Security Alliance, 17 de noviembre de 2009.
 DOCUMENTO TÉCNICO

En definitiva, los certificados de firma de código resultan útiles

Funcionamiento de la firma de código
desde el desarrollo de la aplicación hasta que el usuario la descarga
Los certificados de firma de código emitidos por un proveedor en su dispositivo móvil, gracias a la protección eficaz que ofrecen
independiente autentican la identidad del autor del software y
al sector en su conjunto (tanto a los consumidores como a las
la integridad de todo el código. Veamos las distintas fases del
proceso.
empresas).

• Paso 1: La autoridad de certificación (CA) valida la Conclusión

identidad y la legitimidad del desarrollador para publicar
software o contenidos. Aunque las aplicaciones móviles existen desde hace más de diez
• Paso 2: La CA facilita al desarrollador una ID que
años, la aparición de nuevos dispositivos innovadores y de tiendas
permitirá su autenticación en el momento de firmar electrónicas fáciles de usar ha favorecido su propagación y un
código. aumento espectacular de la demanda. Los desarrolladores, los
• Paso 3: El desarrollador utiliza la ID obtenida para firmar
fabricantes de hardware y los proveedores de redes y plataformas
los archivos de su aplicación y enviársela a la CA. han unido sus fuerzas para crear un mercado próspero y muy
rentable.
• Paso 4: El contenido firmado, o autenticado, inspirará
confianza y se podrá distribuir de forma segura. Por desgracia, los ciberdelincuentes también quieren sacar provecho
de este boom y ya están creando software malicioso para robar los
datos de los usuarios y causar estragos en todo el sector.
controlar qué aplicaciones se implantan en las redes, lo que permite
a los proveedores evitar la introducción de malware. Por suerte, existe una solución relativamente sencilla y muy eficaz
para proteger las aplicaciones móviles. Al utilizar certificados
Los fabricantes de hardware también se encuentran con una
de firma de código de proveedores independientes de confianza
dificultad por partida doble: atraer a los desarrolladores, a la vez
como Symantec, los desarrolladores podrán proteger su código
que se tienen muy en cuenta las exigencias de los proveedores de
y demostrar que su empresa es legítima. Del mismo modo, los
redes. Para lograr más ventas, los dispositivos móviles tienen que
fabricantes de hardware y los proveedores de redes y plataformas
ofrecer las aplicaciones que los consumidores demandan. Además,
pueden exigir el uso de este tipo de certificados en sus protocolos
los dispositivos deben contar con la aceptación de los proveedores
de seguridad para proteger todo el entorno de las aplicaciones
de redes, por lo que los fabricantes acaban sumergidos en un
móviles. Si los consumidores tienen la certeza de que las
rompecabezas de exigencias de seguridad distintas. Los certificados
aplicaciones son seguras, realizarán más descargas, lo que provocará
de firma de código contribuyen a garantizar la integridad de las
un aumento de los ingresos y del volumen de distribución, tanto
aplicaciones instaladas en dispositivos móviles independientemente
para los desarrolladores como para las operadoras y las empresas que
de la red que usen.
comercializan el software.
Por último, los proveedores de plataformas también deben
La integración de los certificados de firma de código en el proceso
preocuparse por la seguridad, pero por motivos ligeramente
de desarrollo de las aplicaciones permite a las empresas y a sus
distintos. Les interesa vender el mayor número de licencias posible
clientes seguir disfrutando de este mercado tan sorprendente y
a los fabricantes de hardware y éstos, a su vez, querrán que sus
prometedor.
dispositivos funcionen en la mayor cantidad de redes posible. Para
proteger a los usuarios, así como la reputación de todas las partes
interesadas, las firmas de códigos y pruebas son esenciales.

© 2010 Symantec Corporation. Todos los derechos reservados. Symantec, el logotipo de Symantec y la uve sobre el círculo son marcas comerciales o marcas registradas de
Symantec Corporation o sus filiales en los Estados Unidos y otros países. VeriSign, VeriSign Trust y otras marcas relacionadas son marcas comerciales o marcas registradas
de VeriSign, Inc., sus filiales o subsidiarias en los Estados Unidos y otros países otorgadas bajo licencia a Symantec Corporation. Los demás nombres pueden ser marcas
4 comerciales de sus respectivos propietarios.