AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Empresas

Google flexibiliza la verificación de identidad de desarrolladores y permite apps de origen no verificado

admin

Introducción

La política de verificación de identidad para desarrolladores de Google Play ha experimentado un giro inesperado. Tras el anuncio inicial de la compañía en abril de 2024, que imponía la verificación obligatoria de identidad para todos los desarrolladores que publicasen aplicaciones en su tienda, Google ha decidido matizar su enfoque. Ahora, se contemplan excepciones y nuevas funcionalidades que permitirán la publicación y distribución de aplicaciones por parte de desarrolladores no verificados, así como la descarga de apps desde cuentas con verificación limitada. Este cambio responde a las preocupaciones del ecosistema sobre privacidad, distribución restringida y la experiencia del usuario final.

Contexto del Incidente o Vulnerabilidad

El endurecimiento de las políticas de verificación surgió como respuesta a la proliferación de aplicaciones maliciosas y el incremento de los ataques de suplantación de identidad dentro de Google Play. Según datos de Google y de firmas de ciberseguridad como Kaspersky, más del 7% de las aplicaciones eliminadas de Play Store en 2023 contenían código malicioso o vulnerabilidades críticas. La intención original era exigir a todos los desarrolladores la presentación de documentación legal y biométrica para validar su identidad, restringiendo la publicación de apps a cuentas verificadas y, teóricamente, reduciendo el riesgo de malware y fraudes.

Sin embargo, la comunidad de desarrolladores y organizaciones orientadas a la privacidad, así como distribuidores de aplicaciones de nicho —por ejemplo, apps corporativas, educativas o de investigación—, manifestaron su preocupación por el impacto en la innovación y en la distribución de aplicaciones fuera del canal principal de Google Play.

Detalles Técnicos

La política inicial de Google requería la verificación completa de identidad mediante documentación oficial (DNI, pasaporte, licencia de conducir) y, en algunos casos, la vinculación biométrica para poder crear cuentas de desarrollador y publicar aplicaciones. Se incorporaron controles adicionales en la API de Play Console y se reforzaron los procesos de revisión manual y automatizada, empleando sistemas de análisis de comportamiento basados en machine learning (ML) y reglas de Threat Intelligence.

Las TTPs (Tácticas, Técnicas y Procedimientos) observadas en ataques recientes, catalogados bajo el framework MITRE ATT&CK (técnicas T1583.001 – Adversary-in-the-Middle Infrastructure, T1190 – Exploit Public-Facing Application), incluían la inserción de payloads maliciosos en apps aparentemente legítimas, la explotación de permisos excesivos y el uso de “dropper apps” para descargar malware adicional tras la instalación inicial.

Con el nuevo ajuste de políticas, Google introducirá cuentas de desarrollador con verificación limitada, enfocadas a la distribución privada o restringida de aplicaciones (por ejemplo, mediante Managed Google Play en entornos corporativos o educativos). Además, los usuarios podrán instalar apps provenientes de desarrolladores no verificados, aunque serán advertidos explícitamente de los riesgos asociados.

Impacto y Riesgos

La relajación de las restricciones de verificación supone una mayor flexibilidad para desarrolladores y empresas, pero también reabre la puerta a posibles vectores de ataque. Las aplicaciones distribuidas fuera del circuito principal (sideloading) o mediante cuentas no verificadas pueden ser aprovechadas por actores maliciosos para distribuir ransomware, spyware y troyanos bancarios. Se estima que, con las políticas anteriores, la tasa de apps maliciosas detectadas en Play Store descendió un 18% en el primer trimestre de 2024. La reversión parcial podría incrementar de nuevo la superficie de ataque.

Existen riesgos adicionales para la privacidad y el cumplimiento normativo, especialmente en regiones bajo el paraguas del RGPD y la inminente directiva NIS2, que exigen a los proveedores de servicios digitales garantías adicionales en la protección de datos y la trazabilidad de la cadena de suministro software.

Medidas de Mitigación y Recomendaciones

Para minimizar los riesgos derivados de la distribución de aplicaciones desde cuentas no verificadas, se recomienda:

– Implementar políticas de whitelisting de aplicaciones en dispositivos corporativos (MDM, EMM).
– Realizar análisis de seguridad estático (SAST) y dinámico (DAST) en cualquier APK antes de su despliegue.
– Monitorizar los indicadores de compromiso (IoC) asociados a campañas de malware en apps móviles, como dominios C2, hashes de APK y firmas de comportamiento anómalo.
– Reforzar la concienciación de usuarios y empleados sobre los riesgos de instalar apps de origen desconocido.
– Auditar periódicamente los permisos concedidos a aplicaciones instaladas y revocar los innecesarios.

Opinión de Expertos

Expertos en seguridad como Mikko Hyppönen (WithSecure) y la consultora española Tarlogic coinciden en que el enfoque de Google debe encontrar equilibrio entre seguridad y flexibilidad. “No se puede sacrificar la innovación y la distribución legítima por un exceso de celo, pero las advertencias y controles deben ser claros y efectivos”, apunta Hyppönen. Por su parte, Tarlogic recomienda a las empresas reforzar la monitorización y adoptar soluciones de Mobile Threat Defense (MTD) para mitigar los riesgos emergentes.

Implicaciones para Empresas y Usuarios

Las organizaciones que distribuyen aplicaciones internas o de acceso restringido podrán beneficiarse de las cuentas de verificación limitada, facilitando el despliegue controlado sin pasar por el proceso estándar de validación. No obstante, los CISO deberán actualizar sus políticas de seguridad y procedimientos de revisión de aplicaciones móviles, integrando controles de seguridad adicionales ante la posible proliferación de software no verificado.

Para los usuarios finales, la posibilidad de instalar apps de desarrolladores no verificados incrementa su libertad, pero también su exposición a amenazas, especialmente si no cuentan con formación en ciberseguridad o herramientas de protección adecuadas.

Conclusiones

El giro en la política de Google respecto a la verificación de identidad de desarrolladores refleja la complejidad del equilibrio entre seguridad, privacidad e innovación en el ecosistema de aplicaciones móviles. Si bien la apertura de nuevas vías para la distribución limitada de apps puede beneficiar a empresas y proyectos legítimos, también exige una mayor vigilancia y adopción de controles técnicos tanto por parte de organizaciones como de usuarios individuales. La evolución de estas políticas será clave para afrontar los desafíos regulatorios y de ciberamenazas en el entorno Android.

(Fuente: www.bleepingcomputer.com)