Se trata de los móviles que tienen la versión 4.1.1 «Jelly Bean» del sistema operativo de Google, utilizado por unos 50 millones de dispositivos en todo el mundo, según un estudio de la empresa de analíticas Chitika, citado por el diario inglés The Guardian en su edición de hoy.
Los aparatos con esa versión de Android serían vulnerables a una acción descrita como «reverse Heartbleed» (cuya traducción es «Heartbleed reverso»), mediante la cual un servidor malicioso podría utilizar la falla del sistema de cifrado OpenSSL para robar datos del navegador de los teléfonos, entre ellos información sobre las sesiones y contraseñas de «logueo».
También -al menos en teoría- podrían correr peligro aquellos equipos con ediciones anteriores del sistema operativo «abandonadas» tanto por los fabricantes como por las operadoras de telefonía, es decir aquellas que ya no reciben actualizaciones.
Por lo general, según The Guardian, los fabricantes de smartphones brindan soporte de seguridad durante los 18 meses que siguen al lanzamiento de las versiones de Android, y si bien desde Google afirmaron haber distribuido un parche entre operadoras y fabricantes, su implementación depende estas últimas.
De momento, no hay reportes de que «Heartbleed» afecte a smartphones con otros sistemas operativos. Blackberry anunció el último domingo el lanzamiento de actualizaciones de seguridad para su sistema de chat y Microsoft informó que los equipos con Windows Phone no fueron afectados, mientras que Apple no utiliza la versión vulnerable de OpenSSL en sus iPhones ni iPads.
El experto en seguridad de la firma Lookout Marc Rogers recomendó a todas aquellas personas cuyos dispositivos utilicen Android 4.1.1 que eviten realizar operaciones «sensibles» desde sus teléfonos, como utilizar servicios bancarios (home banking).
«Todo el dispositivo es vulnerable, por lo que el usuario debería ser cuidadoso respecto a los sitios que utiliza. Tendría cautela sobre entrar al banco desde el teléfono», sostuvo Rogers en una entrevista con el sitio «The Huffington Post».
Asimismo, recomendó que las personas que usen versiones anteriores del sistema operativo las actualicen, y en caso de que no encontrar nuevas versiones disponibles, contacten al fabricante para averiguar si sus dispositivos son o no seguros.
La falla conocida como «Heartbleed» es un agujero de seguridad en OpenSSL, el software de cifrado más utilizado en la red, que por su masividad (lo utiliza cerca del 60 por ciento de los servicios web) dejó vulnerables además de a lossmartphones, a cientos de miles de sitios y servicios de correo electrónico de todo el mundo.
Si bien su existencia tomó estado público el miércoles pasado, cuando los responsables de OpenSSL lanzaron un parche, la vulnerabilidad existe desde hace dos años.
Desde La Plaza/ Telam/ YB