La vulnerabilidad vive en el software de teclado de los teléfonos, que no puede ser borrado; los gadgets pueden ser expuestos a ella por usar un WI-Fi público o inseguro.
Cada dispositivo Samsung Galaxy—desde el S3 hasta el más reciente S6—tiene una falla significativa que deja entrar a los hackers, descubrieron investigadores.
La vulnerabilidad vive en el software de teclado de los teléfonos, que no puede ser borrado.
La falla permite potencialmente a los hackers espiar a cualquiera utilizando un teléfono Samsung Galaxy. Los gadgets y usuarios pueden ser expuestos a ella por usar un WI-Fi público o inseguro. Pero algunos piensan que también puede ocurrir por estar en redes de teléfonos celulares.
Los investigadores en la firma de ciberseguridad NowSecure dicen que alertaron a Samsung sobre esta vulnerabilidad en noviembre. Siete meses más tarde, nada ha sido arreglado. Es por ello que la firma hizo públicos sus descubrimientos este martes.
¿Qué tan serio es este problema? El CEO de NowSecure, Andrew Hoog, dijo que, en un sistema bien establecido que clasifica problemas de seguridad del 1 al 10, esta vulnerabilidad se encuentra en 8.3.
NowSecure dijo que examinó varios modelos Galaxy en diferentes compañías telefónicas. Todos eran vulnerables. Asumiendo que cada Galaxy allá afuera es el mismo, NowSecure estima que 600 millones de dispositivos están afectados.
El problema involucra al software de predicción de palabras utilizado por los dispositivos Samsung. Es elaborado por la compañía británica SwiftKey, y Samsung lo instala en sus dispositivos desde la fábrica.
El año pasado, los investigadores de NowSecure descubrieron que el teclado de SwiftKey puede ser engañado para aceptar archivos maliciosos cuando se actualiza el software. Debido al modo en el que el teclado es instalado, ese virus puede tener acceso a algunas de las partes más profundas del núcleo del sistema computacional del teléfono.
Con ese nivel de acceso, un hacker puede hacer prácticamente lo que quiera a tu teléfono.
Esta intrusión no es sencilla. Pero es una táctica de los ciberatacantes en una misión con mucho dinero y acceso a WiFi o redes de celulares. ¿Un posible objetivo? Ejecutivos de compañías viajando a países como China, donde el gobierno espía rutinariamente a los visitantes para robar sus planes de negocio.
También expone a funcionarios gubernamentales de alto nivel. Samsung acaba de obtener la bendición de la Agencia de Seguridad Nacional (NSA, por sus siglas en inglés) para sus dispositivos Galaxy, que fueron aprobados para uso de los empleados del gobierno de Estados Unidos. Y el último hackeo a empleados federales—supuestamente por el gobierno chino—muestra que son objetivos valiosos.
Ni Samsung ni SwiftKey han asumido responsabilidad por insertar el código fallido. En un comunicado público, SwiftKey dijo que se enteró de la falla el martes. Dijeron que “la manera en que la tecnología fue integrada a los dispositivos Samsung introdujo la vulnerabilidad”.
Para calmar a usuarios preocupados, la firma británica argumentó que este hackeo no es fácil de lleva a cabo. Requiere de una elección del momento oportuno. Un hacker solo puede meterse al dispositivo cuando el software de teclado está llevando a cabo una actualización.
En un comunicado para la prensa, Samsung dijo que “toma muy en serio las amenazas emergentes a la seguridad… y [está] comprometido a proveer con lo último en seguridad móvil”.
La compañía también dijo que está a punto de parchar la cuestión con su servicio Samsung KNOX. “Las actualizaciones estarán saliendo en unos días”, dijo la compañía, aunque no queda claro si todos los dispositivos recibirán el arreglo.
Parte del increíblemente tardío arreglo para este problema se debe a la manera en que los fabricantes de teléfonos trabajan con las compañías telefónicas como AT&T, Sprint, T-Mobile y Verizon.
Samsung puede correr a crear un arreglo, pero la gente debe esperar a que las compañías lo distribuyan.
Este sistema fracturado causa constantes quejas de los clientes, quienes deben esperar pacientemente por un nuevo software: todo desde nuevas características hasta arreglos para peligrosos virus.
NowSecure dijo que notificó a Samsung en noviembre—y como evidencia de lo lente que es el sistema—el 31 de diciembre pidieron un año para arreglarlo. En su defensa, Samsung dijo que los investigadores de ciberseguridad de NowSecure no explicaron el problema por completo.
“Aprendimos acerca de la extensión total esta semana pasada”, dijo Samsung a CNNMoney. NowSecure recomendó a los usuarios de Samsung Galaxy evitar usar WI-FI inseguro, abandonar sus teléfonos, y llamar a sus compañías proveedoras para presionarlos para un arreglo rápido.
Hoog dijo que hicieron pública la cuestión de vulnerabilidad porque la presión era muy grande. La firma de ciberseguridad había aconsejado a compañías por medio año sin poder decirles que sus empleados y gerentes estaban en serie riesgo de ser espiados por hackers.
“Necesitamos informarles acerca del riesgo”, le dijo a CNNMoney. “Sería ingenuo pensar que otras entidades [como gobiernos y cibermafias] no serían capaces de encontrar este fallo y ejecutarlo”.