Actualizar el móvil es, para algunos, un motivo de alegría. Una especie de regalo anónimo que llega sin avisar y mejora nuestros equipos. Para otros no tiene nada de celebración, más bien invoca dudas. Dudas que vamos a intentar resolver.
En cualquier caso, tras este sencillísimo proceso que todos conocemos se estructura una larga cadena de comunicaciones y validaciones. Nosotros vemos una notificación de parche disponible. Aceptamos y listo, a instalar. Detrás hay varios departamentos dando forma a ese parche, testándolo, aprobándolo y lanzándolo en forma de OTA.
Y sí, es importantísimo mantener el móvil actualizado. Sobre todo desde el punto de vista más grave: la seguridad.
Acuerdos y desacuerdos
Como ya expusimos en este espacio, la seguridad implica a tres agentes. Cada actualización de Android necesita de la participación y comunicación de todos ellos: Google, el fabricante del procesador y la empresa fabricante del terminal.
Tomando un Aquaris X Pro como modelo, la cadena de comunicación sería la siguiente:
- Google libera la versión al fabricante del SoC (Qualcomm en este caso).
- Qualcomm desarrolla esta versión para un SoC (system on chip) específico.
- Qualcomm proporciona esta versión a los fabricantes.
- Cada fabricante (BQ en este caso) adapta esta versión sus dispositivos y a sus componentes (cámaras, sensores, pantallas…)
- Una vez listo, es es fabricante quien compila el «zip» y libera la OTA —por “over the air”, haciendo referencia al método por el que llegan las actualizaciones de firmware, a través de conexión de datos WiFi—. Cada archivo debe estar firmado desde el Administrador.
Ser el primero
Por supuesto, cuanto antes se publiquen las actualizaciones, menos tiempo de desarrollo tiene el desarrollador y, por tanto, menos tiempo para depurar los fallos, por lo que el fabricante debe dedicar todos los recursos necesarios para que la actualización salga lo más pulida posible. Y no podemos esconder la realidad bajo al alfombra: pese a las promesas de cientos de fabricantes, sólo el 1.1% de los teléfonos disponibles en el mercado está ejecutando Oreo.
BQ se encuentra en ese segmento. «Fuera de los terminales de Google, fuimos el primer fabricante en liberar Android Nougat 7.1 y ya hemos liberado Android 8.1 para nuestros modelos Aquaris X y X Pro, siendo de las primeras marcas a nivel mundial en hacerlo», apunta Iván Castro, Mobile Manager de BQ.
Esta última versión, la 8.1, ha incidido especialmente en materia de seguridad. Además de correcciones de estabilidad de módem, la ansiada certificación Bluetooth 5.0 y un mejor rendimiento, se han revisado más de 200 escenarios que implicaban errores y posibles vulneraciones, como se puede comprobar en su boletín oficial. Así que, volviendo al comienzo, sí, tener el móvil actualizado es tener un móvil mejor. Y si el fabricante se esmera por ser el primero, ganamos todos.
No cabe duda: todo fabricante desea mantener actualizados sus dispositivos, pero este compromiso a veces no llega a consolidarse, especialmente cuando puede poner en riesgo el rendimiento del terminal o compromete alguno de los componentes, como hemos explicado en otras ocasiones.
Continúa Iván: «tenemos un acuerdo con Google: nos comprometemos a mantener actualizados todos nuestros productos y enviamos los parches de seguridad con un máximo de 90 días desde que Google los libera durante los 2 años después del lanzamiento del terminal. También actualizamos, al menos una vez, a la versión más actual de Android».
¿Y existe algún tipo de penalización si el fabricante incumple los plazos de implementación de una OTA? No exactamente: ya sabemos que la filosofía de Android es la de ofrecer herramientas de código abierto, desde el kernel (Linux) hasta los drivers que posibilitan el uso de hardware en software (es decir, la comunicación entre ambos).
Pero si no pasas las validaciones y no comunicas los updates a Google, ellos pueden romper el contrato con el fabricante —previo aviso, claro—. Esto se traduce en mucho más que dejar de lucir el logo de Android: dejas de recibir apoyo de las partes implicadas.
De errores y mitos
En torno a estas actualizaciones hay todo tipo de opiniones, desde detractores que consideran que ralentizan sus dispositivos hasta aquellos usuarios que quieren husmear en el OS e instalar una ROM personalizada. ¿Se vulnera parte del contrato cuando se toma esta decisión?
Por supuesto. Aunque el hardware pasa a ser de nuestra propiedad, desde el ángulo legal pasa a ser un teléfono distinto. «Una vez que el usuario instala una ROM customizada, dejará de recibir las actualizaciones de BQ y, por tanto, también, los nuevos parches de seguridad», nos explica Iván Castro.
¿Por qué sucede esto? Porque si bien podemos ser un perfil experto, absoluto conocedor de los agujeros y vulnerabilidad de nuestro sistema, el grupo de usuarios necesitamos contar con unos mínimos básicos. Tal vez alguien pueda inventar un airbag más eficaz que el que monta de serie un vehículo comercial, pero el aparato de miles de pruebas de ingenieros expertos han desarrollado un modelo legal y ese es el que debemos aplicar.
No obstante, si una actualización ralentiza un terminal, podemos solicitar volver a la anterior versión del OS. «Siempre es posible volver a una versión del OS anterior, aunque no por OTA, sino directamente por hard reset. Desde nuestra web se encuentran disponibles todas las versiones Android de cada producto para que el usuario pueda descargarse las que desee», nos comunican desde BQ.
Más aún, y esto es importantísimo, si a mitad de una actualización de seguridad, el teléfono se congela o brickea, la recomendación pauta acudir al soporte técnico para que nos indiquen los pasos a seguir, que dependerán del caso particular de cada usuario.
Y las actualizaciones se parecen cada día más a los sistemas de recuperación del PC. «En nuestro nuevo dispositivo, el Aquaris X2, implementaremos una nueva solución de Google que facilita las actualizaciones y permite arrancar desde el estado válido anterior en el caso de que falle».
Cifrando hasta el extremo
De extremo a extremo es una locución que se ha vuelto recurrente entre los usuarios. La vimos en las diferentes lecturas de compromiso en materia de seguridad en WhatsApp o Telegram. Hay terminales —como los extravagantes Granite, Boss o Solarin— que directamente prometen este tipo de cifrado en cada tipo de acción.
¿Existe una gran diferencia entre estos teléfonos de más de mil euros frente al citado Aquaris X Pro? «Tanto las mejoras de seguridad de Android como de las aplicaciones que utilizamos hacen que estas diferencias sean cada día menores».
Esos teléfonos suelen emplear soluciones propias de encriptación, aplicaciones propietarias para mensajería y llamadas con cifrado de datos, VPN por defecto, etc. Es decir, algoritmia propietaria para delimitar el marco de intrusiones. Aunque eso no significa que sean invulnerables.
Entre tanto, los teléfonos comerciales habituales ya incluyen protección de datos de usuario, cifrado del dispositivo, telemetría offline, verificación del software durante el arranque, hardware biométrico (lector de huellas digitales, escáner de retina, reconocimiento facial…). No estamos ante un sistema fácil de quebrantar. Como ya apuntamos, es de hecho una tarea titánica y tan residual que afecta a menos de un 0,4% de todos los usuarios Android del planeta.
Hablando el lenguaje OTA
Aunque, como quienes hablan del dinero para asociarlo a comodidades y placeres, esta no es sino una sensación de seguridad. La real hay que perseguirla, seguir parcheando los posibles errores. Requiere, como la propia BQ indica, un trabajo constante.
¿Alguien recuerda la congelación que provocaba el MediaServer de Android bajo cierto tipo de archivos? ¿O aquellos informes que nos alertaban de un aumento de apps que ganaban privilegios en el sistema (root) para instalar y desinstalar a conveniencia, incluso para convertir nuestros teléfonos en pequeños nodos de minería digital? El mal no descansa.
A veces Google agradece a los fabricantes su esfuerzo en mejoras de seguridad. Cada fabricante (incluso los propios usuarios) puede reportar incidencias localizadas. «Como fabricantes mantenemos contacto directo con Google. Reportamos las incidencias del OS que aparecen en nuestro programa betatester, aquellas que encuentran nuestros usuarios o las que surgen en nuestros procesos internos de calidad».
En BQ distribuyen una media de ocho OTAs por producto. «Habrá algunos que reciban más y otros menos, según las necesidades. Y no todas son igual de importantes».
Cabe, de hecho, diferenciarlas en tres tipos:
- Mantenimiento: aquellas actualizaciones que desarrollan para mejorar la experiencia del dispositivo, añadir alguna funcionalidad o solucionar alguna incidencia.
- Parches de seguridad: actualizaciones periódicas con los nuevos parches de seguridad de Google. En algunos casos es posible que una actualización sea de mantenimiento, pero también incluya parches de seguridad.
- Y cambios de versión: actualizaciones de cambio de versión de Android. Son las más complejas y las que mas tiempo de desarrollo conllevan.
Es decir, mantener nuestro terminal actualizado no solo nos protege ante agujeros de seguridad. También reduce las posibilidades de que una mala estabilidad en alguna aplicación provoque un desbordamiento que, a su vez, redunde en algún tipo de fallo de seguridad en el OS.
Porque, una vez más, todos y cada uno de los componentes entre hardware y software están de algún modo conectados. Y contemplar accesos desde la cámara o incluso en la gestión del espacio es lo que convierte a Android en un sistema más seguro.