Posibles repercusiones en la seguridad de la Ley del Mercado Digital de la UE

Antes de la entrada en vigor de la Ley de Mercados Digitales (DMA) en Europa, la App Store de Apple, con su modelo de «jardín amurallado», al igual que todas las tiendas de aplicaciones, presentaba vulnerabilidades de seguridad. Sin embargo, su prohibición de la instalación de aplicaciones externas ofrecía una seguridad notablemente superior a la de plataformas más permisivas como Google Play. No obstante, con la reciente entrada en vigor de la Ley de Mercados Digitales en la Unión Europea, es menos probable que estas prohibiciones se mantengan para las empresas que controlan el acceso a las aplicaciones, como Apple, lo que, en nuestra opinión, reducirá la seguridad del ecosistema general de aplicaciones móviles.

La Ley de Mercados Digitales entró oficialmente en vigor el 1 de noviembre de 2022, y la mayoría de sus disposiciones se hicieron aplicables en mayo de 2023. Sin embargo, el 6 de septiembre de 2023, la Comisión Europea designó a seis empresas «controladoras», entre ellas Apple y Alphabet, la empresa matriz de Google. Especificó que cada una de ellas debía cumplir una serie de hitos de cumplimiento en un plazo de seis meses desde su designación. En consecuencia, a partir del 6 de marzo de 2024, Apple ya no puede impedir que los usuarios de la App Store ofrezcan aplicaciones móviles u otros productos o servicios directamente a los usuarios finales o a través de servicios de terceros. La Ley de Mercados Digitales es la última manifestación de una tensión que se ha mantenido durante décadas entre la «seguridad» digital y la libertad. Para Apple, una empresa sinónimo de estrictos controles en su tienda de aplicaciones, la Ley de Mercados Digitales supone un revés para ofrecer cierto tipo de seguridad. Para los consumidores, la Ley de Mercados Digitales ofrece ventajas y desventajas: mayor libertad de elección, pero también mayor riesgo potencial. Este artículo profundiza en las implicaciones de la DMA en la competencia de las tiendas de aplicaciones y la elección del consumidor desde la perspectiva de una empresa que desarrolla aplicaciones para consumidores finales y ofrece consejos para las empresas que buscan asegurar sus aplicaciones en el nuevo y audaz ecosistema de tiendas de aplicaciones impuesto por la DMA.

El panorama previo a la DMA

Antes de la llegada de la DMA, el panorama de seguridad de las tiendas de aplicaciones móviles estaba históricamente dividido: la App Store para dispositivos iOS contaba con medidas de seguridad superiores a las de sus homólogas de Android. Según nuestro Informe de Amenazas de 2023, las aplicaciones de Android tenían más probabilidades de estar expuestas a amenazas no deseadas.safe En entornos como teléfonos rooteados o aquellos que se ejecutan en emuladores. Específicamente, el 76% de las aplicaciones de Android se ejecutaron en entornos no rooteados.safe En comparación con el 51 % de las aplicaciones para iPhone, las aplicaciones para Android tenían más del 51 % de probabilidades de ejecutarse con código modificado. Además, las aplicaciones para Android tenían más de cuatro veces más probabilidades de ejecutarse con código modificado que las aplicaciones para iPhone.

Esta disparidad puede deberse a varios factores, como la disponibilidad de Android para licenciatarios externos, la proliferación de fabricantes externos, la disponibilidad de emuladores gratuitos y completos, y la facilidad para instalar aplicaciones de forma externa; todo ello contrasta con el ecosistema de hardware controlado de Apple y, lo que es más importante, con su mercado de aplicaciones digitales cerrado.

Los catalizadores del cambio

La motivación de la Unión Europea tras la DMA no se ha considerado directamente relacionada con la seguridad, sino más bien orientada a eliminar las barreras impuestas por las empresas tecnológicas y fomentar la competencia en el mercado de las aplicaciones. Las disputas entre Apple y entidades como Epic Games y Spotify, centradas en las políticas y comisiones de las tiendas de aplicaciones, pusieron de manifiesto la necesidad de una intervención regulatoria. Si bien Apple ofrecía un ecosistema más seguro, también obligaba a los propietarios de aplicaciones a pagar comisiones sobre los ingresos generados, incluidas las compras dentro de la aplicación, que en ocasiones alcanzaban hasta el 30 % del precio de los productos. Por lo tanto, la DMA no solo crea un entorno propicio para una mayor variedad de opciones para el consumidor y una mayor competencia en el mercado, sino que también impide que empresas como Apple aprovechen una lucrativa fuente de ingresos.

La otra cara de la moneda: preocupaciones de seguridad

Sin embargo, la apertura de mercados digitales, según lo estipulado por la DMA, no está exenta de riesgos de seguridad y podría, inadvertidamente, facilitar la proliferación de aplicaciones troyanas o «troyanos» (aplicaciones que contienen malware que ataca a otras aplicaciones), así como de mercados de aplicaciones clonadas que se hacen pasar por las originales. El troyano bancario «anatsa», por ejemplo, ha aparecido repetidamente en diversos mercados de aplicaciones de Android y se le ha vinculado con ataques a más de 600 aplicaciones de banca móvil en todo el mundo. Hasta ahora, este fenómeno se limitaba a ataques a dispositivos Android. En el futuro, podría encontrar terreno fértil en ecosistemas de aplicaciones menos regulados, diseñados para iPhones.

Respuesta de Apple y nuevos mecanismos de seguridad

Las réplicas de Apple a la DMA subrayan sus preocupaciones respecto a la seguridad del usuario, abogando por un enfoque cauteloso hacia la democratización del mercado. Apple ha introducido una serie de nuevas funciones de seguridad, como la certificación para apps de iOS, autorizaciones obligatorias para desarrolladores del mercado y transparencia en los métodos de pago alternativos. Sin embargo, en el mejor de los casos, estas medidas solo mitigan parcialmente los riesgos que representan las tiendas de apps de terceros, al tiempo que garantizan que Apple pueda recuperar parte de las pérdidas económicas que seguramente sufrirá a medida que su control sobre el ecosistema de apps disminuya.

Implicaciones para las empresas que crean aplicaciones para sus clientes

El DMA tiene el potencial de introducir nuevos riesgos para las empresas que desarrollan aplicaciones, en particular el mayor riesgo de troyanos y clonación de aplicaciones. Para contrarrestar esto, las empresas deberían adoptar estrategias de seguridad más robustas basadas en aplicaciones, incluyendo la integración de medidas de seguridad específicas. Refuerzo de la seguridad de las aplicaciones–en el ciclo de vida del desarrollo de software.

El fortalecimiento de la seguridad de las aplicaciones incluye proporcionar un medio para detectar si las aplicaciones se ejecutan en entornos no autorizados y cuándo lo hacen.safe entornos, así como la prevención actores de amenaza Esto impide la modificación y republicación de aplicaciones alteradas. También incluye protecciones como la verificación de firmas y comprobaciones de integridad del código, que pueden utilizarse para evitar que dichas aplicaciones modificadas se usen para engañar a los usuarios finales que las hayan encontrado accidentalmente en una tienda de aplicaciones de terceros. Además, las empresas pueden integrar funciones de monitorización en sus aplicaciones para supervisar las amenazas a la aplicación tras su implementación. Finalmente, Autoprotección de aplicaciones en tiempo de ejecución (RASP) Los mecanismos pueden permitir que las aplicaciones neutralicen amenazas de forma autónoma cuando operan en entornos no controlados.safe entornos o con código alterado, preservando así la integridad de la aplicación en un panorama de mercado cada vez más complejo.

Conclusión

La DMA busca abrir los ecosistemas cerrados para beneficiar a los consumidores finales. Estos esfuerzos conllevan riesgos, los cuales representan el delicado equilibrio necesario entre libertad y seguridad en la era digital. A medida que la ley transforma el futuro de las tiendas de aplicaciones y el mercado digital en general, las empresas que crean aplicaciones para iPhone deberán asumir una mayor responsabilidad en la seguridad de sus apps. Si bien las medidas de seguridad de Apple proporcionan un marco para mantener la seguridad de los usuarios, también representan un entorno propicio para su protección. safeAdemás, las empresas deben adoptar estrategias de protección integrales para desenvolverse con éxito en esta nueva era. Este cambio exigirá fundamentalmente que las organizaciones adopten estrategias de seguridad más preventivas. El lanzamiento de aplicaciones iOS en este nuevo entorno sin un fortalecimiento integral de las aplicaciones, incluidas las protecciones contra... ingeniería inversa, ahora será más peligroso que nunca.