Posibles impactos en la seguridad de la Ley del Mercado Digital de la UE

Antes de la promulgación de la Ley de Mercados Digitales (DMA) en Europa, la tienda de aplicaciones "Walled Garden Model" de Apple, como todas las tiendas de aplicaciones, no estaba exenta de vulnerabilidades de seguridad, pero su prohibición de "carga lateral" ofrecía una seguridad demostrablemente mayor, ya que en comparación con mercados más permisivos como Google Play. Sin embargo, según la Ley de Mercados Digitales recientemente promulgada en la Unión Europea, es menos probable que tales prohibiciones sigan vigentes para las empresas denominadas “guardianes” como Apple, lo que creemos reducirá la seguridad del ecosistema general de aplicaciones móviles.

La Ley de Mercados Digitales entró oficialmente en vigor el 1 de noviembre de 2022 y la mayoría de sus disposiciones entraron en vigor en mayo de 2023. Sin embargo, el 6 de septiembre de 2023, la Comisión Europea designó seis empresas “guardianes”, incluidas Apple y Alphabet, la matriz de Google. compañía. Especificó que cada guardián deberá cumplir una serie de hitos de cumplimiento dentro de los seis meses posteriores a su identificación. En consecuencia, a partir del 6 de marzo de 2024, Apple ya no podrá impedir que los usuarios de la App Store ofrezcan aplicaciones móviles u otros productos o servicios directamente a los usuarios finales o a través de servicios de terceros. La DMA es la última manifestación de una tensión de décadas entre la “seguridad” digital y la libertad. Para Apple, una empresa sinónimo de estrictos controles en las tiendas de aplicaciones, la DMA representa un duro golpe para ofrecer cierto tipo de seguridad. Para los consumidores, la DMA ofrece una mezcla de cosas: más libertad de elección, pero también más riesgo potencial. Esta publicación profundiza en las implicaciones de la DMA en la competencia de las tiendas de aplicaciones y la elección de los consumidores desde la perspectiva de una empresa que crea aplicaciones para consumidores finales y ofrece consejos para las empresas que buscan proteger aplicaciones en el nuevo y valiente ecosistema de tiendas de aplicaciones exigido por la DMA.

El panorama previo a la DMA

Antes de la llegada de la DMA, el panorama de seguridad para los mercados de aplicaciones móviles había estado históricamente dividido, y la App Store para dispositivos iOS contaba con medidas de seguridad superiores en comparación con las de sus homólogos Android. Según nuestro Informe de amenazas de 2023, las aplicaciones de Android tenían más probabilidades de estar expuestas a la ONU.safe entornos, como teléfonos rooteados o aquellos que se ejecutan en emuladores. Específicamente, el 76% de las aplicaciones de Android se ejecutaron en la ONU.safe entornos en comparación con el 51% de las aplicaciones de iPhone. Además, las aplicaciones de Android tenían cuatro veces más probabilidades de ejecutarse con código modificado que las aplicaciones de iPhone.

Esta disparidad puede deberse a varios factores, incluida la disponibilidad de Android para terceros licenciatarios, la proliferación de terceros fabricantes, la disponibilidad de emuladores gratuitos y con todas las funciones y la facilidad para descargar aplicaciones; estos contrastan con el hardware controlado por Apple. ecosistema y, lo más importante, un mercado cerrado de aplicaciones digitales.

Los catalizadores del cambio

No se ha considerado que la motivación de la Unión Europea detrás de la DMA esté directamente relacionada con preocupaciones de seguridad, sino que tiene como objetivo derribar las barreras erigidas por las empresas de tecnología y fomentar la competencia dentro del mercado de aplicaciones. Las disputas entre Apple y entidades como Epic Games y Spotify, que giraban en torno a políticas y tarifas de las tiendas de aplicaciones, subrayaron la necesidad de una intervención regulatoria. Si bien se podría decir que Apple proporcionó un ecosistema más seguro, también esencialmente obligaba a los propietarios de aplicaciones a pagar comisiones sobre los ingresos recaudados, incluso por compras dentro de la aplicación, que a veces llegaban hasta el 30% del precio de los productos comprados. Por lo tanto, la DMA no sólo sienta las bases para una mayor elección de los consumidores y una mayor competencia en el mercado, sino que también limita a empresas como Apple a aprovechar una lucrativa fuente de ingresos.

La otra cara: preocupaciones de seguridad

Sin embargo, la apertura de mercados digitales, según lo dispuesto por la DMA, no está exenta de problemas de seguridad y, sin querer, podría allanar el camino para aplicaciones troyanos o “troyanos” (aplicaciones que contienen malware que ataca a otras aplicaciones), así como mercados para aplicaciones clonadas. haciéndose pasar por "lo real". El troyano bancario “anatsa”, por ejemplo, ha aparecido repetidamente en varios mercados de aplicaciones de Android y se le ha relacionado con ataques a más de 600 aplicaciones de banca móvil en todo el mundo. Hasta ahora, este fenómeno se limitaba a ataques a dispositivos Android. En el futuro, podría encontrar un terreno fértil en ecosistemas de aplicaciones menos reguladas creadas para iPhone.

La respuesta de Apple y los nuevos mecanismos de seguridad

Las refutaciones de Apple a la DMA subrayan sus temores con respecto a la seguridad del usuario, abogando por un enfoque cauteloso para la democratización del mercado. Apple ha introducido un conjunto de nuevas funciones de seguridad, incluida la certificación notarial para aplicaciones de iOS, autorizaciones obligatorias para los desarrolladores del mercado y divulgaciones transparentes sobre pagos alternativos. Sin embargo, en el mejor de los casos, estas medidas sólo ofrecen una mitigación parcial de los riesgos que representan las tiendas de aplicaciones de terceros y, al mismo tiempo, garantizan que Apple pueda recuperar algunas de las pérdidas monetarias que seguramente sufrirán a medida que se afloje su control sobre el ecosistema de aplicaciones.

Implicaciones para las empresas que crean aplicaciones para sus clientes

La DMA tiene el potencial de introducir nuevos riesgos para las empresas que desarrollan aplicaciones, en particular el mayor riesgo de troyanos y clonación de aplicaciones. Para contrarrestar esto, las empresas deberían adoptar estrategias de seguridad basadas en aplicaciones más sólidas, incluida la integración de la seguridad, específicamente Endurecimiento de aplicaciones–en el ciclo de vida del desarrollo de software.

App Hardening incluye proporcionar un medio para detectar si/cuándo las aplicaciones se ejecutan en unsafe ambientes, así como prevenir actores de amenaza de modificar y volver a publicar aplicaciones modificadas. También incluye protecciones como la verificación de firmas y comprobaciones de integridad del código, que se pueden utilizar para evitar que esas aplicaciones modificadas se utilicen para aprovecharse de los usuarios finales que, sin saberlo, las han encontrado en una tienda de aplicaciones de terceros. Además, las empresas pueden integrar capacidades de monitoreo en sus aplicaciones para supervisar las amenazas a la aplicación después de su lanzamiento.deploymento Finalmente, Autoprotección de aplicaciones en tiempo de ejecución (RASP) Los mecanismos pueden permitir que las aplicaciones neutralicen de forma autónoma las amenazas cuando se operan en condiciones de la ONU.safe entornos o con código alterado, preservando así la integridad de la aplicación en el panorama del mercado cada vez más complejo.

Conclusión

La DMA intenta abrir ecosistemas de “jardín amurallado” para beneficiar a los usuarios finales. Esos esfuerzos conllevan riesgos, y esos riesgos encarnan el equilibrio matizado que se requiere entre libertad y seguridad en la era digital. A medida que la ley remodela el futuro de las tiendas de aplicaciones y el mercado digital en general, las empresas que crean aplicaciones para iPhone deberán asumir una mayor responsabilidad por la seguridad de sus aplicaciones. Si bien las medidas de seguridad receptivas de Apple proporcionan un marco para mantener al usuario safety, las empresas también deben adoptar estrategias de protección integrales para navegar con éxito en esta nueva era. Este cambio requerirá fundamentalmente que las organizaciones adopten estrategias más izquierdistas hacia la seguridad. Envío de aplicaciones iOS en este nuevo entorno sin un refuerzo integral de aplicaciones, incluidas protecciones contra ingeniería inversa, será ahora más peligroso que nunca.