Como desarrollador de Google Play, tienes un papel fundamental a la hora de proteger la seguridad de tu aplicación y la de sus usuarios. Debido al aumento de las campañas de abuso de ingeniería social dirigidas sobre todo a poblaciones vulnerables, es más importante que nunca tomar medidas proactivas para proteger a los usuarios y la integridad de tu aplicación.
En este artículo, se ofrece una descripción general de dos útiles marcas de seguridad de Android y Play que pueden mejorar la seguridad de tu aplicación: FLAG_SECURE y REQUIRE_SECURE_ENV. Si entiendes y utilizas estas marcas de forma eficaz, podrás ayudar a combatir el abuso orientado y a proteger aún más el ecosistema de tu aplicación.
FLAG_SECURE
FLAG_SECURE indica que tu aplicación está diseñada para ejecutarse en un entorno más seguro, lo que reduce las posibles vulnerabilidades, la monitorización y los ataques. FLAG_SECURE es una marca de visualización declarada en el código de una aplicación que indica que su interfaz de usuario contiene datos sensibles que deben limitarse a una superficie segura al usar la aplicación. Les indica a otras aplicaciones y servicios que los datos no deben aparecer en capturas de pantalla ni visualizarse en pantallas no seguras. Los desarrolladores declaran esta marca si el contenido de la aplicación no debe difundirse, visualizarse ni transmitirse de cualquier otra forma fuera de la aplicación o del dispositivo del usuario. Por ejemplo, si una pantalla de tu aplicación contiene datos sensibles que podrían suponer un riesgo para la seguridad en caso de que los viera un tercero (como una aplicación de asistencia remota), FLAG_SECURE es una forma de declarar esa sensibilidad y ayudar a proporcionar un entorno seguro. Para fines de seguridad y privacidad, todas las aplicaciones distribuidas en Google Play deben respetar FLAG_SECURE, lo cual supone no facilitar ni crear alternativas para eludir los ajustes de la marca en otras aplicaciones.
REQUIRE_SECURE_ENV
Los ataques de ingeniería social son especialmente preocupantes para las personas mayores y para otros grupos vulnerables que pueden ser más susceptibles a la manipulación y al engaño. Estos ataques suelen consistir en engañar a los usuarios para que revelen información sensible, como contraseñas o datos financieros, o para que descarguen contenido malicioso.
Si implementas las marcas FLAG_SECURE y REQUIRE_SECURE_ENV, puedes mitigar los ataques de ingeniería social en tu aplicación. Estas marcas se pueden usar de forma independiente o simultánea, y te ayudan a proteger contra las vulnerabilidades que suelen aprovechar los atacantes para acceder a datos personales y sensibles de los usuarios o a sus dispositivos.
Proteger a usuarios mayores y poblaciones vulnerables frente a abusos de ingeniería social
Los ataques de ingeniería social son especialmente preocupantes para las personas mayores y para otros grupos vulnerables que pueden ser más susceptibles a la manipulación y al engaño. Estos ataques suelen consistir en engañar a los usuarios para que revelen información sensible, como contraseñas o datos financieros, o para que descarguen contenido malicioso.
Si implementas las marcas FLAG_SECURE y REQUIRE_SECURE_ENV, puedes mitigar los ataques de ingeniería social en tu aplicación. Estas marcas se pueden usar de forma independiente o simultánea, y te ayudan a proteger contra las vulnerabilidades que suelen aprovechar los atacantes para acceder a datos personales y sensibles de los usuarios o a sus dispositivos.
Medidas de protección adicionales
Además de utilizar marcas de seguridad, plantéate la posibilidad de incorporar estas medidas adicionales para proteger a tus usuarios frente a abusos de ingeniería social:
- Informa a los usuarios sobre las tácticas de ingeniería social: incluye advertencias claras y concisas en tu aplicación sobre las técnicas de ingeniería social más habituales, como las estafas de phishing y las llamadas falsas de asistencia.
- Implementa mecanismos de autenticación seguros: emplea métodos de autenticación sólidos, como la autenticación de dos factores, para evitar el acceso no autorizado a las cuentas de los usuarios.
- Actualiza tu aplicación con frecuencia: mantén tu aplicación actualizada con los últimos parches de seguridad y correcciones de errores para abordar las posibles vulnerabilidades que podrían aprovechar los atacantes.
Colaboración y formación continua
Luchar contra los abusos y proteger a los usuarios es un proceso continuo que requiere la colaboración entre desarrolladores, Google Play y toda la comunidad de seguridad. Para estar al día sobre las prácticas recomendadas de seguridad, consulta nuestro blog de seguridad.
Si colaboramos, podemos crear un ecosistema Android más seguro y fiable para todos los usuarios.
Preguntas frecuentes
Haz clic en una de las siguientes preguntas para mostrar u ocultar su contenido.
¿El uso de estas marcas afectará negativamente a mis aplicaciones? ¿Cuánto tiempo tardará la implementación?Estas marcas están diseñadas para mejorar la seguridad y la privacidad, no para entorpecer el rendimiento. Sin embargo, si las funciones de tu aplicación dependen en gran medida de compartir capturas o grabaciones de pantalla, configurar FLAG_SECURE puede impedir que los usuarios capturen esos elementos visuales en esas páginas concretas. En ese caso, es importante encontrar un equilibrio entre las necesidades de seguridad y la experiencia de usuario. Además, algunas personalizaciones o extensiones de aplicaciones de terceros podrían depender de métodos de captura de pantalla que podrían verse afectados por estas marcas. Si tu aplicación se integra con herramientas de ese tipo, merece la pena hacer pruebas de compatibilidad.
Por lo general, el proceso de implementación es rápido y sencillo. Normalmente, es cuestión de añadir unas cuantas líneas de código a las páginas o actividades correspondientes en las que quieras aplicar las marcas. El tiempo exacto depende de la complejidad de tu aplicación y del número de páginas implicadas.
FLAG_SECURE es una marca a nivel de ventana que, cuando se establece, indica que el contenido de la ventana es seguro, lo que impide que aparezca en capturas de pantalla o que se visualice en pantallas no seguras. Por su parte, REQUIRE_SECURE_ENV indica a otras aplicaciones que tu aplicación debe ejecutarse en un entorno seguro. Tanto FLAG_SECURE como REQUIRE_SECURE_ENV son marcas de seguridad que se pueden usar para proteger a las aplicaciones y los usuarios de Android frente a abusos y ataques.
Cuando una aplicación bancaria usa FLAG_SECURE en su pantalla de inicio de sesión, crea una ventana especial que protege la información sensible, como las credenciales de inicio de sesión del usuario. Por norma general, esta protección ayuda a evitar que el contenido de la ventana se muestre en pantallas no seguras o que aparezca en capturas de pantalla, grabaciones o intentos de visualización remota. Por lo tanto, en lugar de ver los datos de inicio de sesión de un usuario, puede que simplemente veas una zona en blanco en esos tipos de pantallas.
Algunas aplicaciones que pueden usar estas marcas son las que gestionan datos de usuario personales y sensibles, como información financiera. Por ejemplo, las aplicaciones bancarias suelen usar FLAG_SECURE. Las aplicaciones que sean especialmente vulnerables al abuso, como las dirigidas a personas mayores o vulnerables, también deberían plantearse la opción de usar la marca REQUIRE_SECURE_ENV.
Para implementar la marca FLAG_SECURE, añade la siguiente línea a tu archivo AndroidManifest.xml:
XML
<activity android:name=".MyActivity"
android:exported="true"
android:windowSoftInputMode="adjustPan">
<intent-filter>
<action android:name="android.intent.action.MAIN" />
<category android:name="android.intent.category.LAUNCHER" />
</intent-filter>
</activity>
Para implementar la marca REQUIRE_SECURE_ENV, añade la siguiente línea a tu archivo AndroidManifest.xml:
XML
<manifest ...>
<application ...>
…
<property android:name="REQUIRE_SECURE_ENV" android:value="1" />
…
</application>
</manifest>