La empresa BlueBox ha puesto en alerta a Google para que repare su sistema operativo móvil

Detectado un fallo de seguridad que permite infectar a los dispositivos Android con programas malignos

Un código 'invisible' logra poner al descubierto los datos de las tarjetas de crédito de los usuarios, además de tomar el control remoto de los ajustes de sus aparatos.

Los smartphones y tabletas Android están expuestos a malware (programa maligno) debido a un fallo de seguridad que se acaba de descubrir y que los expertos ya han denominado como "Fake ID", según investigaciones de la empresa de seguridad BlueBox.

Al parecer, el malware permite insertar código malicioso en aplicaciones, acceder a datos de la tarjeta de crédito del usuario y tomar el control de los ajustes del dispositivo.

BlueBox Labs alerta de que lo preocupante es que el programa invasor puede actuar sin que los propietarios le den un permiso especial para acceder a los dispositivos. La compañía dice que ha avisado a Google para que pueda reparar su sistema operativo cuanto antes y que no se produzcan graves problemas de seguridad.

Por su parte, Google ha dicho que ya ha creado una solución al fallo. "Apreciamos que BlueBox nos informase responsablemente de esta vulnerabilidad. Con la investigación de terceros Android se hace más fuerte para los usuarios", ha asegurado una portavoz de Google, quien añade que "después de recibir el aviso de esta vulnerabilidad, lanzamos rápidamente un parche que se distribuyó a los socios de Android, así como al proyecto de código abierto Android".

Sin embargo, los miles de dispositivos que aún tienen las versiones del sistema operativo que van desde Android 2.1 a Android 4.3 y a los que los operadores o fabricantes no les han enviado el parche siguen siendo vulnerables si descargan aplicaciones desde fuera de la tienda de Google Play.

"FAKE ID", vulnerabilidad de las firmas de certificación

BlueBox ha apodado la vulnerabilidad como "Fake ID" porque el problema tiene que ver con la forma en que Android se encarga de los ID digitales -conocida como firmas de certificación- y que se utiliza para verificar que ciertas aplicaciones son lo que parecen ser.

Cuando queremos acceder a algún edificio del Estado, por ejemplo, el guarda de seguridad nos pide la documentación necesaria y antes de darnos acceso puede llegar a realizar una llamada telefónica de comprobación.

"El problema fundamental de Android es que no verifica ninguna demanda sobre la identidad de una aplicación", ha explicado el director de tecnología de BlueBox, Jeff Forristal, a la BBC.

Ya somos 190.625