La ingenuidad es más peligrosa que las vulnerabilidades en ciberseguridad
Recientemente se celebró otra edición exitosa de Mobile Pwn2Own, el concurso en el que los participantes tienen el desafío de atacar dispositivos móviles totalmente actualizados que utilizan vulnerabilidades desconocidas hasta ahora. 
Concursos como estos, y sus equivalentes en equipos de escritorio, tienen dos propósitos: los fabricantes de dispositivos tienen vulnerabilidades que se les revelan de manera responsable, mientras que los investigadores de seguridad ofensivos pueden mostrar sus habilidades y obtener un buen premio en efectivo como bonificación.
Una cosa que se tomará del concurso es que cada dispositivo terminó siendo “humillado”; otra, sin embargo, es que se ha vuelto cada vez más difícil hacerlo. En el caso del Samsung Galaxy S8, por ejemplo, les tomó a los ciberatacantes no menos de once vulnerabilidades para ejecutar código y mantener la persistencia en el dispositivo.
Sin embargo, ninguna de estas dos cosas tiene sentido en cuanto a la forma en que suceden casi todos los ataques contra dispositivos móviles: no explotan vulnerabilidades conocidas o desconocidas, sino que explotan el factor humano.
En un "ataque" típico, al propietario del teléfono se le engaña para que instale una aplicación, ya sea porque es supuestamente necesario, porque promete grandes cosas, o tal vez porque es indistinguible de la aplicación real, que es lo que hace que un millón de usuarios instalen una versión falsa de WhatsApp.
Y esta es también la razón por la que, independientemente de los resultados de Pwn2Own, iPhone conserva el sistema operativo móvil más seguro. No debido a las propiedades inherentes del sistema en sí, sino porque su entorno estrictamente controlado hace un trabajo mucho mejor para proteger a sus usuarios contra sí mismos, incluso si esta protección tiene un costo: a principios de este año, Apple decidió que sus usuarios chinos tenían que ser "protegidos " contra el uso de VPNs.
Sin embargo, esto no hace que los iPhones sean 100% seguros, y hemos visto algunos casos en los que se usó un iPhone de día cero para comprometer el dispositivo con muy pocos objetivos. Pero tales ataques son raros, y para casi todos los usuarios, los ataques como este son un riesgo mucho menor que la posibilidad de que ellos mismos, inadvertidamente, abran su dispositivo a un adversario. Esta es la razón por la cual, para los usuarios que son un objetivo de alto valor, siempre recomiendo un iPhone o un dispositivo similar bloqueado (incluso si yo mismo estoy perfectamente satisfecho con mi teléfono Android).
Y también es la razón por la que creo que usar una aplicación de seguridad de terceros para aumentar la seguridad de un dispositivo es algo muy sensato, especialmente en Android, aun reconociendo los poderes limitados que tales aplicaciones tienen por diseño.
Artículo relacionado: