Cómo deshabilitar los certificados raíz en Android 11 (y por qué es importante)

Androide 11 incluye una interfaz de usuario mejorada y advertencias para la gestión de certificados. Es muy probable que esto sea una respuesta a las diversas controversias sobre recolección de datos en los últimos tiempos que han involucrado a empresas que utilizan certificados raíz para recopilación y seguimiento de datos desde teléfonos inteligentes.

Con nuevos casos de recolección de datos y fugas reportadas casi todos los meses, hay preocupaciones reales entre usuarios y expertos sobre qué aplicaciones están recopilando datos y cuál es exactamente la información que se recopila. Incluso las aplicaciones (como las VPN y los bloqueadores de anuncios) que están destinadas a ser un cortafuegos para la privacidad están comenzando a perder la confianza del consumidor. Por ejemplo, una investigación reciente encontró que al menos 20 aplicaciones VPN y bloqueadoras de anuncios disponible en Android e iOS han estado enviando datos a la popular firma de análisis, Sensor Tower. El análisis también destacó cómo esas aplicaciones usaban privilegios de certificado raíz para recopilar los datos de los usuarios.

Por eso, según informa el Fundación Frontera Electrónica, la decisión de Google de implementar advertencias mejoradas para los certificados es un paso bienvenido en la lucha por la privacidad del usuario. La opción de deshabilitar los certificados raíz ya estaba ahí para los usuarios de Android, pero con esta última actualización los cambios mejoran las advertencias, gracias al uso de un lenguaje más claro. Anteriormente, las advertencias eran menos obvias y estaban llenas de lenguaje que no informaba adecuadamente a los usuarios sobre para qué se podían usar los certificados. El último cambio elimina la advertencia débil, proporcionando a los propietarios de dispositivos Android un descargo de responsabilidad claro respaldado por el símbolo estándar de 'riesgo'.

Qué pueden hacer los certificados raíz y cómo deshabilitarlos

La instalación manual de un nuevo certificado raíz (que no sean los de confianza aceptados por su sistema operativo o su navegador) a petición de un desarrollador de aplicaciones o un sitio web se considera un riesgo de seguridad. Estos certificados pueden ayudar al propietario de la aplicación o del servicio a eludir el cifrado y proporcionar acceso a todo el tráfico web del usuario. Si bien los certificados raíz de confianza ayudan a detectar el fraude y otras actividades ilegales por parte de las aplicaciones, la instalación de nuevos se puede utilizar para la recolección de datos a gran escala. Afortunadamente, los usuarios de Android tienen la opción de deshabilitar los certificados si lo desean. Todo lo que necesitan hacer es ir a la configuración, seleccionar seguridad, elegir la opción 'credenciales confiables' de la lista y deshabilitar manualmente los certificados que consideren innecesarios.

Este cambio en la política sobre certificados raíz ejercerá presión sobre otros actores importantes como manzana y Microsoft para brindar mayor transparencia a sus propias advertencias, acceso y desactivación de certificados. Los navegadores populares con interfaces de certificados torpes también podrían comenzar a actuar de manera similar con un mayor consentimiento informado para los usuarios. Especialmente a medida que el cifrado se vuelve más fuerte, los certificados raíz se han convertido en una herramienta popular para aquellos que buscan acceder a los datos de los consumidores, y no solo en Android.

Fuente: EFF

Los personajes de Marvel que Scarlett Johansson originalmente quería jugar

Sobre el Autor