Durante años, la seguridad en los móviles se ha basado en una idea muy clara: control estricto. El sistema operativo decide qué puede hacer una app, a qué datos accede y qué partes del hardware están completamente fuera de su alcance. Ese modelo, aunque imperfecto, ha sido clave para que tu teléfono sea uno de los dispositivos más seguros que usas a diario.
Ahora, ese equilibrio está a punto de cambiar. La Ley de Mercados Digitales (DMA) de la Unión Europea busca fomentar la competencia obligando a los grandes proveedores de plataformas móviles a abrir funciones esenciales a desarrolladores externos. Y aunque el objetivo económico es comprensible, desde el punto de vista de la ciberseguridad el escenario plantea preguntas muy serias.
Un informe reciente del Centro de Política y Derecho de Ciberseguridad advierte de algo que en TecnetOne llevamos tiempo señalando: abrir ecosistemas cerrados sin un diseño de seguridad muy fino puede debilitar protecciones que hoy das por sentadas.
Por qué el control siempre ha sido la base de la seguridad móvil
Tu móvil no funciona como un PC tradicional. iOS y Android limitan de forma muy estricta el acceso a:
- La memoria del sistema
- Sensores como cámara y micrófono
- Interfaces internas del sistema operativo
- Funciones críticas de autenticación
Este aislamiento no es casual. Es lo que impide que una app cualquiera pueda espiar tus mensajes, capturar tus contraseñas o manipular el sistema sin que lo notes.
La DMA cambia las reglas del juego al exigir interoperabilidad amplia con funciones internas del sistema. Y el problema es que muchas de esas funciones nunca fueron diseñadas para estar abiertas.
Nuevos puntos de entrada: el riesgo silencioso
Uno de los mayores peligros que señala el informe es la aparición de nuevas superficies de ataque. Cada vez que se expone una función interna, se crea una nueva puerta que alguien puede intentar forzar.
La historia de la ciberseguridad demuestra que los ataques más graves no siempre nacen de grandes errores, sino de pequeñas decisiones de diseño. El propio informe recuerda cómo spyware avanzado ha explotado interfaces poco documentadas para obtener acceso casi total al dispositivo.
Si hoy un fallo en un componente interno puede ser devastador, multiplicar los accesos externos aumenta exponencialmente el riesgo.
Datos e integridad: cuando lo “legítimo” se vuelve peligroso
Otro punto crítico es la integridad de los datos. Para interoperar, los desarrolladores externos pueden solicitar accesos amplios que, sobre el papel, parecen razonables.
El problema es que “razonable” no siempre es “seguro”.
El informe recuerda casos reales, como el abuso de las funciones de accesibilidad en Android, que permitieron durante años que aplicaciones maliciosas:
- Leyeran mensajes
- Capturaran contraseñas
- Interactuaran con otras apps sin permiso explícito
Si las exigencias de la DMA permiten saltarse o diluir los sistemas de permisos actuales, podríamos repetir errores del pasado a mayor escala.
Estabilidad del sistema: una amenaza poco visible
No todo es robo de datos. También está en juego la estabilidad del sistema operativo.
Los móviles modernos dependen de rutas de código muy controladas. Cuando se permite a terceros interactuar más profundamente con el sistema:
- Aumenta la complejidad
- Se multiplican los escenarios de error
- Se vuelve más difícil probar todas las combinaciones posibles
El informe cita un incidente de 2024 en el que una actualización defectuosa de un proveedor de seguridad provocó caídas masivas en ordenadores de todo el mundo. Los móviles se salvaron gracias a su arquitectura cerrada.
La gran pregunta es: ¿seguirá siendo así cuando la DMA obligue a abrir más capas internas?
Riesgos en la cadena de suministro digital
Otro punto que debería preocuparte es la cadena de suministro. Las plataformas móviles han invertido años en proteger:
- El software base
- Los mecanismos de actualización
- La integridad del sistema
Si las nuevas obligaciones de interoperabilidad introducen componentes externos no verificados en estas capas, el riesgo no será puntual, sino estructural.
Además, Android e iOS implementan la seguridad de formas muy distintas. Imponer una norma uniforme sin tener en cuenta estas diferencias puede obligar a cambios técnicos que debiliten protecciones ya probadas.
Autenticación: el corazón del modelo de confianza
Tu móvil confía en mecanismos de autenticación respaldados por hardware para proteger acciones sensibles: pagos, accesos corporativos, identidades digitales.
El informe plantea una cuestión clave:
¿qué pasa si terceros necesitan tokens o credenciales para interactuar con estas funciones protegidas?
Cualquier debilitamiento en este punto tiene un impacto enorme, porque la autenticación es la base de toda la confianza del dispositivo. Si falla ahí, todo lo demás se tambalea.
Lee más: Air Europa insta a Cancelar Tarjetas tras Ciberataque
Más interoperabilidad, más complejidad… y más errores
Desde el punto de vista técnico, la interoperabilidad no es gratis. Cada nueva interfaz implica:
- Más código
- Más pruebas
- Más mantenimiento
- Más posibilidades de fallo
El informe señala que los plazos de la DMA no siempre encajan con la realidad técnica. Forzar cambios rápidos puede llevar a soluciones inestables, justo lo contrario de lo que necesitas cuando hablamos de seguridad.
Además, las obligaciones de la DMA se solapan con otras normativas europeas de ciberseguridad y protección de datos. El resultado puede ser un escenario confuso donde las empresas deban abrir el acceso y proteger los datos al mismo tiempo, a veces con requisitos contradictorios.
Qué propone el informe para reducir los riesgos
La investigación no se limita a criticar. También propone un camino más razonable:
1. Interoperabilidad basada en resultados, no en acceso total
En lugar de dar privilegios idénticos, se debería permitir que terceros logren el resultado deseado mediante interfaces controladas, sin exponer componentes sensibles.
2. Modelo de acceso escalonado
- Funciones de bajo riesgo: acceso para desarrolladores registrados
- Funciones sensibles: controles estrictos y mayor supervisión
3. Evaluaciones de impacto obligatorias
Antes de lanzar cualquier nueva interfaz, deberían realizarse análisis que incluyan:
- Modelado de amenazas
- Riesgos de cadena de suministro
- Impacto en datos personales
- Consecuencias para los usuarios
4. Protección del cifrado y minimización de datos
Cada función de interoperabilidad debería justificar claramente:
- Qué datos necesita
- Por qué los necesita
- Cómo se limitará su uso
5. Coordinación con ENISA
El informe sugiere que ENISA participe activamente evaluando solicitudes de interoperabilidad, para que las decisiones se basen en riesgos técnicos reales y no solo en criterios legales.
Lo que esto significa para ti y tu empresa
La interoperabilidad ya no es solo un debate político. Es un problema práctico de seguridad que va a influir en cómo se diseñan, usan y protegen los dispositivos móviles.
Si gestionas información sensible, trabajas con entornos corporativos o desarrollas aplicaciones móviles, estos cambios te afectan directamente. La planificación no puede esperar a que la DMA esté plenamente implementada.
En TecnetOne creemos que el reto no es elegir entre competencia o seguridad, sino diseñar interoperabilidad sin sacrificar la protección del usuario. La ventana para hacerlo bien sigue abierta, pero se está cerrando rápido.
Porque en ciberseguridad, cada nueva puerta debe venir acompañada de un candado y de alguien vigilando que realmente funcione.
