Project Mainline es la actualización de seguridad que Android necesita, pero llega tarde

Android Q recibirá Project Mainline, que permitirá a las actualizaciones de seguridad llegar más rápido y sin fecha de caducidad, pero llega tarde.

Por – May 8, 2019 - 12:35 (CET)

Ayer arrancó el I/O 2019 con la ya más que típica conferencia inaugural, en la que se desvelaron decenas de novedades en el universo Google. A pesar de ser un evento destinado a desarrolladores, también llegaron novedades de hardware, como el nuevo Nest Max Hub o los nuevos Pixel 3a, que fueron sin duda los protagonistas de la tarde.

Pero también se hizo coincidir con el evento, en el nuevo calendario de versiones preliminares de Android, la presentación tercera beta de Android Q que llegaba cargada de novedades. Una de las menos llamativas per se, pero quizás más relevantes, es Project Mainline, que permitirá instalar los parches de seguridad directamente desde el Play Store. Se agradece el esfuerzo, aunque llega tarde por por varias razones.

Las actualizaciones, esa espina de Android

Tras muchos años detrás del devenir de este sistema operativo móvil, que conocí en su versión 2.3 allá por 2011, siempre ha habido un constante en las peticiones de los usuarios tanto a los fabricantes como a la propia Google. Estos presionan por que se lleven las novedades de cada gran versión de software –cada vez con novedades menos revolucionarias, eso sí– a sus smartphones de una forma rápida y sostenida.

Esto cuesta un esfuerzo a unas marcas que nunca han hecho demasiada caja vendiendo estos teléfonos por la alta competencia y la dificultad de diferenciarse entre ellas. Por tanto, rara vez se ha cumplido. Y eso, más allá de la renovación periódica de funciones que conlleva, supone un problema por una razón: con estas llegaban las mejoras de seguridad de Android.

Esto no fue un gran problema en sus comienzos, pues el sistema no contaba ni de lejos con el alcance que tiene hoy. Las cifras de ayer ya hablan: hay 2.500 millones de dispositivos Android activos. Esto es, uno por cada tres homo sapiens en la Tierra. Esta gran adopción, sumada a una creciente longevidad de unos smartphones que cada vez aguantamos más y más –y su uso ya se acerca, en promedio, más a los tres años que a los dos– lo convierte en un caldo de cultivo perfecto para lo amantes de lo ajeno, esta vez en su edición digital.

Para Google la prioridad siempre ha sido hacer crecer el número de usuarios de su sistema operativo y, por tanto sus servicios –y de nuevo por tanto sus ingresos publicitarios–. Es por esto que no ha implantado restricciones más agresivas a cómo han de actualizar el software a la pantalla previa a usuarios que son los fabricantes e incluso las operadoras. Con la extinción de la competencia y la sucesión amenazas de malware constante y de todo tipo, Google ha ido progresivamente aumentando su actuación contra ellas.

Los parches de seguridad

Todo se aceleró con Stagefright, una vulnerabilidad de alcance e implicaciones tales que obligó a Google a abrazar los parches de seguridad mensuales allá por 2015. Estos parches eran publicados cada mes, pero nadie obligaba a los fabricantes a hacer uso de ellos. No fue hasta hace tan solo seis meses cuando Google comenzaba a forzar a los principales fabricantes a mantener sus dispositivos Android parcheados durante dos años. Y deberían hacerlo, además, de una forma relativamente periódica, con un mínimo de cuatro actualizaciones al año.

Pero ya he mencionado que los dispositivos móviles hoy en día duran ya, y en promedio –habrá quien los use un año, pero también quien los alargue cinco–, bastante más que eso. Por tanto, se quedan sin munición para combatir las amenazas de seguridad de Google tras esos dos años, y dejan a un buen puñado de millones de usuarios de su plataforma a su suerte.

Distribución Android

Las cifras de adopción de nuevas versiones de Android nunca han sido, además, demasiado buenas. Y eso es algo que a pesar de los esfuerzos y projects* como Treble relacionados se ha ido acentuando más y más con el tiempo, debido también en parte a ese aumento de la longevidad de los dispositivos. Llegó a tal punto con Android 9 Pie, tras varios meses en el mercado con una adopción nefasta, que Google dejó de actualizar sus propias cifras oficiales. Hasta ayer, cuando la nueva versión *ya está en uno de cada diez dispositivos Android.

Project Mainline, mirando a la próxima década

El quebradero de cabeza de Google frente a la seguridad sigue encima de la mesa. Tanto que es de nuevo uno de los focos del gigante en este Google I/O. Con Project Mainline estas actualizaciones de seguridad no tendrán que pasar por las manos ni de fabricantes ni de operadoras, llegando de forma instantánea a través del Play Store, por lo que se son todo ventajas, aparentemente:

  • Las actualizaciones de seguridad se instalarán tan pronto como estén disponibles –sin ni siquiera tener que esperar a final de mes–, minimizando el impacto de las grandes amenazas futuras.

  • Estas seguirán siendo instaladas indefinidamente, sin un límite a dos años que ponga fecha de caducidad a los dispositivos –tres en los Pixel–.

¿Cuál es el problema, entonces? Que esta capacidad llega solo a los dispositivos con Android Q. Y no sólo eso, sino que lo hará únicamente a los que vengan con esta versión de serie, pues Google no parece que vaya a forzar a sus socios a implementar esta característica. Es decir, si tu teléfono se actualiza de Android P a Q, no tiene por qué contar con esta característica. Los fabricantes que no incluyan –que podríamos esperar que sean prácticamente todos– Mainline en sus dispositivos, recibirán las actualizaciones de la forma habitual, mientras estén obligados a hacerlo.

Por tanto, y echando un vistazo que a las últimas cifras de Google, vemos que hace falta agrupar las últimas cinco grandes versiones, publicadas en los últimos 3 años, de Android para sumar el 50% de la cuota. Si todo sigue igual, que no parece que vaya a ser el caso, no sería hasta 2022 cuando la mitad de smartphones Android cuenten con Android Q. Suponiendo que buena parte de ellas fuera con Project Mainline a bordo, cosa poco probable, todavía quedarían la mitad sin actualizaciones de seguridad directas de Google. Y el 50% de 2.500 millones es mucho.

Dínamo

Dínamo es el nuevo podcast de Hipertextual donde hablamos, discutimos, analizamos y nos obsesionamos con Apple.