¿Android antiguo? Se acerca el momento de tener que actualizarlo

Hay muchas personas que, por múltiples razones, tienen un smarphone Android antiguo. Desde usuarios con necesidades mínimas hasta personas mayores que no se ven con el ánimo o la capacidad de aprender, de nuevo, a utilizar su teléfono. ¿Cuántos? Pues alrededor de un 20% si contamos todos los dispositivos con versiones anteriores a la 7.1.1, y un 15% más si sumamos Android 8 a la lista. En el siguiente gráfico puedes ver su evolución los últimos doce meses:

Source: StatCounter Global Stats – Android Version Market Share

En algunos casos, seguir usando un Android antiguo es consecuencia de la falta de ganas, de interés o de los conocimientos necesarios para hacerlo. Y sí, es cierto que tanto Google como los fabricantes han ido puliendo este proceso para hacerlo cada día más sencillo pero, aún así, hay un importante nicho de usuarios que no muestran interés alguno por esta posibilidad.

Y luego, claro, están los que se mantienen en un Android antiguo porque su dispositivo no puede ir más allá. Teléfonos y tabletas que ya suman unos cuantos años y que quedaron fuera de las rondas de actualización hace unos años, y que debido a ello poco a poco se van quedando desconectados de la evolución del software y otros elementos. Tal va a ser el caso, y por eso mencioné antes Android 7.1.1, de los dispositivos con versiones anteriores a este con el cambio de año.

Como ya sabes, Google lleva ya bastantes años impulsando la adopción de estándares y protocolos seguros en la red, y uno de los puntos en los que hace mucho que puso el foco, y que de un tiempo a esta parte ya se ha estandarizado, es en las conexiones seguras a la web mediante conexiones HTTPS avaladas por certificados SSL. Un elemento que garantiza que las comunicaciones entre el usuario y el servidor web permanecerán cifradas en tránsito, evitando así que un observador (ya sea malicioso o simplemente curioso) pueda espiar las mismas.

Para que todo el sistema funciones, hay unas determinadas entidades reconocidas, denominadas autoridad de certificación o autoridad certificadora, y que son las que pueden emitir esos certificados. Esta lista no solo es pública, sino que tiene que estar configurada en el software responsable de garantizar la autenticidad de los certificados. Si la entidad que ha emitido un certificado no figura en la lista de entidades de confianza, la conexión se identificará como insegura, lo que puede incluso impedir que el usuario pueda acceder a esa web o ese servicio.

¿Y qué tiene esto que ver con las versiones antiguas de Android? Para que lo entiendas debes tener en cuenta que las entidades certificadoras no son una constante, es decir, cualquier de ellas ni necesariamente existe desde que se creó Internet, ni necesariamente existirá hasta que desaparezca, son organizaciones que se crean, cambian, desaparecen, etcétera, provocando cambios en la lista de entidades certificadoras. Unos cambios que llegan a los usuarios por la vía de las actualizaciones del software y el sistema operativo de sus dispositivos.

Cambios en las Autoridades de certificación

Hace cinco años se produjo uno de estos cambios, cuando la organización sin ánimo de lucro  Let’s Encrypt se convirtió en autoridad de certificación. El problema es que, cuando una entidad empieza a operar como tal, pueden pasar meses o incluso años hasta que sistemas operativos y navegadores aceptan el certificado raíz de dicha entidad. Así, para acelerar el proceso una nueva CA a menudo le pedirá a una CA de confianza existente una firma cruzada, para que muchos dispositivos confíen rápidamente en ella.

Este fue, claro, el caso de Let’s Encrypt, que llegó a un acuerdo de firma cruzada con IdenTrust, un acuerdo que ha sido muy provechoso para Let’s Encrypt pero que, como ocurre siempre en estas colaboraciones, tiene fecha de caducidad, que va asociada… exacto, a lo que comentaba antes, a que la nueva CA ya cuenta con reconocimiento global y, por lo tanto, es identificada por sistemas operativos y navegadores como fiable. En 2021 finalizará la firma cruzada entre Let’s Encrypt e IdenTrust.

¿Identifica a Let’s Encrypt un Android antiguo?

Esa es la pregunta del millón. Lo navegadores basados en Chromium (es decir, la inmensa mayoría) no gestionan ellos mismos los certificados (algo que sí que era más común en la antigüedad), en su lugar le confían dicha tarea al sistema operativo. Y, por lo tanto, las actualizaciones de dicha lista dependen, de manera general, de las del sistema operativo. Y si el sistema operativo lleva años sin actualizarse, si se trata de un Android antiguo, pues no habrá recibido las actualizaciones pertinentes en lo referido a las autoridades de certificación y, por lo tanto, no identificará a las nuevas como seguras.

Android 7.1.1 fue la primera versión de Android en contar con Let’s Encrypt en su lista de CA, es decir, fue la primera versión del operativo que ya no necesitaba de la firma cruzada entre esta entidad e IdenTrust para confiar en sus certificados. Dicho de otra manera, todas las versiones anteriores de Android dependen de dicha colaboración y, en el momento en el que ésta finalice, cuando los certificados emitidos por Let’s Encrypt dejen de estar «avalados» por IdenTrust, dejarán de ser considerados seguros, con todo lo que ello implica.

El problema es que no hablamos de unas pocas webs y unos pocos certificados, según podemos leer en Little Short Bulletins, cerca del 30% de las conexiones seguras apuntan a servicios certificados por Let’s Encrypt, casi una tercera parte de la web segura se basa en sus certificados. Unos certificados que no serán válidos para los dispositivos con un Android antiguo a partir del próximo mes de enero, cuando la organización se plantea dar por finalizada la firma cruzada, como podemos leer en su blog.

A partir de ese momento, cualquier smartphone Android antiguo, con un sistema anterior a la 7,1,1, dejará de reconocer todos esos certificados como confiables y, por lo tanto, se producirán problemas de acceso que pueden ir desde un simple mensaje de advertencia de que la conexión no es segura, a la imposibilidad de acceder a dichas páginas y servicios. Una limitación que en no pocos casos será insalvable, y que sin duda actuará de acicate para la actualización del sistema operativo en los casos que sea posible, y del dispositivo cuando no quepa otra posibilidad.

Existe una alternativa, no obstante. Como ya comentaba anteriormente, los navegadores basados en Chromium delegan la gestión de los certificados en el sistema operativo, pero como ya sabrás, Firefox no se basa en Chromium. Y sí, efectivamente, mantiene algo que hereda desde su abuelo Netscape, la gestión de los certificados. Así, los usuarios que puedan descargar e instalar Firefox en su Android antiguo, sí que podrán acceder a esas webs y servicios, puesto que el navegador sí que reconoce Let’s Encrypt como una CA segura.

Aún así, y dado el grado de integración de los navegadores con los sistemas operativos, cabe la posibilidad de que empiecen a producirse fallos, sobre todo en apps que cuentan con elementos propios del navegador de Android, pues éstos seguirán recurriendo a la lista de certificados del sistema operativo, y en esos casos, la situación será bastante más complicada. Algo que sumado al tiempo que llevan esas versiones de Android sin recibir actualizaciones de seguridad, hace que actualizarse sea más recomendable que nunca.