En respuesta a la intensificación de los ataques de software espía a nivel estatal en los últimos años, Google está desarrollando una nueva característica opcional para el sistema Android: el registro de intrusiones. Esta característica no está destinada a usuarios comunes, pero ayuda a los investigadores de seguridad de la red a verificar si el dispositivo ha sido infectado por software espía mediante una inspección en profundidad de los registros del sistema.
El registro de intrusiones se coloca en el modo de protección avanzada de Android. El modo de protección avanzada de Android es una función opcional lanzada por Google para los usuarios de Android. Después de que los usuarios habiliten esta función, algunas opciones del sistema se desactivarán para mejorar la seguridad. Por ejemplo, después de habilitar el modo de protección avanzada, será mucho más difícil infectar a través de las vulnerabilidades del kernel del navegador.
El modo de protección avanzada también puede lidiar con dispositivos forenses que intentan extraer información clave del sistema. En un ataque anterior de software espía a nivel nacional en Serbia, las autoridades serbias utilizaron herramientas forenses desarrolladas por Cellebrite para desbloquear dispositivos Android, luego instalaron software espía y continuaron monitoreando el objetivo.
El registro de intrusiones puede proporcionar a los investigadores registros completos:
La función de registro de intrusiones es esencialmente un nuevo tipo de registro desarrollado por Google para el sistema Android. Este nuevo tipo de registro es más completo y detallado que el registro normal del sistema Android. Se utiliza para registrar diversos eventos de software y recopilar pruebas, lo que ayuda a los usuarios y a los investigadores de seguridad de redes a comprender los entresijos de los presuntos ataques de software espía.
En el pasado, el análisis forense se basaba principalmente en registros que no estaban diseñados para detectar intrusiones. Estos registros no son muy útiles para los investigadores de seguridad de redes porque se conservan durante un breve periodo de tiempo y, a menudo, se sobrescriben. La latencia del software espía puede ser muy larga y, si se sobrescriben los registros, los investigadores no pueden rastrear el origen del ataque.
Ahora, con la función de registro de intrusiones, cuando esta función está habilitada, el sistema creará y recopilará registros todos los días. Los registros recopilados se cifrarán mediante algoritmos de alta potencia y se cargarán en la cuenta de Google del usuario. Por lo tanto, incluso si los registros se borran localmente, los investigadores aún pueden continuar buscando registros a través de la nube.
Cabe mencionar aquí que la función de registro de intrusiones en realidad se desarrolló en 2025, pero Google recién ahora la está implementando gradualmente. Google declaró en su blog que esta función se implementará en dispositivos con la actualización de Android del 16 de diciembre de 2025 o superior.
Qué eventos de seguimiento proporciona el registro de intrusiones:
¿Cuándo se desbloqueó el dispositivo Android?
Cuando se instala, inicia o desinstala una aplicación
¿A qué sitios web o servidores tiene conectado el dispositivo Android?
¿Alguien está utilizando el dispositivo de destino para conectarse a ADB (las herramientas forenses deberán conectarse a través de ADB y leer los datos)?
¿Alguien ha intentado eliminar los registros del seguimiento anterior (esto sugeriría que alguien estaba intentando ocultar evidencia del ataque)?