Hay muchas formas de valorar la vulnerabilidad de un SO, y en concreto, de uno que tiene tienda de aplicaciones oficial, pero que permite la instalación fuera de esa tienda de aplicaciones.
Supongamos que alguien hace un jailbreak en su iphone e instala aplicaciones no oficiales. Supongamos que se infecta, ¿a quién culparías? ¿al SO o al usuario?
Android, por su filosofía, permite la existencia de mercados alternativos. Está Google Play, pero también Amazon. Y te puedes descargar e instalar casi cualquier archivo .apk bajo tu responsabilidad. No hace falta ni que el dispositivo esté rooteado.
Ahí cabe cualquier cosa y sí, se puede afirmar que es más inseguro Android, porque deja en manos del usuario la responsabilidad sobre su dispositivo. Google y Amazon puede controlar férreamente lo que ponen a disposición de sus clientes. Pero no pueden controlar a sus clientes.
Aún así, el SO Android tiene un sistema interno de control que advierte al usuario tanto de los permisos que solicita la aplicación al instalarse, como de cualquier comportamiento sospechoso de la misma.
Por otro lado, Android, como software abierto, tiene una gran ventaja: sus vulnerabilidades son públicas y conocidas. A la primera que salta, ya hay un ejército de programadores detrás corrigiéndola. El tiempo que media entre que se descubre la vulnerabilidad y esta es corregida es irrisorio. Un usuario consecuente que se mantenga actualizado y no instale aplicaciones sospechosas, puede estar razonablemente seguro de que su sistema no tendrá grandes agujeros.
La filosofía de Apple es distinta: control estricto sobre las aplicaciones que pone en su mercado. De esa forma evita que las haya abiertamente maliciosas.
Pero si un usuario decide saltarse las consignas de Apple, que sepa que está muy expuesto. Un jailbreak y una instalación fuera del market le deja totalmente desprotegido.
También podemos hablar del obscurantismo de Apple, y de su filosofía del silencio. Si su SO tiene algún hueco, tengo claro que no lo va a decir. No le interesa. Tampoco corregirlo hasta que sea público y notorio. Así se trabaja.
En definitiva: Cada cuál que decida qué sistema le parece más apropiado. Si uno en el que el usuario tiene toda la libertad para tomar sus propias decisiones, en el que la seguridad está garantizada, si no quieres tomar riesgos; u otro a priori seguro, pero en el que las decisiones se las toma, de tapado, la compañía. Yo apuesto por el primero. Otras opciones son respetables.
