Hasta no hace mucho, hablar de amenazas de seguridad en smartphones no provocaba gran inquietud. Sin embargo, con la llegada de la movilidad a las empresas, los desarrolladores de malware encontraron en estas plataformas un terreno fértil para sus fechorías en línea. ¿Cuáles son los riesgos? ¿Cuáles son las mejores prácticas y las herramientas disponibles en materia de seguridad para móviles? IT Sitio Enterprise le cuenta cómo evitar que su información sea explotada por una nueva generación de cibercriminales.
rno empresarial, los riesgos asociados aumentan de manera evidente. Esta tendencia se vio primero en los países desarrollados y en empresas de alto perfil, pero ya comienza a verse en otras empresas con menor exposición en América Latina. En este marco, existen dos escenarios donde las amenazas de seguridad a los dispositivos móviles son cada vez más patentes:
La infección del dispositivo mediante códigos maliciosos (malware), tal como sucede con las PCs.
La pérdida o robo del dispositivo.
Para Jorge Mieres, Malware Analyst en el área de Global Research & Analysis Team de Kaspersy Lab, el desarrollo de ataques relacionados con códigos maliciosos “se ha incrementado notoriamente en los últimos años debido, fundamentalmente, a la inyección de los smartphones en el mercado. Y Latinoamérica no se encuentra al margen. En consecuencia, los delincuentes informáticos ven en ellos un especial foco de atención para ampliar la cobertura de ataques”. “Por otro lado —agrega Mieres—, la pérdida o robo del dispositivo, conlleva consecuencias críticas tanto para quienes hacen uso personal de los mismos como para quienes lo utilizan con fines corporativos. En el primero de los casos, cada vez es más común que se libere material —generalmente videos— sensible de famosos y celebridades; mientras que en entornos corporativos, los smartphones permiten interactuar con los recursos de la compañía, con lo cual siempre existe la posibilidad de que el dispositivo o la información alojada en él sea utilizada por los atacantes para romper los esquemas de seguridad de la empresa, entre muchas otras formas de ataque”.
Sebastián Bortnik, coordinador de Awareness & Research de ESET Latinoamérica, coincide en estos dos escenarios de vulnerabilidad móvil. “Aparecen primero las amenazas tecnológicas más automatizadas, como los códigos maliciosos o los ataques de phishing: estos ataques ya existen desde hace años para los equipos de escritorio, pero hoy están disponibles cada vez con mayor frecuencia para los dispositivos móviles. Por ejemplo, ya hemos visto y reportado troyanos informáticos que, una vez infectado el equipo, roban información, o envían mensajes de texto pagos para que el atacante obtenga un lucro con el incidente. También se destaca el spam por SMS o MMS: mensajes de texto no solicitados con contenido publicitario o malicioso (el 70% del spam por SMS es fraude)”. Con todo, Bortnik propone considerar otros riesgos tecnológicos no automatizados, “como el robo de datos mientras el dispositivo está conectado a una red Wi-Fi. A este ataque también son vulnerables las computadoras portátiles, que suelen conectarse a redes inalámbricas abiertas y puede haber intrusos en esta que intenten robar información que no esté ´viajando´ lo suficientemente segura por la red”. “De acuerdo a una encuesta realizada por Mocana, el 71% de los encuestados espera un incidente grave causado por los ataques a dispositivos inteligentes conectados, o problemas con ellos en los próximos 24 meses, mientras que el 65% dijo que los problemas de seguridad en torno a diversos dispositivos (sin incluir PC) requieren de manera regular el apoyo de sus áreas de TI.
En 2010, Symantec documentó 163 vulnerabilidades en plataformas móviles, un aumento de 1% frente a 2009”, señala Alberto Saavedra, director regional de Mercadotecnia de Producto de Symantec en América Latina. En los últimos años, entró a tallar una práctica relativamente nueva, que dificulta la gestión de la seguridad en dispositivos móviles. Estos dispositivos “son cada vez más utilizados para una combinación de tareas personales y de negocios. Esta nueva forma de utilizar la tecnología permite un enorme aumento de la productividad, pero al mismo tiempo plantea nuevos retos de seguridad y de gestión para las organizaciones. Es por ello el enfoque de seguridad debe estar sobre la información que contiene el dispositivo, independiente del mismo. Es necesario que las empresas tomen medidas de seguridad en relación a los dispositivos móviles y eduquen a sus empleados en el correcto uso de los mismos”, puntualiza Saavedra.
Android: ¿El nuevo blanco? Un informe, de Juniper Research asegura que sólo unos 27 millones de dispositivos móviles están protegidos contra malware. Esto representa un 4% del total. El otro 96% está expuesto a los diversos tipos de ataques. “Uno de los más populares en este último tiempo, fue el troyano Geinimi, para dispositivos Android —grafica Bortnik—. El troyano estaba simulado desde sitios de descarga no oficiales como diversas aplicaciones de juegos, como Monkey Jump 2, Sex Positions, President vs. Aliens, City Defense y Baseball Superstars 2010”. Si el usuario descargaba la amenaza y la ejecutaba en su móvil, el atacante podía tomar control del equipo, devenido en dispositivo ´zombi´, y enviar instrucciones al mismo para:
Envío de un listado de las aplicaciones instaladas en el dispositivo.
Envío de la ubicación geográfica (GPS).
Envió de datos del dispositivo (como por ejemplo el código de identidad del dispositivo llamado IMEI o la identificación del suscriptor: SIM).
Conexión a un servidor remoto para enviar la información recolectada.
Descarga de aplicaciones (es necesaria la confirmación del usuario para su instalación).
Envío de un listado de las aplicaciones instaladas en el dispositivo.
Envío de la ubicación geográfica (GPS).
Envió de datos del dispositivo (como por ejemplo el código de identidad del dispositivo llamado IMEI o la identificación del suscriptor: SIM).
Conexión a un servidor remoto para enviar la información recolectada.
Descarga de aplicaciones (es necesaria la confirmación del usuario para su instalación).
Recientemente, el investigador especializado en seguridad informática Dinesh Venkatesan, de la compañía CA Technologies, informó sobre un malware que registra todas las conversaciones telefónicas de los teléfonos móviles que corren con Android, a través de su tarjeta de memoria SD. El investigador explicó que cuando una aplicación infectada con el virus es instalada en el teléfono móvil, deja un archivo que se activa automáticamente cada vez que el usuario realiza una llamada telefónica. A partir de este momento, todas las conversaciones se guardan en formato .amr en la tarjeta de memoria SD del dispositivo móvil Android. Según datos de la consultora Gartner, en el segundo trimestre del 2011 el 43,4% de los smartphones despachados en todo el mundo lleva el sistema operativo Android. Un año antes (2T10), la participación del sistema operativo de Google en los smartphones despachados era de sólo el 17,2%. La cuestión es que, gracias a esta mayor exposición, también aumentó el interés de los desarrolladores de software malicioso en abordar Android. Otro informe de la consultora californiana Lookout Mobile Security, especializada en la provisión de seguridad informática para celulares, estimó que entre medio y un millón de personas fueron afectadas por malware para Android en la primera mitad de 2011.
Las aplicaciones infectadas para ese sistema operativo pasaron de 80 en Enero a más de 400 apps (acumulativo) en Junio de este año. Lo analistas destacan que los atacantes están desplegando una variedad de técnicas cada vez más sofisticadas para tomar el control del teléfono, de los datos personales y del dinero (esto último sobre todo en los Estados Unidos). Además, los desarrolladores de malware están utilizando nuevas formas de distribución para llegar a los teléfonos, que incluyen malvertising (publicidades que esconden código malicioso) y ataques de actualización, donde la aplicación original está “limpia”, pero las sucesivas actualizaciones inyectan programación maliciosa. La pregunta del millón es: ¿Cuán efectivos son los sistemas operativos móviles en materia de seguridad? Según una comparativa realizada por Symantec entre iOS de Apple y Android de Google, la plataforma de Apple provee un buen sistema de encriptación para proteger e-mails y adjuntos, y permite borrar el contenido de la unidad, aunque la protección contra el robo del dispositivo (compromiso físico) es menor. Otro punto a destacar de Apple es su método de provisión de aplicaciones, que garantiza la procedencia y al momento actúa como elemento disuasor para los hackers.
Por otra parte, el modelo de aislamiento de aplicaciones (que evita una aplicación pueda operar sobre otra o sobre sus datos) ayuda a prevenir ataques tradicionales como virus y gusanos. Con todo, el iOS no ofrece tecnologías de protección específicas para spam o phishing (ataques de ingeniería social). En la vereda de en frente, el informe encuentra dos grandes desventajas en Android: la forma en que provee aplicaciones (que permite que los atacantes creen y distribuyan anónimamente malware) y su sistema de permisos, que pone en manos del usuario la decisión de si una aplicación puede hacer una tarea que es considerada riesgosa (enviar información del dispositivo, acceder a la red, etc.): este sistema, si bien es robusto, se apoya demasiado en la decisión del usuario que no siempre sabe qué hacer. Su fuerte es el sistema de aislamientos de aplicaciones.
Las primeras funcionalidades integradas de encriptación recién están llegando con la versión 3 de Android. Al igual que en iOS, no hay mecanismos para prevenir ataques de ingeniería social. Otros reportes puntúan bien el desempeño de Blackberry, que ofrece una plataforma de seguridad sumamente madura, con bloqueo protegido por password, encriptación de datos en el dispositivo (incluyendo media cards) y capacidades de backup, entre otras prestaciones. También ofrece soluciones de seguimiento y soporte de redes privadas virtuales (para comunicación a través de redes públicas). Además, esta plataforma cuenta con varias certificaciones gubernamentales, incluyendo la del Federal Information Processing Standards (FIPS) de los Estados Unidos.
Finalmente, el modelo de seguridad de Windows Phone 7 provee aislamiento entre Windows Internet Explorer Mobile y las aplicaciones entre sí y respecto del sistema operativo. Además, todas las aplicaciones son certificadas por Microsoft, evitando así ataques de malware. Adicionalmente provee capacidades de gestión de seguridad integradas, para minimizar la exposición de información confidencial. También soporta el protocolo SSL para proteger datos durante su transmisión, pero no soporta encriptación del dispositivo.
Finalmente, el modelo de seguridad de Windows Phone 7 provee aislamiento entre Windows Internet Explorer Mobile y las aplicaciones entre sí y respecto del sistema operativo. Además, todas las aplicaciones son certificadas por Microsoft, evitando así ataques de malware. Adicionalmente provee capacidades de gestión de seguridad integradas, para minimizar la exposición de información confidencial. También soporta el protocolo SSL para proteger datos durante su transmisión, pero no soporta encriptación del dispositivo.
Las buenas prácticas en el uso del smartphone Sobre el dispositivo:
Utilizar software de seguridad que permita la detección de amenazas en el teléfono de forma que impida la ejecución y transmisión de malware hacia otros equipos, como así también presente una berrera de seguridad ante el spam o bloquee el terminal en caso de robo.
Usar contraseñas. Esta práctica se vuelve crítica dentro de las empresas. “Todos los empleados deberían estar obligados a proteger con contraseñas sus dispositivos móviles y deben ser capacitados para cambiarlas con frecuencia, para que sea difícil para los hackers obtener acceso a información sensible”, sostiene Aberto Saavedra de Symantec.
Encriptar la información sensible que guarda el celular para que ésta no esté disponible, aún si el celular estuviese en poder del ladrón o el hacker.
Realizar una copia de seguridad de los datos del dispositivo, a fin de tener a salvo los datos de agenda, fotos, videos, documentos almacenados, descargas realizadas, y otros. Esto permitirá restaurarlos en caso de que el teléfono sea infectado u ocurra algún incidente de pérdida de información.
Utilizar software de seguridad que permita la detección de amenazas en el teléfono de forma que impida la ejecución y transmisión de malware hacia otros equipos, como así también presente una berrera de seguridad ante el spam o bloquee el terminal en caso de robo.
Usar contraseñas. Esta práctica se vuelve crítica dentro de las empresas. “Todos los empleados deberían estar obligados a proteger con contraseñas sus dispositivos móviles y deben ser capacitados para cambiarlas con frecuencia, para que sea difícil para los hackers obtener acceso a información sensible”, sostiene Aberto Saavedra de Symantec.
Encriptar la información sensible que guarda el celular para que ésta no esté disponible, aún si el celular estuviese en poder del ladrón o el hacker.
Realizar una copia de seguridad de los datos del dispositivo, a fin de tener a salvo los datos de agenda, fotos, videos, documentos almacenados, descargas realizadas, y otros. Esto permitirá restaurarlos en caso de que el teléfono sea infectado u ocurra algún incidente de pérdida de información.
Sobre la información y en el acceso a las redes:
Encriptar la información que se transmite por las redes inalámbricas.
Activar las conexiones por Bluetooth, infrarrojos y Wi-Fi sólo cuando vaya a utilizarlas, de forma que no se conviertan en puertas de acceso para posibles atacantes. “Si el modelo lo permite-
Encriptar la información que se transmite por las redes inalámbricas.
Activar las conexiones por Bluetooth, infrarrojos y Wi-Fi sólo cuando vaya a utilizarlas, de forma que no se conviertan en puertas de acceso para posibles atacantes. “Si el modelo lo permite-
-puntualiza Bortnik—, establecer contraseñas para el acceso al dispositivo a través de estas conexiones”.
Descargar software sólo desde sitios de confianza o de las tiendas oficiales (como por ejemplo Apple Store, Ovi de Nokia, etc.) y que siempre estén certificadas por los fabricantes.
“Evitar la interacción con los recursos de la compañía desde redes públicas tales como aeropuertos, bares u hoteles”, recomienda Jorge Mieres, de Kaspersky Lab. En caso de tener que hacerlo, utilizar mecanismos de encriptación y control de acceso.
Descargar software sólo desde sitios de confianza o de las tiendas oficiales (como por ejemplo Apple Store, Ovi de Nokia, etc.) y que siempre estén certificadas por los fabricantes.
“Evitar la interacción con los recursos de la compañía desde redes públicas tales como aeropuertos, bares u hoteles”, recomienda Jorge Mieres, de Kaspersky Lab. En caso de tener que hacerlo, utilizar mecanismos de encriptación y control de acceso.
El desafío de la movilidad en las redes empresariales ¿Cómo lidiar con la creciente cantidad de dispositivos que hoy pululan en las empresas, muchos de los cuales comparten el uso laboral con el privado? Para Mieres, esto depende de la política de Seguridad de la Información que tenga la compañía —en caso de tenerla— y los procedimientos sobre control de medios que se encuentre tipificado en esa política. “Sin embargo, lo recomendable es que el dispositivo, si es de uso personal y se autoriza su utilización para interactuar con los recursos de la compañía, en todo momento se encuentre auditado”. El analista de Kaspersky Lab considera que “lo ideal es que la política y las medidas de protección prohíban el uso de dispositivos personales para transportar información desde y hacia la compañía. Claro que cuando hablamos de dispositivos personales no sólo contemplamos la posibilidad de los smartphones sino que también de laptops y otros dispositivos que permiten almacenar datos a través de la conexión a los puertos USB”. Para Bortnik, este tema complejo puede abarcarse desde tres aspectos esenciales:
La tecnología: Existen soluciones antivirus que poseen control de dispositivos para bloquear la posibilidad de utilizar estos USB en la computadora del trabajo.
La tecnología: Existen soluciones antivirus que poseen control de dispositivos para bloquear la posibilidad de utilizar estos USB en la computadora del trabajo.
La gestión: incluir en la política de seguridad cuál es el correcto uso de estos dispositivos es fundamental para dejar de forma clara, explícita y formal; las responsabilidades del empleado en estos casos.
La educación: concientizar a los empleados explicando cuáles son los riesgos a los que pueden enfrentarse la empresa si este hace un mal uso de los dispositivos USB que trae desde su casa.
“Muchas empresas también están optando, ante este tipo de incidentes, a comprometerse con la seguridad de la información en las computadoras personales de sus empleados, y para ello generan planes de educación u ofrecen de forma gratuita o económica soluciones de seguridad a sus empleados: si sus computadoras están protegidas, también lo estará la empresa”, resume el experto de ESET.
La educación: concientizar a los empleados explicando cuáles son los riesgos a los que pueden enfrentarse la empresa si este hace un mal uso de los dispositivos USB que trae desde su casa.
“Muchas empresas también están optando, ante este tipo de incidentes, a comprometerse con la seguridad de la información en las computadoras personales de sus empleados, y para ello generan planes de educación u ofrecen de forma gratuita o económica soluciones de seguridad a sus empleados: si sus computadoras están protegidas, también lo estará la empresa”, resume el experto de ESET.
Saavedra, por su parte, recomienda tener en cuenta los siguientes ítems:
Administración de dispositivos móviles. Al aumentar la eficiencia en la administración de TI con el despliegue de diferentes aplicaciones y actualizaciones, la gestión de estas soluciones deben asegurar que los dispositivos y el software estén al día. Con lo cual no sólo se mejora la productividad del usuario final mediante la protección del dispositivo móvil, sino que también se asegura que no presente vulnerabilidades en materia de seguridad. Estas soluciones también pueden ayudar a las empresas a borrar datos a distancia y bloquear el acceso en caso de pérdida o robo.
Control de acceso de redes: Las soluciones de administración de red móvil que incluyen funcionalidades de control de acceso, pueden ayudar a cumplir las políticas de seguridad de una empresa y asegurar que sólo dispositivos compatibles con éstas puedan tener acceso a redes empresariales y servidores de correo electrónico.
Administración de dispositivos móviles. Al aumentar la eficiencia en la administración de TI con el despliegue de diferentes aplicaciones y actualizaciones, la gestión de estas soluciones deben asegurar que los dispositivos y el software estén al día. Con lo cual no sólo se mejora la productividad del usuario final mediante la protección del dispositivo móvil, sino que también se asegura que no presente vulnerabilidades en materia de seguridad. Estas soluciones también pueden ayudar a las empresas a borrar datos a distancia y bloquear el acceso en caso de pérdida o robo.
Control de acceso de redes: Las soluciones de administración de red móvil que incluyen funcionalidades de control de acceso, pueden ayudar a cumplir las políticas de seguridad de una empresa y asegurar que sólo dispositivos compatibles con éstas puedan tener acceso a redes empresariales y servidores de correo electrónico.
Autenticación: La mayoría de las redes empresariales requieren un nombre de usuario y una contraseña para identificar a los usuarios, pero éstos pueden verse comprometidos. Usando la tecnología de doble factor autenticación se garantiza un mayor nivel de seguridad cuando los usuarios se conectan a la red corporativa desde dispositivos móviles. Queda claro que la seguridad en dispositivos móviles, sobre todo a partir de su inserción en el ámbito laboral, plantea un desafío que sólo puede resolverse desde un abordaje múltiple, que involucra a usuarios, políticas y educación. Con todo, los riesgos y las amenazas no son exclusivos de este universo de uso. Pero nadie es “virgen” en este terreno: los usuarios pueden capitalizar la experiencia dolorosamente aprendida en el uso cotidiano de sus PCs y adaptar las buenas prácticas. Con todo, en el horizonte asoman nuevos retos. “Uno de los desafíos a futuro en materia de seguridad móvil será lograr desarrollar tecnología que permita no sólo validar la identidad de un usuario sino también saber qué usuario necesita determinada información o no y detectar cuando cantidades inusualmente grandes de datos están siendo copiados o movidos en torno a una red de una forma no compatible con el uso apropiado de esos datos o el acceso a ellos”, pronostica Saavedra.
No hay comentarios.:
Publicar un comentario