Llegamos a ustedes gracias a:



Reportajes y análisis

Seguridad móvil: Diez problemas de seguridad y cómo luchar contra ellos

[04/10/2012] Cuando se trata de seguridad, la mayoría de dispositivos móviles son objetivos a la espera de ser atacados. Esa es, más o menos, la conclusión de un informe enviado esta semana al Congreso sobre el estado de la seguridad de los dispositivos móviles, hecha por la Government Accountability Office (GAO).
Combine la falta de seguridad con el hecho de que los dispositivos móviles son el blanco de los cibercriminales, y tendrá una mala situación. Por ejemplo, el número de variantes de software malicioso destinado a dispositivos móviles ha aumentado, según varios reportes, de 14 mil a 40 mil o aproximadamente 185% en menos de un año, según la GAO.
"Los dispositivos móviles enfrentan una serie de amenazas que aprovechan las numerosas vulnerabilidades que comúnmente se encuentran en tales dispositivos. Estas vulnerabilidades pueden ser el resultado de controles técnicos inadecuados, pero también puede ser consecuencia de las malas prácticas de seguridad de los consumidores", indica la GAO. "Las empresas privadas y los organismos federales han adoptado medidas para mejorar la seguridad de los dispositivos móviles, incluyendo hacer que determinados controles estén disponibles para que los consumidores los utilicen si desean, y difundir información acerca de las prácticas recomendadas de seguridad móvil. Sin embargo, los controles de seguridad no siempre se aplican de manera coherente en los dispositivos móviles, y no está claro si los consumidores son conscientes de la importancia de los controles de seguridad en sus dispositivos y la adopción de prácticas recomendadas".
El informe de la GAO vino con una lista de vulnerabilidades móviles que, según afirma la institución, son comunes a todas las plataformas móviles y ofreció una serie de posibles soluciones para tales debilidades:
A menudo, los dispositivos móviles no tienen contraseñas habilitadas. Los dispositivos móviles casi siempre carecen de contraseñas para la autenticación de los usuarios, y para controlar el acceso a los datos almacenados en los dispositivos. Muchos dispositivos tienen la capacidad técnica para soportar contraseñas, números de identificación personal (PIN), o patrones de clave en la pantalla para la autenticación. Algunos dispositivos móviles también incluyen un lector biométrico para escanear una huella dactilar como autenticación. Sin embargo, la información anecdótica indica que los consumidores rara vez emplean estos mecanismos. Además, si los usuarios usan una contraseña o PIN, a menudo eligen contraseñas o PINes que pueden ser fácilmente adivinadas o anuladas, tales como 1234 o 0000. Sin contraseña o PIN para bloquear el dispositivo, hay un mayor riesgo de que la información de los teléfonos robados o perdidos pueda ser vista por usuarios no autorizados que podrían ver la información sensible y darle mal uso a los dispositivos móviles.
La autenticación de dos factores no siempre es utilizada al realizar transacciones sensibles en dispositivos móviles. Según los estudios, los consumidores suelen utilizar contraseñas estáticas en lugar de la autenticación de dos factores cuando realizan transacciones sensibles en línea desde sus dispositivos móviles. El uso de contraseñas estáticas para la autenticación tiene inconvenientes de seguridad: las contraseñas pueden ser adivinadas, olvidadas, sobrescritas, robadas o espiadas. La autenticación de dos factores, proporciona un mayor nivel de seguridad que las contraseñas tradicionales y PIN, y este nivel más alto puede ser importante para las transacciones sensibles. Dos factores se refieren a un sistema de autenticación en el que los usuarios deben autenticarse utilizando por lo menos dos "factores" -algo que sabe, algo que tiene, o algo que es- antes de que se le conceda el acceso. Los dispositivos móviles se pueden utilizar como un segundo factor en algunos esquemas de autenticación de dos factores. El dispositivo móvil puede generar códigos de acceso, o los códigos pueden ser enviados a través de un mensaje de texto al teléfono. Sin la autenticación de dos factores, existe un mayor riesgo de que los usuarios no autorizados puedan tener acceso a información sensible y a darle un mal uso al dispositivo móvil.
Las transmisiones inalámbricas no siempre están encriptadas. Información como mensajes de correo electrónico enviados por un dispositivo móvil no suelen estar cifrados durante su transmisión. Además, muchas aplicaciones no encriptan los datos que transmiten y reciben a través de la red, lo que facilita que puedan ser interceptados. Por ejemplo, si una aplicación está transmitiendo datos a través de una red WiFi sin encriptar y utilizando HTTP (en lugar de HTTP seguro), los datos pueden ser fácilmente interceptados. Cuando una transmisión inalámbrica no está cifrada, los datos pueden ser interceptados fácilmente.
Los dispositivos móviles pueden contener malware. Los consumidores pueden descargar aplicaciones que contienen malware. Los consumidores descargan malware sin saberlo, ya que puede estar disfrazado como un juego, parche de seguridad, utilidad o aplicación. Es difícil que los usuarios noten la diferencia entre una aplicación legítima y una que contenga un software malicioso. Por ejemplo, una aplicación podría ser re envasada con malware y un consumidor inadvertidamente podría descargarla a un dispositivo móvil. Cuando una transmisión inalámbrica no está cifrada, los datos pueden ser fácilmente interceptados por intrusos, que pueden obtener acceso no autorizado a información sensible.
Los dispositivos móviles a menudo no utilizan software de seguridad. Muchos dispositivos móviles no vienen con software de seguridad preinstalado para protegerse contra aplicaciones maliciosas, spyware y ataques basados en malware. Además, los usuarios no siempre instalan software de seguridad, en parte debido a que los dispositivos móviles no suelen venir precargados con dicho software. Aunque este software puede ralentizar las operaciones y afectar la vida de la batería en algunos dispositivos móviles; sin él, se puede incrementar el riesgo de que un atacante pueda distribuir programas maliciosos, como virus, troyanos, spyware y spam, para hacer que los usuarios revelen contraseñas u otra información confidencial.
Los sistemas operativos pueden estar desactualizados. Los parches de seguridad para los sistemas operativos de dispositivos móviles no siempre se instalan de una manera oportuna. Pueden pasar semanas o meses antes de que se proporcionen las actualizaciones de seguridad para los dispositivos de los consumidores. Dependiendo de la naturaleza de la vulnerabilidad, el proceso de actualización puede ser complejo e implicar muchas partes. Por ejemplo, Google desarrolla actualizaciones para solucionar vulnerabilidades de seguridad en el sistema operativo Android, pero a los fabricantes de dispositivos les corresponde producir una actualización específica del dispositivo que incorpore la corrección de la vulnerabilidad, lo cual puede tardar si hay modificaciones propietarias sobre el software del dispositivo. Una vez que un fabricante produce una actualización, a cada operador le corresponde probarla y transmitir los cambios a los dispositivos de los consumidores. Sin embargo, los operadores se pueden retrasar en proporcionar las actualizaciones, porque necesitan tiempo para probarlas y ver si interfieren con otros aspectos del dispositivo o el software instalado en él.
Además, los dispositivos móviles que tengan una antigüedad de dos años no pueden recibir actualizaciones de seguridad, porque los fabricantes ya no pueden soportar esos dispositivos. Muchos fabricantes de teléfonos inteligentes dejaron de dar soporte a los teléfonos inteligentes a los 12 o 18 meses después de su liberación. Estos dispositivos pueden enfrentar un mayor riesgo si los fabricantes no desarrollan parches para vulnerabilidades descubiertas recientemente.
El software de los dispositivos móviles puede estar desactualizado. Los parches de seguridad para las aplicaciones de terceros no siempre se desarrollan y se publican en el momento oportuno. Además, las aplicaciones móviles de terceros, incluyendo los navegadores web, no siempre notifican a los consumidores cuando hay actualizaciones disponibles. A diferencia de los navegadores web tradicionales, los navegadores móviles rara vez obtienen actualizaciones. El uso de software obsoleto aumenta el riesgo de que un atacante pueda explotar vulnerabilidades asociadas con estos dispositivos.
Los dispositivos móviles no suelen limitar las conexiones a Internet. Muchos dispositivos móviles no tienen firewalls para limitar las conexiones. Cuando el dispositivo está conectado a una red de área amplia que usa puertos de comunicaciones para conectarse con otros dispositivos y con la Internet. Un hacker podría acceder al dispositivo móvil a través de un puerto que no está asegurado. Un firewall protege estos puertos y permite que el usuario elija qué conexiones desea permitir en el dispositivo móvil. Sin un firewall, el dispositivo móvil puede estar abierto a la intrusión a través de un puerto de comunicaciones no asegurado, y un intruso puede ser capaz de obtener información sensible del dispositivo y darle mal uso a la misma.
Los dispositivos móviles pueden tener modificaciones no autorizadas. El proceso de modificación de un dispositivo móvil para eliminar sus limitaciones y que los consumidores puedan agregar funciones (conocido como "jailbreaking" o "rooteado") cambia la forma en que se maneja la seguridad del dispositivo y podría aumentar los riesgos de seguridad. El jailbreaking permite que los usuarios accedan al sistema operativo de un dispositivo con el fin de poder instalar funciones de software y aplicaciones no autorizadas y/o para no estar atados a un operador de telefonía móvil particular. Mientras que algunos usuarios pueden rootear sus dispositivos móviles con el fin de instalar mejoras de seguridad tales como firewalls, otros simplemente pueden estar buscando una forma más barata o más fácil de instalar aplicaciones. En este último caso, los usuarios enfrentan mayores riesgos de seguridad, ya que están pasando por alto el proceso de investigación de aplicación previsto por el fabricante, y por lo tanto tienen menos protección contra la instalación inadvertida de malware. Además, los dispositivos rooteados no pueden recibir las notificaciones de las actualizaciones de seguridad del fabricante, y pueden requerir un esfuerzo adicional por parte del usuario para mantener el software al día.
Los canales de comunicación pueden estar mal asegurados. Tener canales de comunicación abiertos, como el Bluetooth, o en el modo descubrimiento (que permite que el dispositivo sea visto por otros dispositivos compatibles con Bluetooth para que se puedan hacer conexiones) podría permitir que un atacante instale malware a través de esa conexión, o active subrepticiamente un micrófono o una cámara para espiar al usuario. Además, el uso de redes públicas o puntos de Internet inalámbrico Wi-Fi podría permitir que un atacante se conecte al dispositivo y vea la información sensible.
El informe de la GAO llegó a afirmar que la conexión a una red Wi-Fi no segura podría permitir que un atacante acceda a la información personal de un dispositivo, poniendo a los usuarios en riesgo de sufrir un robo de datos o de identidad. Un tipo de ataque que explota la red Wi-Fi es conocido como el hombre del medio, donde un atacante se inserta en el medio de la corriente de la comunicación y roba información.
Consejos para asegurar su dispositivo
Entonces, ¿qué se puede hacer para asegurar los dispositivos móviles? El informe de la GAO ofrece una serie de ideas que incluyen:
Habilitar la autenticación de usuarios: Los dispositivos se pueden configurar para que pidan contraseñas o una clave PIN antes de otorgar acceso. Además, el campo de la contraseña puede ser enmascarado para evitar que se observe, y los dispositivos pueden bloquear su pantalla tras un periodo de inactividad para evitar el acceso no autorizado.
Habilitar la autenticación de dos factores para las transacciones sensibles: La autenticación de dos factores se puede utilizar cuando se realizan transacciones sensibles en dispositivos móviles. La autenticación de dos factores proporciona un mayor nivel de seguridad que las contraseñas tradicionales. Los dos factores se refieren a un sistema de autenticación en el que los usuarios deben autenticarse utilizando por lo menos dos "modos -algo que sabe, algo que usted tiene, o algo que usted es- antes de que se le conceda el acceso. Los mismos dispositivos móviles se pueden utilizar como un segundo factor, en algunos esquemas de autenticación de dos factores utilizados para el acceso remoto. El dispositivo móvil puede generar códigos de acceso o los códigos pueden ser enviados a través de un mensaje de texto al teléfono. La autenticación de dos factores puede ser importante cuando se producen transacciones sensibles, tales como la banca móvil o transacciones financieras.
Verificar la autenticidad de las aplicaciones descargadas: Se pueden aplicar procedimientos para la evaluación de las firmas digitales de las aplicaciones descargadas, con el fin de asegurarse de que no hayan sido manipuladas.
Instale capacidad antimalware: La protección antimalware se puede instalar para protegerse contra aplicaciones maliciosas, virus, spyware, tarjetas de seguridad infectadas, y ataques basados en malware. Además, estas capacidades pueden protegerle contra mensajes no deseados (spam de voz), mensajes de texto y archivos adjuntos de correo electrónico.
Instale un firewall: Un firewall personal lo puede proteger contra conexiones no autorizadas al interceptar los intentos de conexión entrantes y salientes, y bloquear o permitirlos con base a una lista de reglas.
Instale actualizaciones de seguridad: Las actualizaciones de software pueden ser transferidas automáticamente desde el fabricante u operador directamente a un dispositivo móvil. Se pueden implementar procedimientos para garantizar que estas actualizaciones se transmitan inmediatamente.
Desactivar los dispositivos perdidos o robados de forma remota: La desactivación remota es una función para dispositivos perdidos o robados que, o bien bloquean el dispositivo, o borran completamente su contenido. Los dispositivos bloqueados se pueden desbloquear posteriormente si es que el usuario los recupera.
Habilitar el cifrado de los datos almacenados en el dispositivo o la tarjeta de memoria: El cifrado de archivos protege los datos confidenciales almacenados en los dispositivos móviles y tarjetas de memoria. Los dispositivos pueden tener capacidades de cifrado incluidas de fábrica, o utilizar herramientas de cifrado que están disponibles en el mercado.
Habilitar la lista blanca: La lista blanca o whitelisting es un control de software que permite que solo las aplicaciones seguras ejecuten los comandos.
Establezca una política de dispositivo de seguridad móvil: Las políticas de seguridad definen las reglas, principios y prácticas que determinan cómo es que una organización trata a los dispositivos móviles, ya sean emitidos por la organización o de propiedad de los individuos. Las políticas deben cubrir áreas tales como las funciones y responsabilidades, seguridad de la infraestructura, seguridad del dispositivo y las evaluaciones de seguridad. Mediante el establecimiento de políticas que aborden estas áreas, las organizaciones pueden crear un marco para la aplicación de prácticas, herramientas y capacitación con el fin de ayudar a mantener la seguridad de las redes inalámbricas.
Proveer capacitación en seguridad del dispositivo móvil: Capacitar a los empleados en las políticas de seguridad móvil de la organización puede ayudar a asegurar que los dispositivos móviles estén configurados, operados y utilizados de una forma segura y apropiada.
Establecer un plan de implementación: Seguir un plan de implementación bien diseñado ayuda a asegurar que se cumplan los objetivos de seguridad.
Llevar a cabo evaluaciones de riesgo: Los análisis de riesgos identifican las vulnerabilidades y amenazas, enumeran los posibles ataques, evalúa su probabilidad de éxito, y estima el daño potencial en los dispositivos móviles por los ataques exitosos.
Llevar a cabo el control de configuración y gestión: La gestión de la configuración asegura que los dispositivos móviles estén protegidos contra la introducción de modificaciones inadecuadas antes, durante y después de la implementación.
Michael Cooney, Network World (EE.UU.)