Llegamos a ustedes gracias a:



Columnas de opinión

¿Qué pasa con las amenazas móviles?

Por: Ignacio Conti, Gerente Regional de Blue Coat Systems.

[25/02/2013] Por ahora las amenazas móviles no han quebrado el modelo de seguridad de los dispositivos, por ello su actividad está enfocada en estafas de mensajes de texto de pago o robar información personal.
En el 2012, las amenazas móviles representaron un porcentaje relativamente pequeño pero creciente del tráfico total. El panorama de las amenazas estuvo marcado por un resurgimiento de las clásicas estafas tratando de convencer a los usuarios que ingresen información sensible en un sitio web que reproduce, por ejemplo, la página web de un banco.
En el 2013, con el rápido crecimiento de la adopción de dispositivos móviles y de empresas que otorgan cada vez más acceso a los activos corporativos, este panorama cambiará.
Según el estudio de movilidad Global de IDG, el 70% de los empleados encuestados cuenta con acceso a la red corporativa mediante un smartphone o tablet de su propiedad. Este acceso se extiende a las aplicaciones críticas para el negocio. Por ejemplo, el 80% de los empleados tiene acceso al correo electrónico desde su dispositivo personal.
En el mundo de la PC de escritorio los ciberdelincuentes pueden comprar kits de explotación en el mercado clandestino y utilizar las infraestructuras de malnet para lanzar continuamente ataques de malware a los usuarios. Ataques con estas armas destinadas a los dispositivos móviles aún no han hecho su debut; sin embargo, técnicas establecidas como pornografía, spam y phishing que han funcionado bien en el mundo de escritorio ahora están migrando exitosamente al mundo móvil.
Muchas de estas tácticas son independientes del dispositivo, por lo que el ataque para dispositivos móviles es relativamente simple. Phishing, estafas y spam se enfocan en usuarios en todos los dispositivos en un esfuerzo por convencer a los usuarios de proporcionar credenciales u otra información confidencial, como información de tarjeta de crédito.
Otra diferencia importante entre los entornos de escritorio y móviles es que versiones móviles de sitios web son a menudo elaboradas y presentadas por terceros. Para el usuario, significa que la URL no podría ser un buen indicador de la relativa seguridad del sitio. Por ejemplo, para acceder al sitio web de Hilton Hotels desde un dispositivo móvil, éste se redirige a usable.net. Esta práctica condiciona esencialmente a los clientes que no se sienten cómodos con una dirección URL extraña y brinda a los atacantes la posibilidad de engañar a los usuarios móviles.
Los dispositivos móviles han facultado a los usuarios, dándoles acceso a una gran cantidad de información y activos de la empresa desde cualquier lugar. Sin embargo, las empresas no han puesto en su lugar las herramientas y prácticas que les permitan tomar decisiones buenas y seguras. Esencialmente, los han enfrentado al fracaso seguro.
Cuando pensamos en seguridad bajo la lente de los dispositivos móviles, algunos riesgos disminuyen, otros aumentan y otros más permanecen igual. Por ejemplo, considere el riesgo creciente de que su contraseña quede expuesta a un espectador. Los teléfonos móviles a menudo han revertido la práctica de años de enmascarar al instante las contraseñas cuando se escriben y suelen exponer la contraseña, carácter por carácter, para que su entrada sea correcta.
También es cierto que a menudo es más difícil tomar buenas decisiones acerca de los enlaces que se pueden visitar en un dispositivo móvil. Muchas veces estos enlaces son truncados o acortados por un servicio como bitly, que le impide al usuario usar su capacidad para tomar una buena decisión sobre su destino.
Un reciente ataque de phishing demuestra lo fácil que uno puede ser engañado proporcionando sus credenciales en un dispositivo móvil. En el ataque, un usuario recibe un correo electrónico gramaticalmente y formalmente correctos de phishing informándoles que Paypal ha detectado actividad sospechosa durante la última transacción del usuario. El correo electrónico llega a decir que PayPal ha bloqueado temporalmente la cuenta hasta que el usuario verifique la cuenta haciendo clic en un enlace.
Extender una solución de seguridad web de clase empresarial para incluir dispositivos móviles es un buen primer paso hacia la protección de sus empleados. Al cerrar la brecha de seguridad móvil y permitir el acceso controlado a los activos corporativos con controles de políticas apropiadas, las empresas pueden proactivamente protegerse contra esta evolución de las amenazas móviles y capitalizar la innovación y la productividad de una fuerza de trabajo móvil.
CIO, Perú