Llegamos a ustedes gracias a:



Reportajes y análisis

¿Es necesario un antivirus móvil?

[23/10/2013] No es ningún secreto, o al menos ya no lo es: la gente en general no utiliza ningún tipo de antivirus o protección contra el malware en su dispositivo móvil. Recientes investigaciones de IDC han indicado que solo el 5% de todos los teléfonos inteligentes y tabletas tienen algún tipo de herramientas de seguridad instaladas en ellos, planteando la cuestión de si este tipo de software es aún necesario.
Si bien es cierto que esta cifra incluye tanto a las empresas como al público consumidor; a menudo son uno solo. Según Dionisio Zumerle, analista principal de investigación de Gartner, la adopción de BYOD puede variar desde 15% a más del 50% dentro de una empresa, en función de diversos factores, como los requisitos de seguridad, factor de forma, la industria y el apetito de riesgo.
No hay duda de que una parte significativa de estos dispositivos que están libres de cualquier tipo de protección antivirus están siendo utilizados en los escenarios empresariales. La primera pregunta, entonces, es ¿por qué?
La determinación de los niveles de amenaza
En términos de la presencia de una amenaza, no hay escasez de malware móvil flotando por ahí, por lo menos según los proveedores de antivirus. Los números de McAfee, por ejemplo, indican que 377 mil piezas únicas de malware móvil se bloquearon en el mes de julio de este año. Pero si este tipo de software comercial es el enfoque correcto aún es un punto de contención.
"Un antivirus no es la respuesta correcta al malware", señala Zumerle. "Se trata más de una reacción, que una solución".
Llegó a reconocer que los casos de malware aparecen de vez en cuando de manera ocasional frente a los consumidores (sobre todo en escenarios de transacciones financieras o ataques re envasados), como un par de troyanos de alto perfil llamados Operation High Roller y Eurograbber, en el 2012, que robaron 16 millones de dólares y 36 millones de euros, respectivamente. Pero en general este tipo de malware no es realmente una preocupación para los usuarios de la empresa en estos momentos. De hecho, tal y como están las cosas ahora, un antivirus podría afectar más de lo que podría ayudar.
"No debe incluir software antivirus solo porque puede, agrega Zumerle. El software, que continuamente estará explorando, agotará la batería. Y además, el malware es muy rápido en la evolución y el cambio, y mucho de este software antivirus está basado en firmas. Si tiene nuevos virus, ¿qué va a hacer? En un momento determinado no será capaz de ponerse al día y se volverá esencialmente ineficaz", anota.
Tyler Shields, analista de Forrester Research, compartió sentimientos similares, aunque también sostuvo que muchos usuarios no están utilizando antivirus, simplemente porque no hay ningún incentivo para hacerlo. De hecho, los números de Forrester de la encuesta de seguridad Q2 2012 indicaron que solo el 28% de las 692 empresas encuestadas estaban "muy preocupadas" por las cuestiones de seguridad móvil.
"Es como vivir en una comunidad agradable con paredes altas, por lo que no tiene que cerrar la puerta. Eso está bien hasta que le roban", agrega Shields. "Hasta que no haya un gran virus que golpee y aparezca en los medios, la gente simplemente no lo hará. Ellos no están incentivados a hacerlo".
En cuanto a la lucha contra las amenazas futuras, Shields también concuerda en que el estilo tradicional de software basado en firmas será totalmente ineficaz para detener los virus desconocidos. Se puede detener los conocidos, dijo, pero no se detiene el brote inicial. Los desarrolladores de software tienen que trabajar en la detección basada en anomalías del comportamiento en sus motores, y solo entonces podrán tener la oportunidad de mantenerse a la cabeza de los jugadores móviles.
"Tenemos que empezar a ver el juego de manera diferente y parar con el enfoque de carrera armamentista", añade.
Sin embargo, los proveedores señalan que este es ya el caso. Mike Fey, director de tecnología global de McAfee, insiste en que el software de su empresa trabaja fuera de firmas y comportamientos anómalos. "Hay que tratar de construir su propio esquema tanto como sea posible", comenta. "Utilizamos firmas para asegurar la velocidad. Si sabes que algo es intrínsecamente malo, podría bloquearlo".
Fey añadió, sin embargo, que seguirán habiendo cambios en el enfoque de McAfee, aunque la amenaza siga siendo la misma. Su software puede estar depurando las aplicaciones que se descargan, dijo, puede asegurarse de que en realidad sean de la tienda correcta. Sin embargo, los motivos y las capacidades de los atacantes no cambiarán simplemente por un cambio de formato del dispositivo.
"En términos de cómo funciona el software, no siempre va a ser manejado de la misma manera", añade. "Nuestros planes de protección van a cambiar".
Mark Birmingham y Greg Sabey, director de marketing de producto y gerente de relaciones públicas de tecnología en Kaspersky, respectivamente, coincidieron en que las compañías antivirus no pueden ir muy lejos con solo la detección basada en firmas. Más bien, ellos tienen que hacer que su protección sea lo más cercana al tiempo real como sea posible. "Las firmas son reactivas", señala Birmingham. "Tenemos que tener tecnologías proactivas o no será suficiente. Ellos hablan acerca de tener amenazas de día cero... nos estamos acercando al minuto cero".
¿La tormenta ya está aquí o simplemente en el horizonte?
Todo el mundo, sea un proveedor o una parte de una empresa de seguridad, parece estar en la misma página con respecto a la necesidad de protección proactiva. Donde las narraciones tienden a entrar en conflicto, sin embargo, es cuando se refieren a si hay o no una amenaza inmediata.
"El malware viene después en el panteón de los riesgos", señala Zumerle, quien explicó que si los usuarios siguen ciertas medidas como MDM, protección de jailbreak, y no acceder a las tiendas de aplicaciones de terceros, pueden reducir en gran medida el riesgo de malware, por el momento. La pérdida de su dispositivo y no tener la protección de datos, una contraseña compleja o larga, o la capacidad de borrar de forma remota el dispositivo, dijo, es una preocupación mayor.
"Mirando hacia adelante, no hay duda de que los dispositivos móviles con el tiempo ocasionarán una gran parte de las violaciones de la empresa", agregó Zumerle. "Pero si lo estamos viendo ahora mismo, los números no están allí todavía. Y parte de eso se debe a que todavía estamos pasando de las estaciones de trabajo a los dispositivos móviles, y eso lleva tiempo".
Pero los números están ahí, de acuerdo a Birmingham y Sabey, quienes se refirieron a las estadísticas que los analistas de Kaspersky reunieron, y que estipulan que más de 100 mil muestras de malware móvil se habían añadido a la biblioteca de la compañía al 30 de junio de este año (la mayoría de los cuales eran backdoor, troyanos, y virus troyanos SMS). Del mismo modo, el informe de amenazas QF 2013 de McAfee indicó que a mediados de este año, la empresa ya había recopilado tantas amenazas de malware como lo hizo en todo el año 2012, sumando más de 17 mil muestras solo en Q2.
"El malware está, en general, en crecimiento; y el malware móvil está en un terreno de juego cada vez más pronunciado ", señala Birmingham. "Es el blanco más fácil. Yo no creo que la gente en general entienda que los teléfonos inteligentes no son más que pequeñas computadoras, muy inteligentes. Son grandes objetivos para el malware".
Más específicamente, Birmingham señala que la tasa de crecimiento más grande en busca de malware móvil está en la plataforma Android. La naturaleza abierta del sistema operativo de Google hace que sea fácil para que cualquiera pueda desarrollar aplicaciones, incluyendo los desarrolladores de malware. Según la investigación de Kaspersky, en el 2012, el 99% del total de detecciones de malware móvil se dirigieron a Android. La investigación de McAfee indicó que esta cifra también fue cierta en fecha tan reciente como el segundo trimestre de este año.
"Hemos visto muchas aplicaciones maliciosas en la tienda Play de Google, y solo después Google se da cuenta de lo que son", anota Sabey. "Esa es la verdadera señal reveladora de que hay un problema: que se puede ir a este lugar supuestamente legítimo, y aun así infectarse".
Mientras que Apple tiene un proceso de selección más completo para sus aplicaciones, iOS tampoco es invulnerable. En iOS móvil están disponibles menos agentes de seguridad móvil -probablemente eso contribuyó a los bajos números descubiertos por la encuesta de IDC-, y el proceso que hace que los resultados de la plataforma de seguridad tengan un tiempo de respuesta lento en cuanto a la aprobación y despliegue de parches. De cualquier manera, dijo Birmingham, los usuarios necesitan estar más seguros.
"Estos dispositivos son computadoras, y le preguntaría a las personas si operarías sus computadoras caseras sin una solución antivirus", señala Birmingham.
Luego pasó a señalar que el malware ha pasado de ser una molestia a tener fines de lucro, y que los atacantes se irán a donde les resulte fácil operar. La industria tiene parte de culpa, pues según Birmingham, no ha llamado suficientemente la atención sobre el hecho de que los dispositivos móviles requieren protección.
Sabey añadió: "El valor de los datos en el dispositivo es mucho más valioso que el dispositivo en sí. Y los desarrolladores de malware están leyendo las mismas estadísticas que usted. Ven que nadie está protegido en sus dispositivos móviles y dicen, 'Bueno, vamos a ir tras esto".
Pero incluso los proveedores no parecen estar de acuerdo sobre si la amenaza está aquí, o simplemente en camino. Fey admitió que si bien existe mucho malware móvil, todavía no es un ataque importante, a gran escala. Ya viene, sin embargo, dijo, porque el crecimiento del malware móvil es exponencial, es solo una cuestión de cuándo pasará.
"Nuestros datos muestran que cada mes, los casos de malware móvil suben cada vez más. Está aumentando más rápido que en el mundo de la PC", señala Fey. "Se nos viene encima. Es el momento del debate, no es inevitable".
Shields estuvo más o menos de acuerdo, diciendo que sin duda se avecina una tormenta, pero aún tiene que llegar, porque en este momento la mayoría de las empresas están en un estado de cambio hacia lo móvil. "Una vez que la movilidad supere a las PC, las cosas cambiarán", señala Shields sobre los objetivos de los atacantes. Admitió que ha estado preparándose para una infección de alto perfil que rompa la escena, a pesar de que aún no ha llegado.
"Escribí la primera pieza de BlackBerry spyware en el 2010 (por razones de sombrero blanco) y he estado diciendo que viene y todavía no ha llegado. Pero las estrellas están empezando a alinearse". Si nos fijamos en las tendencias en todos los ámbitos, agrega -incluyendo el creciente porcentaje de usuarios BYOD y aquellos con múltiples dispositivos, así como el decreciente número de personas que viajan con laptops- está pasando.
"Es una convergencia eventual, continuó Shields. "No puedo decir cuándo es que llegará un gran ataque, pero si tuviera que adivinar, diría que en algún momento durante los próximos tres años".
Pero él, como Zumerle, sostuvo que el malware no un gran problema en este mismo momento. "Lo que está reteniendo a los programadores de malware es que sigue siendo fácil hacerlo en el lado de la PC, por lo que ¿por qué molestarse? En este momento no hay necesidad de que se muevan al espacio móvil. Las PC son el camino de menor resistencia. Pero tendrán que mudarse eventualmente".
Luego pasó a añadir que en todo caso, los atacantes probablemente comiencen con ataques dirigidos primero, después de que la mayoría de usuarios hagan el cambio a lo móvil.
"Lo que se verá antes de los ataques masivos serán los ataques dirigidos. Primero ocurrirán amenazas persistentes avanzadas que tendrán como objetivo los teléfonos de personas específicas". Esto es, por supuesto, para que los atacantes prueben las aguas al mismo tiempo que establecen claramente los objetivos, objetivos de alto perfil donde puedan obtener dinero fácil.
"Una vez que los atacantes se sientan cómodos, se trasladarán a los ataques masivos", señala.
Fey estuvo de acuerdo, diciendo que en el caso de ataques dirigidos, los atacantes pueden explotar cualquier plataforma que elijan, pero un ataque a gran escala es otra historia. "Cuando uno ve las cosas de forma masiva... aún no hemos visto esto desplazándose hacia lo móvil", señala. "Pero estamos viendo la preocupación de empresas como Samsung para asegurarse de que sus dispositivos sean más seguros que los de todos los demás".
Alternativas de lucha contra el malware
Los que están preocupados por el malware móvil, señala Zumerle, deberían estar menos centrados en el software antivirus y más enfocados en la lucha contra ello desde la fuente. "Tener una tienda de aplicaciones empresariales para los usuarios, o utilizar herramientas seguras para la web, limpiar las redes o la tienda de aplicaciones, o ambas. Estas son soluciones mucho más eficientes y están alineados con el modelo que se obtiene del ecosistema móvil en general".
Zumerle también sugirió que TI no debe permitir que los usuarios hagan jailbreak o rooteen a sus teléfonos. "Si se rompe el mecanismo de sandboxing, habrán muchas otras vulnerabilidades", dijo. "No permita la escalada de privilegios. Puede hacer esto con una suite de MDM con detección de jailbreak".
Esencialmente, la idea es que TI se asegure de que los controles de seguridad en un dispositivo estén activados antes de que se conecten, incluso en el entorno de la empresa. Esto, por supuesto, incluye encriptación, contraseñas seguras, y la versión original del sistema operativo. "Desea establecer una barrera de entrada", señala Fey. "Puede obtener seguridad adicional con las soluciones de seguridad móvil, pero querrá confirmar una configuración viable antes de permitir una conexión con los servidores".
Pero algunos dicen que MDM, por lo menos en algunos aspectos, tampoco es una solución perfecta. Puede ayudar en la detección de virus, señala Shields, como darse cuenta si un teléfono ha sido comprometido. Al ser una forma de detección secundaria MDM es útil, pero no puede ser considerada como una solución de seguridad en el sentido tradicional.
"MDM en el sentido tradicional, no dejará nada", agrega Shields.
Shields estuvo de acuerdo, sin embargo, en que el control del software que entra en el dispositivo es la clave. Previendo la seguridad como una pila -con el portador de la red en la parte inferior; a continuación, el hardware; a continuación, el sistema operativo; y, finalmente, las aplicaciones; Shields señala que ninguno de estos aspectos puede ser controlado o asegurado por los equipos de seguridad de la empresa, excepto las aplicaciones/datos en sí. "Así que para prevenir la infección, es necesario limitar las aplicaciones puestas en el dispositivo a solo las que han sido adecuadamente investigadas por su seguridad y privacidad".
Tal vez el paso más importante en la prevención de la infección es la toma de conciencia y el cambio de la mentalidad de los usuarios y equipos de seguridad. Cuando se trata de la seguridad móvil, señala Zumerle, el enfoque debe ser distinto al que se ha utilizado en el pasado para las estaciones de trabajo.
"Necesita proteger los datos de diferentes maneras. Necesita centrarse en las aplicaciones", agrega.
Por eso, añade Zumerle, el enfoque de MDM ha ido cambiando hacia las aplicaciones. El cifrado, las contraseñas, etc son buenas soluciones; pero aquellos que están considerando permitir BYOD o que en general quieran que su fuerza de trabajo sea más flexible, necesitará contener aplicaciones importantes.
Birmingham añadió que mientras Kaspersky puede contener y blindar los datos corporativos en los teléfonos, hay otras importantes medidas de seguridad a tomar. "Otra cosa que va a querer hacer es limpiar solo el lado corporativo de forma remota si el teléfono se pierde", anota. "También querrá asegurarse de que el contenedor de datos esté cifrado, de ese modo la información es ambigua si no puede limpiarla en el tiempo".
Así que con estas otras opciones, ¿significa que el software antivirus no es necesario? Cuando se le preguntó directamente si el software de su empresa es esencial para los usuarios corporativos en este momento, Fey se mantuvo firme en su respuesta, lo que sugiere que incluso si no hay una amenaza inmediata de un ataque generalizado, los tipos de amenazas existentes no son menos peligrosas.
"Sin lugar a dudas, sí es necesario. Hemos visto ataques reales, y estos son los guardias de seguridad que ayudarán a proteger a los usuarios de cientos de miles de diferentes tipos de ataques", señala.
"Si nos fijamos en la seguridad móvil en el futuro, se le medirá en daños y perjuicios, no en archivos infectados".
Grant Hatchimonji, CSO (EE.UU.)