Llegamos a ustedes gracias a:



Reportajes y análisis

2012, un campo minado de seguridad móvil

[09/01/2012] El dispositivo móvil, que ahora es la herramienta tecnológica dominante en las empresas norteamericanas, se volverá más dominante en el 2012 y mucho después. Los analistas del sector dicen que los envíos de dispositivos móviles superarán los mil millones en el 2015, dejando a los envíos de PC en el polvo.
Eso traerá grandes beneficios, pero también grandes riesgos.
Sus beneficios para la comodidad y productividad del usuario son evidentes e irresistibles -un teléfono inteligente puede manejar todo, desde el correo electrónico a la colaboración y el video chat. Puede servir como GPS. Puede escanear los códigos de barras de los productos. Puede encontrar y almacenar sus canciones favoritas, le ayuda a tomar fotos de alta resolución y video de alta definición y expande su red social y profesional.
Pero no son muy seguros, colocando a los usuarios y empresas que los emplean en mayor riesgo.
La combinación de una relativa ausencia de defensas y la ubicuidad significan que los dispositivos móviles serán un objetivo cada vez más tentador para los ataques que van desde spyware a aplicaciones no autorizadas.
Los expertos en seguridad dicen que la industria es consciente de los riesgos. El equipo de investigación en seguridad TI de IBM, X-Force, predice 33 explosiones de software apuntando a dispositivos móviles en el 2012. Esta cifra puede parecer pequeña, pero es el doble del número de las liberadas en los últimos doce meses.
Muchos de los ataques vendrán a través del navegador, que Anup Ghosh, co-fundador y CEO de Invencea, llama "un vector de ataque excelente para cualquier escritor de malware". Ghosh indica que aunque cada nueva iteración de navegadores cuenta con más seguridad integrada, "no hay una desaceleración en las vulnerabilidades que cada iteración".
De hecho, las variaciones de malware -hasta a un máximo de 75 mil por día- significan que, "todo el modelo de detección de ataques y respuesta ante ellos está fundamentalmente roto", señala Ghosh.
Los métodos de ataque son muy variados. Ellos pueden venir con los archivos adjuntos en mensajes de correo electrónico, con aplicaciones de terceros que prometen hacer algo que el usuario desea, pero terminan recolectando información personal, o simplemente a través de las infecciones oportunistas durante la navegación.
Las estimaciones actuales son que uno de cada 60 mensajes de Facebook y uno de cada 100 tweets contiene malware.
Gary McGraw, CTO de Cigital y co-fundador de BSIMM -Building Security in Maturity Model- una organización que ayuda a los desarrolladores de software a construir seguridad en sus productos, considera que la conciencia de las amenazas significa que habrán muchos esfuerzos para mejorar la seguridad de dispositivos móviles. Pero, señala, "Este es un espacio muy complicado. Mucha gente diferente es responsable de las distintas partes".
Las personas involucradas en la fabricación y el uso de la gama de dispositivos móviles en compañías como Verizon y AT&T, y en fabricantes de dispositivos como HTC y los fabricantes de chips y los que hacen sistemas operativos como Google y Apple.
"Todos están pensando muy seriamente en este problema", señala McGraw. "Sin embargo, el modelo de negocio para el comercio móvil en realidad no ha sido presentado. Es difícil tomar decisiones de gestión de riesgos cuando está tratando de sacar ventaja de sus competidores".
Él está de acuerdo en que los usuarios son vulnerables, especialmente a cosas como aplicaciones de terceros que no han sido controladas. "Puede agitar el teléfono pagar el gas", señala, "y tal vez, pagar el gas del resto del mundo".
Zach Lanier, consultor principal en Intrepidus Group, está de acuerdo en que la seguridad a veces es dejada de lado en el afán de obtener una ventaja competitiva. Él dice que los desarrolladores están cometiendo los mismos errores que en el mundo de las computadoras, hace una década atrás.
"Estamos olvidando las lecciones que hemos aprendido", señala.
Lanier agrega que la seguridad móvil "no es un problema de los navegadores, por sí mismo". Los dispositivos móviles son vulnerables, concuerda, pero no inherentemente más que las computadoras de escritorio o las laptops.
Daily Dashboard de CSO ofrece una visión única de las amenazas más recientes de negocios. La hemos creado para usted, márquela y ¡úsela!
Se trata de una cuestión de escala, señala. "Digamos que hay un error, y la versión más reciente de Android es corregida. Sin embargo, todos corren diferentes versiones de Android. Así que en números absolutos, son más vulnerables".
En definitiva, la seguridad se reduce a las personas -los usuarios finales. Si pueden ser engañados para que abran un archivo PDF malicioso, la tecnología no puede bloquear eso.
McGraw y Lanier dicen que, en respuesta, las empresas deberán volverse más activas en la gestión de dispositivos móviles.
Sin embargo, "la falta de comprensión no va a desaparecer", agrega Lanier. A lo que añade McGraw, "No se puede proteger a las personas de sí mismas."
Taylor Armerding, CSO (EE.UU.)