Llegamos a ustedes gracias a:



Reportajes y análisis

Seguridad móvil: 7 amenazas que se deberían tomar en serio

[22/03/2019] La seguridad móvil está en la parte superior de la lista de preocupaciones de todas las empresas en estos días, y por una buena razón: casi todos los trabajadores ahora acceden de forma rutinaria a los datos corporativos desde smartphones, y eso significa que mantener la información confidencial fuera de las manos equivocadas es un rompecabezas cada vez más complejo. Las apuestas están más altas que nunca: el costo promedio de una violación de datos corporativos es de 3,86 millones de dólares, según un informe de 2018 del Ponemon Institute. Eso es 6,4% más que el costo estimado del año anterior.

Si bien es fácil enfocarse en el tema sensacional del malware, la verdad es que las infecciones de malware móvil son increíblemente infrecuentes en el mundo real -con significativamente menores probabilidades de ser infectado que probabilidades de ser golpeado por un rayo, según una estimación. Esto se debe tanto a la naturaleza del malware móvil como a las protecciones inherentes integradas en los sistemas operativos móviles modernos.

Los riesgos de seguridad móvil más realistas se encuentran en algunas áreas fácilmente pasadas por alto, y se espera que éstas se vuelvan más apremiantes a medida que avanza el 2019:

1. Fuga de datos

Puede parecer un diagnóstico del urólogo robot, pero la fuga de datos se considera una de las amenazas más preocupantes para la seguridad empresarial en el 2019. ¿Recuerda esas probabilidades casi inexistentes de ser infectado por malware? Bueno, cuando se trata de una violación de datos, las empresas tienen una probabilidad de casi 28% de experimentar al menos un incidente en los próximos dos años, según la última investigación de Ponemon -en otras palabras, probabilidades de más de uno de cada cuatro.

Lo que hace que el tema sea especialmente molesto es que a menudo no es malicioso por naturaleza; más bien, se debe a que los usuarios toman inadvertidamente decisiones poco recomendables sobre qué aplicaciones pueden ver y transferir su información.

"El principal desafío es cómo implementar un proceso de selección de aplicaciones que no abrume al administrador y no frustre a los usuarios", señala Dionisio Zumerle, director de investigación para la seguridad móvil en Gartner. Él sugiere recurrir a las soluciones de defensa contra amenazas móviles (MTD, por sus siglas en inglés) -productos como Endpoint Protection Mobile de Symantec, SandBlast Mobile de CheckPoint y zIPS Protection de Zimperium. Tales utilidades analizan las aplicaciones en busca de "comportamiento que dé paso a fugas", menciona Zumerle, y pueden automatizar el bloqueo de procesos problemáticos.

Por supuesto, eso no siempre cubrirá las fugas que se producen como resultado de un error del usuario; algo tan simple como transferir archivos de la empresa a un servicio de almacenamiento en la nube pública, pegar información confidencial en el lugar equivocado, o reenviar un correo electrónico a un usuario no intencionado. Ese es un desafío que la industria de la salud actualmente está luchando por superar: según la proveedora de seguros especializada Beazley, la "divulgación accidental" fue la causa principal de las violaciones de datos reportadas por las organizaciones de salud en el tercer trimestre del 2018. Esa categoría, combinada con filtraciones llevadas a cabo por personal interno, representó casi la mitad de todas las violaciones reportadas durante ese lapso de tiempo.

Para ese tipo de fuga, las herramientas de prevención de pérdida de datos (DLP, por sus siglas en inglés) pueden ser la forma más efectiva de protección. Dicho software está diseñado explícitamente para evitar la exposición de información confidencial, incluso en escenarios accidentales.

2. Ingeniería social

La ensayada y comprobada táctica del engaño es tan problemática en el frente móvil como en los escritorios. A pesar de la facilidad con que uno podría pensar que se pueden evitar las desventajas de la ingeniería social, siguen siendo sorprendentemente efectivas.

Sorprendentemente, el 91% de los delitos cibernéticos comienza con el correo electrónico, según un informe del 2018 de la firma de seguridad FireEye. La firma se refiere a estos incidentes como "ataques sin malware", ya que se basan en tácticas como la suplantación para engañar a las personas para que hagan clic en enlaces peligrosos o proporcionen información confidencial. La empresa afirma que el phishing creció en un 65% a lo largo del 2017, y los usuarios de dispositivos móviles corren el mayor riesgo de caer en esta situación debido a la forma en que muchos clientes de email móvil muestran solo el nombre del remitente. Esto hace que sea especialmente fácil falsificar mensajes y hacer que una persona piense que un correo es de alguien que conoce o en quien confía.

De hecho, es tres veces más probable que los usuarios respondan a un ataque de phishing en un dispositivo móvil que en uno de escritorio, de acuerdo con un estudio de IBM. En parte, esto sucede simplemente porque un teléfono es donde las personas tienen más probabilidades de ver un mensaje primero. Mientras que solo el 4% de los usuarios realmente hace clic en los enlaces relacionados con el phishing, según el 2018 Data Breach Investigations Report de Verizon, esos individuos crédulos tienden a ser infractores reincidentes: la compañía señala que mientras más veces alguien haga clic en el enlace de una campaña de phishing, es más probable que vuelva a hacerlo en el futuro. Verizon ha informado previamente que el 15% de los usuarios que han caído en phishing, volverán a caer al menos una vez más durante el mismo año.

"Vemos un aumento general en la susceptibilidad móvil impulsada por los aumentos en la computación móvil [y] el crecimiento continuo de los entornos de trabajo BYOD", comenta John "Lex" Robinson, estratega de seguridad de la información y antiphishing en PhishMe -una firma que utiliza simulaciones reales para capacitar a los trabajadores en el reconocimiento y la respuesta a los intentos de phishing.

Robinson señala que la línea entre el trabajo y la computación personal también continúa siendo borrosa. Cada vez más trabajadores ven múltiples bandejas de entrada -conectadas a una combinación de cuentas de trabajo y cuentas personales- en un smartphone, observa; y casi todos realizan algún tipo de negocio personal en línea durante la jornada laboral. En consecuencia, la noción de recibir lo que parece ser un email personal junto con mensajes relacionados con el trabajo no parece en absoluto inusual superficialmente, incluso si se trata de un engaño.

3. Interferencia Wi-Fi

Un dispositivo móvil es tan seguro como la red a través de la cual transmite datos. En una era en la que todos nos conectamos constantemente a redes públicas de Wi-Fi, eso significa que nuestra información a menudo no es tan segura como podríamos suponer.

¿Qué tan importante es esta preocupación? Según una investigación realizada por la firma de seguridad empresarial Wandera, los dispositivos móviles corporativos usan Wi-Fi casi tres veces más de lo que utilizan datos celulares. Casi una cuarta parte de los dispositivos se han conectado a redes Wi-Fi abiertas y potencialmente inseguras, y el 4% de los dispositivos se ha topado con un ataque Man-in-the-middle -en el que alguien intercepta maliciosamente la comunicación entre dos partes- en el último mes. McAfee, por otro lado, dice que la falsificación de la red ha aumentado "dramáticamente" en los últimos tiempos y, sin embargo, menos de la mitad de las personas se molestan en asegurar su conexión cuando viajan y dependen de las redes públicas.

"Actualmente, no es difícil cifrar el tráfico", asegura Kevin Du, profesor de ciencias de la computación en la Universidad de Syracuse especializado en la seguridad de smartphones. "Si no cuenta con una VPN, está dejando muchas puertas abiertas alrededor suyo".

Sin embargo, seleccionar la VPN empresarial correcta no es tan fácil. Al igual que con la mayoría de consideraciones relacionadas a la seguridad, casi siempre se requiere una compensación. "La entrega de VPNs debe ser más inteligente con los dispositivos móviles, ya que minimizar el consumo de recursos, principalmente la batería, es primordial", señala Zumerle de Gartner. Una VPN efectiva debería saber activarse solo cuando sea absolutamente necesario, dice, y no cuando un usuario accede a algún lugar como un sitio de noticias, o trabaja dentro de una aplicación que se sabe que es segura.

4. Dispositivos obsoletos

Los smartphones, tabletas y dispositivos conectados más pequeños -comúnmente conocidos como Internet de las cosas (IoT)- representan un nuevo riesgo para la seguridad empresarial ya que, a diferencia de los dispositivos de trabajo tradicionales, generalmente no cuentan con garantías de actualizaciones de software oportunas y continuas. Esto es particularmente cierto en el frente de Android, donde la gran mayoría de los fabricantes son vergonzosamente ineficaces para mantener sus productos actualizados -tanto con las actualizaciones del sistema operativo (OS) como con los parches de seguridad mensuales-, y también ineficientes con los dispositivos IoT, muchos de los cuales ni siquiera están diseñados para obtener actualizaciones en primer lugar.

"Muchos de ellos ni siquiera tienen un mecanismo de patching incorporado, y eso se está convirtiendo cada vez más en una amenaza actualmente", asegura Du.

Aparte de la mayor probabilidad de ataque, un uso extensivo de plataformas móviles eleva el costo general de una violación de datos, según Ponemon; y la abundancia de productos de IoT conectados con el trabajo solo hace que esa cifra siga aumentando. La Internet de las cosas (IoT, por sus siglas en inglés) es "una puerta abierta", según la firma de ciberseguridad Raytheon, que patrocinó una investigación que muestra que el 82% de los profesionales de TI predijeron que los dispositivos de IoT sin garantía causarían una violación de datos -probablemente "catastrófica"- dentro de su organización.

Una vez más, una política fuerte contribuye considerablemente. Sí existen dispositivos Android que reciben actualizaciones constantes, oportunas y confiables. Hasta que el panorama de IoT se vuelva menos salvaje, recae sobre una empresa la creación de su propia red de seguridad.

5. Ataques de cryptojacking

El cryptojacking, una adición relativamente nueva a la lista de amenazas móviles relevantes, es un tipo de ataque en el que alguien usa un dispositivo para extraer criptomoneda sin el conocimiento del propietario. Si todo esto suena como una gran cantidad de galimatías técnicas, simplemente sepa esto: el proceso de cryptomining utiliza los dispositivos de su compañía para el beneficio de otra persona. Se apoya mucho en su tecnología para hacerlo, lo que significa que los teléfonos afectados probablemente experimenten mala duración de la batería, e incluso podrían sufrir daños debido al sobrecalentamiento de los componentes.

Si bien el cryptojacking se originó en los equipos de escritorio, experimentó un aumento repentino en los dispositivos móviles desde fines del 2017 hasta principios del 2018. La extracción de criptomonedas no deseada representó un tercio de todos los ataques en la primera mitad del 2018, según un análisis de Skybox Security, con un aumento del 70% de prominencia durante ese periodo en comparación con el semestre anterior. Además, los ataques de cryptojacking específicos para dispositivos móviles explotaron entre octubre y noviembre del 2017, cuando la cantidad de dispositivos móviles afectados experimentó un aumento del 287%, según un informe de Wandera.

Desde entonces, las cosas se han enfriado un poco, especialmente en el dominio móvil; un movimiento que se debe en gran parte a la prohibición de las apps de minería de criptomonedas en App Store iOS de Apple y Google Play Store asociado a Android en junio y julio, respectivamente. Sin embargo, las firmas de seguridad señalan que los ataques continúan teniendo cierto nivel de éxito a través de sitios web móviles (o incluso anuncios maliciosos en sitios web móviles) y apps descargadas de terceros no oficiales.

Los analistas también han señalado la posibilidad de cryptojacking mediante decodificadores conectados a internet, que algunas empresas usan para la transmisión de videos. Según la firma de seguridad Rapid7, los hackers han encontrado una forma de aprovechar una aparente laguna que hace que el Android Debug Bridge -una herramienta de línea de comandos destinada solo para uso de desarrolladores- sea accesible y esté listo para el abuso en tales productos.

Por ahora, no existe gran respuesta, aparte de seleccionar los dispositivos con cuidado y seguir una política que requiere que los usuarios descarguen aplicaciones solo desde la tienda oficial de la plataforma, donde se reduce notablemente la posibilidad de código de cryptojacking. Y, de manera realista, no hay indicios de que la mayoría de las empresas están bajo una amenaza significativa o inmediata, particularmente por las medidas preventivas que se están tomando en toda la industria. Aun así, dada la actividad fluctuante y el creciente interés en esta área durante los últimos meses, es algo que vale la pena tener en cuenta y vigilar a medida que progresa el 2019.

6. Seguridad de contraseñas deficiente

Uno pensaría que ya habríamos superado este punto, pero de alguna manera, los usuarios aún no están protegiendo sus cuentas correctamente; y cuando llevan teléfonos que contienen cuentas de la empresa y otras personales, puede ser particularmente problemático.

Una nueva encuesta realizada por Google y Harris Poll encontró que poco más de la mitad de los estadounidenses, según la muestra de la encuesta, reutiliza las contraseñas en varias cuentas. Igual de preocupante, casi un tercio no usa la autenticación de dos factores (o ni siquiera sabe si la está utilizando, lo que podría ser un poco peor). Y solo una cuarta parte de las personas está utilizando activamente un administrador de contraseñas, lo que sugiere que la gran mayoría probablemente no tiene contraseñas sólidas, ya que se supone que las generan y las recuerdan por su propia cuenta.

Las cosas solo empeoran a partir de ahí: según un análisis de LastPass del 2018, la mitad de profesionales usan las mismas contraseñas tanto para cuentas del trabajo como para las personales. Y si eso no es suficiente, un empleado promedio comparte aproximadamente seis contraseñas con un compañero de trabajo en el transcurso de su empleo, según el análisis.

Para que no piense que todo esto es mucho ruido y pocas nueces, en el 2017, Verizon encontró que las contraseñas débiles o robadas eran culpable de más del 80% de las infracciones relacionadas con el hacking en empresas. Imagínese un dispositivo móvil donde los trabajadores desean iniciar sesión rápidamente en varias aplicaciones, sitios y servicios, y piense en el riesgo que corren los datos de su organización si incluso una sola persona escribe la misma contraseña que usa para una cuenta empresarial en un anuncio de un sitio minorista, una aplicación de chat o un foro de mensajes. Ahora, combine ese riesgo con el riesgo mencionado sobre interferencia de Wi-Fi, multiplíquelo por la cantidad total de empleados en su lugar de trabajo, y reflexione sobre las capas de posibles puntos de exposición que se sobreponen rápidamente.

Tal vez, lo más irritante de todo es que la mayoría de las personas parece ignorar por completo sus descuidos en esta área. En la encuesta de Google y Harris Poll, el 69% de los encuestados se dieron a sí mismos una "A" o "B" por proteger de manera efectiva sus cuentas en línea, a pesar de respuestas posteriores que indicaban lo contrario. Claramente no se puede confiar en la evaluación propia de un usuario sobre el tema.

7. Violaciones del dispositivo físico

Por último, algo que parece especialmente tonto, pero sigue siendo una amenaza perturbadora y realista: un dispositivo perdido o desatendido puede ser un riesgo importante para la seguridad, especialmente si no cuenta con un PIN o contraseña sólida, y un cifrado completo de datos.

Considere lo siguiente: En un estudio de Ponemon del 2016, el 35% de los profesionales indicó que sus dispositivos de trabajo no contaban con medidas obligatorias para proteger los datos corporativos accesibles. Peor aún, casi la mitad de los encuestados dijeron que no tenían contraseña, PIN o seguridad biométrica que protegiera sus dispositivos; y cerca de dos tercios dijeron que no usaban cifrado. El 78$ de los interrogados indicó que a veces compartían contraseñas a través de cuentas personales y de trabajo a las que se accedía a través de sus dispositivos móviles.

La moraleja es simple: dejar la responsabilidad en manos de los usuarios no es suficiente. No haga suposiciones; haga políticas. Se lo agradecerá a sí mismo más tarde.