Llegamos a ustedes gracias a:



Reportajes y análisis

7 amenazas a la seguridad móvil

Que debería tomar en serio en el 2019

[29/07/2019] La seguridad móvil está en la cima de la lista de preocupaciones de todas las empresas hoy en día, y por una buena razón: Casi todos los trabajadores acceden de forma rutinaria a los datos corporativos desde teléfonos inteligentes, y eso significa que mantener la información sensible fuera de las manos equivocadas es un rompecabezas cada vez más complejo. Las apuestas, basta decir, son más altas que nunca: El costo promedio de una violación de datos corporativos es de la friolera de 3,86 millones de dólares, según un informe de 2018 del Ponemon Institute. Eso es un 6,4% más que el costo estimado del año anterior.

Aunque es fácil centrarse en el sensacional tema del malware, la verdad es que las infecciones de malware móvil son increíblemente poco comunes en el mundo real, con una probabilidad significativamente menor de ser infectado que de ser alcanzado por un rayo, según una estimación. De hecho, el malware se clasifica actualmente como la acción inicial menos común en los incidentes de violación de datos, y se sitúa por detrás incluso de los ataques físicos en el Informe de investigaciones de violación de datos 2019 de Verizon. Esto se debe tanto a la naturaleza del malware móvil como a las protecciones inherentes a los sistemas operativos móviles modernos.

Los peligros de seguridad móvil más realistas se encuentran en algunas áreas fácilmente ignoradas, todas las cuales se espera que se vuelvan más apremiantes a medida que avancemos en el 2019:

1. Fuga de datos

Puede sonar como un diagnóstico del urólogo robótico, pero la fuga de datos es ampliamente vista como una de las amenazas más preocupantes para la seguridad de la empresa en el 2019. ¿Recuerda esas probabilidades casi inexistentes de estar infectado con malware? Bueno, cuando se trata de una violación de datos, las empresas tienen casi un 28% de probabilidades de experimentar al menos un incidente en los próximos dos años, según las últimas investigaciones de Ponemon: en otras palabras, probabilidades de más de una en cuatro.

Lo que hace que el problema sea especialmente irritante es que a menudo no es nefasto por naturaleza, sino que se trata de que los usuarios tomen decisiones equivocadas -sin querer- sobre qué aplicaciones pueden ver y transferir su información.

"El principal desafío es cómo implementar un proceso de investigación de aplicaciones que no abrume al administrador y no frustre a los usuarios", señala Dionisio Zumerle, director de investigación de seguridad móvil de Gartner. Sugiere recurrir a las soluciones de defensa contra amenazas móviles (MTD, por sus siglas en inglés), productos como Endpoint Protection Mobile de Symantec, SandBlast Mobile de CheckPoint y Zimperium ZIPS Protection. Tales utilidades analizan las aplicaciones en busca de un "comportamiento permeable", indica Zumerle, y pueden automatizar el bloqueo de procesos problemáticos.

Por supuesto, incluso eso no siempre cubrirá las fugas que se producen como resultado de un error manifiesto del usuario, algo tan simple como transferir archivos de la empresa a un servicio público de almacenamiento en nube, pegar información confidencial en el lugar equivocado, o reenviar un correo electrónico a un destinatario no deseado. Ese es un reto que la industria de la salud está luchando actualmente por superar: Según la aseguradora especializada Beazley, la "revelación accidental" fue la causa principal de las brechas de datos reportadas por las organizaciones de salud en el tercer trimestre del 2018. Esa categoría, combinada con las fugas de información privilegiada, representó casi la mitad de todas las infracciones notificadas durante ese período de tiempo.

Para ese tipo de fuga, las herramientas de prevención de pérdida de datos (DLP, por sus siglas en inglés) pueden ser la forma más eficaz de protección. Dicho software está diseñado explícitamente para evitar la exposición de información sensible, incluso en escenarios accidentales.

2. Ingeniería social

La probada y verdadera táctica del engaño es tan preocupante en el frente móvil como en las computadoras de escritorio. A pesar de la facilidad con la que uno pensaría que los contras de la ingeniería social podrían ser evitados, siguen siendo asombrosamente efectivos.

El 91% de los delitos cibernéticos comienzan con el correo electrónico, según un informe del 2018 de la empresa de seguridad FireEye. La firma se refiere a incidentes como "ataques sin malware", ya que se basan en tácticas como la suplantación de identidad para engañar a la gente para que hagan clic en enlaces peligrosos o proporcionen información confidencial. El phishing, específicamente, creció un 65% en el transcurso del 2017, anota la compañía, y los usuarios móviles corren el mayor riesgo de caer en él, debido a la forma en que muchos clientes de correo electrónico móvil solo muestran el nombre del remitente, lo que hace especialmente fácil falsificar mensajes y engañar a una persona para que piense que un mensaje de correo electrónico es de alguien que conoce o en quien confía.

Según un estudio de IBM, los usuarios tienen tres veces más probabilidades de responder a un ataque de phishing en un dispositivo móvil que en una computadora de escritorio, en parte porque es en un teléfono donde es más probable que la gente vea un mensaje por primera vez. La investigación más reciente de Verizon respalda esta conclusión, y agrega que los tamaños de pantalla más pequeños y la correspondiente visualización limitada de información detallada en los teléfonos inteligentes (particularmente en las notificaciones, que ahora frecuentemente incluyen opciones de un solo toque para abrir enlaces o responder a mensajes) también pueden aumentar la probabilidad de éxito de la suplantación de identidad (phishing).

Más allá de eso, la colocación prominente de botones orientados a la acción en los clientes de correo electrónico móvil, y la manera desenfocada y multitarea en la que los trabajadores tienden a utilizar los teléfonos inteligentes, amplifican el efecto; y el hecho de que la mayor parte del tráfico web esté ocurriendo ahora en los dispositivos móviles, solo anima aún más a los atacantes a dirigirse a ese frente.

Ya no es solo correo electrónico, tampoco: Como señaló la empresa de seguridad empresarial Wandera en su último informe sobre amenazas móviles, el 83% de los ataques de phishing del año pasado tuvieron lugar fuera de la bandeja de entrada, en mensajes de texto o en aplicaciones como Facebook Messenger y WhatsApp, junto con una variedad de juegos y servicios de medios sociales.

Es más, mientras que solo un porcentaje de un dígito de los usuarios hacen clic en los enlaces relacionados con el phishing -entre el 1% y el 5%, dependiendo de la industria, según los datos más recientes de Verizon-, una investigación anterior de Verizon indica que esas personas crédulas tienden a ser delincuentes reincidentes. La empresa señala que cuantas más veces alguien haya hecho clic en un enlace de una campaña de phishing, es más probable que lo haga de nuevo en el futuro. Verizon ha informado anteriormente que el 15% de los usuarios que reciben phishing con éxito, lo recibirán al menos una vez más en el mismo año.

"Vemos un aumento general de la susceptibilidad a la movilidad impulsado por el aumento de la informática móvil en general [y] el crecimiento continuo de los entornos de trabajo BYOD", afirma John "Lex" Robinson, estratega de seguridad de la información y lucha contra la suplantación de identidad de PhishMe, una empresa que utiliza simulaciones del mundo real para formar a los trabajadores en el reconocimiento de los intentos de ataques de phishing y en la respuesta a los mismos.

Robinson señala que la línea entre la informática laboral y la personal también sigue difuminándose. Cada vez más trabajadores están viendo múltiples bandejas de entrada -conectadas a una combinación de cuentas de trabajo y personales- juntas en un teléfono inteligente, señala, y casi todo el mundo lleva a cabo algún tipo de negocio personal en línea durante la jornada laboral. En consecuencia, la noción de recibir lo que parece ser un correo electrónico personal junto con mensajes relacionados con el trabajo no parece en absoluto inusual en la superficie, incluso si de hecho puede ser una treta.

Las apuestas solo siguen subiendo más alto. Aparentemente, los ciberdelincuentes están utilizando el phishing para tratar de engañar a la gente para que renuncien a los códigos de autenticación de dos factores diseñados para proteger las cuentas contra el acceso no autorizado. La autenticación basada en hardware, ya sea a través de claves de seguridad físicas dedicadas como Titan de Google o YubiKeys de Yubico, o a través de la opción de clave de seguridad en el dispositivo de Google para teléfonos Android, se considera la forma más eficaz de aumentar la seguridad y reducir las probabilidades de que se produzca una adquisición basada en el phishing.

Según un estudio realizado por Google, la Universidad de Nueva York y la Universidad de California en San Diego, incluso la autenticación en el dispositivo puede evitar el 99% de los ataques de phishing masivo y el 90% de los ataques dirigidos, en comparación con una tasa de efectividad del 96% y el 76% para esos mismos tipos de ataques con los códigos 2FA más sensibles al phishing.

3. Interferencia Wi-Fi

Un dispositivo móvil es tan seguro como la red a través de la cual transmite datos. En una época en la que todos nos conectamos constantemente a redes Wi-Fi públicas, eso significa que nuestra información a menudo no es tan segura como se podría suponer.

¿Cuán significativa es esta preocupación? Según un estudio de Wandera, los dispositivos móviles corporativos utilizan Wi-Fi casi tres veces más que los datos celulares. Casi una cuarta parte de los dispositivos se han conectado a redes Wi-Fi abiertas y potencialmente inseguras, y el 4% de los dispositivos se han encontrado con un ataque del tipo "hombre en el medio" -en el que alguien intercepta maliciosamente la comunicación entre dos partes- durante el mes más reciente. McAfee, por su parte, señala que la suplantación de identidad en la red ha aumentado "drásticamente" últimamente y, sin embargo, menos de la mitad de las personas se molestan en asegurar su conexión mientras viajan y dependen de las redes públicas.

"Hoy en día, no es difícil encriptar el tráfico", comenta Kevin Du, profesor de ciencias de la computación en la Universidad de Syracuse, especializado en seguridad de teléfonos inteligentes. "Si no tiene una VPN, deja muchas puertas abiertas en su perímetro".

Sin embargo, seleccionar la VPN de clase empresarial adecuada no es tan fácil. Al igual que con la mayoría de las consideraciones relacionadas con la seguridad, casi siempre se requiere una compensación. "La entrega de VPNs tiene que ser más inteligente con los dispositivos móviles, ya que minimizar el consumo de recursos -principalmente la batería- es primordial", señala Zumerle de Gartner. Una VPN efectiva debería saber que debe activarse solo cuando sea absolutamente necesario, añade, y no cuando un usuario está accediendo a algo como un sitio de noticias o trabajando dentro de una aplicación que se sabe que es segura.

4. Dispositivos obsoletos

Los teléfonos inteligentes, las tabletas y los dispositivos conectados más pequeños -conocidos comúnmente como la Internet de los objetos (IoT, por sus siglas en inglés)- plantean un nuevo riesgo para la seguridad de la empresa, ya que, a diferencia de los dispositivos de trabajo tradicionales, por lo general no ofrecen garantías de actualizaciones de software oportunas y continuas. Esto es particularmente cierto en el frente Android, donde la gran mayoría de los fabricantes son vergonzosamente ineficaces a la hora de mantener sus productos actualizados, tanto con las actualizaciones del sistema operativo (SO) como con los pequeños parches de seguridad mensuales entre ellos, así como con los dispositivos de IoT, muchos de los cuales ni siquiera están diseñados para obtener actualizaciones en primer lugar.

"Muchos de ellos ni siquiera tienen un mecanismo de parches incorporado, y eso se está convirtiendo cada vez más en una amenaza en estos días", anota Du.

Más allá del aumento de la probabilidad de ataques, un uso extensivo de plataformas móviles eleva el costo total de una violación de datos, según Ponemon, y una abundancia de productos de IoT conectados al trabajo solo hace que esa cifra aumente aún más. La Internet de los objetos es "una puerta abierta", según la empresa de ciberseguridad Raytheon, que patrocinó una investigación que demostró que el 82% de los profesionales de TI predijo que los dispositivos de IoT no seguros causarían una violación de datos -probablemente "catastrófica"- dentro de su organización.

Una vez más, una política fuerte llega muy lejos. Hay dispositivos Android que reciben actualizaciones continuas, oportunas y fiables. Hasta que el paisaje de la IoT no se convierta en un salvaje oeste, recae sobre una empresa la tarea de crear su propia red de seguridad a su alrededor.

5. Ataques de Cryptojacking

Una adición relativamente nueva a la lista de amenazas móviles relevantes; el criptojacking es un tipo de ataque en el que alguien utiliza un dispositivo para extraer criptocurrency sin el conocimiento del propietario. Si todo eso suena como un montón de tonterías técnicas, que lo sepa: El proceso de criptominado utiliza los dispositivos de su empresa para el beneficio de otra persona. Se apoya en gran medida en su tecnología para hacerlo -lo que significa que los teléfonos afectados probablemente experimentarán una pobre duración de la batería, e incluso podrían sufrir daños debido al sobrecalentamiento de los componentes.

Mientras que el criptojacking se originó en el escritorio, vio un aumento en los móviles desde finales del 2017 hasta principios del 2018. Según un análisis de Skybox Security, la minería criptográfica no deseada representó un tercio de todos los ataques en el primer semestre del 2018, con un aumento del 70% en prominencia durante ese período en comparación con el semestre anterior. Y los ataques de criptojacking específicos para móviles explotaron absolutamente entre octubre y noviembre del 2017, cuando el número de dispositivos móviles afectados experimentó un aumento del 287%, según un informe de Wandera.

Desde entonces, las cosas se han enfriado un poco, especialmente en el dominio móvil, una medida que se ha visto favorecida en gran medida por la prohibición de las aplicaciones de minería de criptocurrency tanto en la iOS App Store de Apple como en la Google Play Store, asociadas a Android, en junio y julio, respectivamente. Aun así, las empresas de seguridad señalan que los ataques siguen teniendo cierto nivel de éxito a través de sitios web para móviles (o incluso a través de anuncios maliciosos en sitios web para móviles), y a través de aplicaciones descargadas de mercados no oficiales de terceros.

Los analistas también han señalado la posibilidad de criptojacking a través de decodificadores conectados a Internet, que algunas empresas pueden utilizar para el streaming y el video casting. Según la empresa de seguridad Rapid7, los hackers han encontrado la manera de aprovechar una aparente laguna que hace que el Android Debug Bridge -una herramienta de línea de comandos destinada únicamente al uso de los desarrolladores- sea accesible y esté listo para el abuso en dichos productos.

Por ahora, no hay una gran respuesta -aparte de seleccionar los dispositivos cuidadosamente y seguir con una política que requiere que los usuarios descarguen aplicaciones solo desde la tienda oficial de la plataforma, donde el potencial para el criptojacking de código se reduce notablemente-; y, de manera realista, no hay indicios de que la mayoría de las empresas se encuentren bajo ninguna amenaza significativa o inmediata, particularmente dadas las medidas preventivas que se están tomando en toda la industria. Aun así, dada la fluctuación de la actividad y el creciente interés en esta área en los últimos meses, es algo que vale la pena tener en cuenta y vigilar a medida que avance el año 2019.

6. Contraseñas débiles

Pensaría que ya habríamos superado este punto, pero de alguna manera, los usuarios todavía no están protegiendo sus cuentas adecuadamente, y cuando llevan teléfonos que contienen tanto cuentas de la empresa como inicios de sesión personales, esto puede ser particularmente problemático.

Una encuesta reciente de Google y Harris Poll encontró que poco más de la mitad de los estadounidenses, basándose en la muestra de la encuesta, reutilizan las contraseñas en varias cuentas. Igualmente preocupante, casi un tercio no está usando 2FA (o no sabe si lo está usando -lo cual podría ser un poco peor). Solo una cuarta parte de la gente está usando activamente un administrador de contraseñas, lo que sugiere que la gran mayoría de la gente probablemente no tiene contraseñas particularmente fuertes en la mayoría de los lugares, ya que presumiblemente las están generando y recordando por su cuenta.

Las cosas solo empeoran a partir de ahí: Según un análisis de LastPass 2018, la mitad de los profesionales utilizan las mismas contraseñas tanto para las cuentas de trabajo como para las personales. Y, por si fuera poco, un empleado promedio comparte unas seis contraseñas con un compañero de trabajo en el transcurso de su empleo, encontró el análisis.

Para que no piense que todo esto es una tontería; en el 2017, Verizon descubrió que las contraseñas débiles o robadas eran las culpables de más del 80% de las infracciones relacionadas con la piratería informática en las empresas. Desde un dispositivo móvil en particular, donde los trabajadores desean iniciar sesión rápidamente en varias aplicaciones, sitios y servicios, piense en el riesgo que corren los datos de su organización si incluso una sola persona escribe de forma descuidada la misma contraseña que utiliza para una cuenta de la empresa en un aviso en un sitio minorista aleatorio, una aplicación de chat o un foro de mensajes. Ahora combine ese riesgo con el riesgo de interferencia Wi-Fi mencionado anteriormente, multiplíquelo por el número total de empleados en su lugar de trabajo, y piense en las capas de puntos de exposición probables que se están acumulando rápidamente.

Tal vez lo más molesto de todo es que la mayoría de la gente parece completamente ajena a sus omisiones en esta área. En la encuesta de Google y Harris Poll, el 69% de los encuestados se dieron una "A" o "B" para proteger eficazmente sus cuentas en línea, a pesar de que las respuestas posteriores indicaban lo contrario. Claramente, no se puede confiar en la propia evaluación de un usuario sobre el asunto.

7. Violaciones físicas del dispositivo

Por último, pero no por ello menos importante, es algo que parece especialmente tonto, pero que sigue siendo una amenaza inquietantemente realista: Un dispositivo perdido o desatendido puede ser un riesgo importante para la seguridad, especialmente si no tiene un PIN o contraseña fuerte y un cifrado completo de los datos.

Considere lo siguiente: En un estudio de Ponemon del 2016, el 35% de los profesionales indicaron que sus dispositivos de trabajo no tenían medidas obligatorias para asegurar datos corporativos accesibles. Peor aún, casi la mitad de los encuestados dijeron que no tenían contraseña, PIN o seguridad biométrica para proteger sus dispositivos, y cerca de dos tercios dijeron que no usaban encriptación. El 68% de los encuestados indicaron que a veces compartían contraseñas entre cuentas personales y de trabajo a las que accedían a través de sus dispositivos móviles.

Las cosas no parecen estar mejorando. En su análisis del panorama de amenazas móviles del 2019, Wandera descubrió que el 43% de las empresas tenían al menos un teléfono inteligente en su lista sin ninguna seguridad en la pantalla de bloqueo. Y entre los usuarios que sí configuraron contraseñas o PIN en sus dispositivos, la empresa informa que muchos optaron por utilizar el código de cuatro caracteres como mínimo, cuando se les dio la oportunidad.

El mensaje para llevar a casa es simple: Dejar la responsabilidad en manos de los usuarios no es suficiente. No haga suposiciones; haga políticas. Se lo agradecerá más tarde.