[22/03/2021] La seguridad móvil es una de las principales preocupaciones de las empresas en la actualidad y con razón: casi todos los trabajadores acceden ahora de forma rutinaria a los datos de la empresa desde los smartphones, una tendencia que se ha acentuado gracias a la actual pandemia mundial. La gran mayoría de los dispositivos que interactúan con los datos corporativos son ahora móviles, de hecho, alrededor del 60%, según Zimperium, y esa cifra solo va a seguir aumentando a medida que el mundo se aclimate a nuestra nueva realidad de trabajo remoto.
Todo esto significa que mantener la información sensible fuera de las manos equivocadas es un rompecabezas cada vez más intrincado. Los riesgos son mayores que nunca: según un informe del 2020 del Instituto Ponemon, el costo promedio de una filtración de datos en una empresa asciende a 3,86 millones de dólares. Esto supone un 6,4% más que el costo estimado solo tres años antes, y se espera que la naturaleza de la pandemia haga que éste aumente aún más, dados los retos adicionales que presenta el trabajo remoto.
Aunque es fácil centrarse en el tema sensacionalista del malware, la verdad es que las infecciones por malware en el móvil son poco comunes en el mundo real: según una estimación memorable, las probabilidades de ser infectado son significativamente menores que las de que te caiga un rayo. Asimismo, tal y como señala el informe de Verizon sobre investigaciones de filtraciones de datos en el 2020, el malware es una de las acciones iniciales menos comunes en los incidentes de filtración de datos. Esto se debe tanto a la naturaleza del malware móvil, como a las protecciones inherentes a los sistemas operativos móviles modernos.
Los peligros más reales para la seguridad móvil residen en algunas áreas a menudo infravaloradas, las cuales se espera que se vuelvan más apremiantes en los próximos meses:
1. Ingeniería social
La táctica probada del engaño es más preocupante que nunca a la luz de la pandemia, y eso es especialmente cierto en el frente móvil. Según Zimperium, los ataques de phishing se han multiplicado por seis desde el inicio de COVID y los dispositivos móviles son ahora el principal objetivo -específicamente, con esquemas conectados a COVID en aumento.
"Los estafadores saben que la gente trabaja desde casa, pasa más tiempo en sus dispositivos móviles y no toma las mismas precauciones que en las computadoras tradicionales", afirma Nico Chiaraviglio, vicepresidente de investigación de seguridad de Zimperium. "Desde la perspectiva de un atacante, es la oferta y la demanda".
¿Cree que no puede afectar a su empresa? Piénselo de nuevo. Según un informe de la empresa de seguridad FireEye, un asombroso 91% de la delincuencia cibernética comienza por el correo electrónico. Se refiere a estos incidentes como "ataques sin malware", ya que se basan en tácticas como la suplantación de identidad, para engañar a la gente para que haga clic en enlaces peligrosos o proporcione información sensible. De acuerdo con la empresa mencionada líneas más arriba, el phishing ha crecido rápidamente en los últimos años, y los usuarios móviles corren mayor riesgo de caer en él debido a que muchos clientes de correo electrónico para móviles solo muestran el nombre del remitente -lo que hace que sea especialmente fácil falsificar mensajes y engañar a una persona haciéndole creer que un correo es de alguien que conoce o en quien confía.
Es más, a pesar de la facilidad con la que uno pensaría que se pueden evitar las estafas de ingeniería social, siguen siendo asombrosamente eficaces en el ámbito móvil. Según un estudio de IBM, los usuarios son tres veces más propensos a responder a un ataque de phishing en un dispositivo móvil que en una PC, en parte porque el teléfono es el lugar donde es más probable que la gente vea por primera vez un mensaje. El estudio de Verizon respalda esta conclusión, y añade que el menor tamaño de la pantalla y la correspondiente visualización limitada de información detallada en los smartphones (especialmente en las notificaciones, que a menudo incluyen opciones de un solo toque para abrir enlaces o responder a los mensajes), también pueden aumentar la probabilidad de éxito del phishing.
Además, la ubicación prominente de los botones orientados a la acción en los clientes de correo electrónico móviles, y la forma desenfocada y orientada a la multitarea en que los trabajadores tienden a utilizar los smartphones, amplifican el efecto. El hecho de que la mayor parte del tráfico web se produzca ahora en los dispositivos móviles, no hace más que animar a los atacantes a dirigirse a ese frente.
Aunque, según los datos más recientes de Verizon, solo el 3,4% de los usuarios hace clic en los enlaces relacionados con el phishing, un estudio anterior indica que esos crédulos tienden a ser reincidentes. La empresa señala que cuantas más veces haya hecho alguien clic en un enlace de una campaña de phishing, más probable es que lo vuelva a hacer en el futuro. Verizon ha informado anteriormente que el 15% de los usuarios que son víctimas de un phishing con éxito, lo serán al menos una vez más en el mismo año.
"Vemos un aumento general de la susceptibilidad móvil impulsado por el aumento de la informática móvil en general [y] el continuo crecimiento de los entornos de trabajo BYOD”, señala John "Lex" Robinson, estratega de seguridad de la información y antiphishing de PhishMe, una empresa que utiliza simulaciones del mundo real para formar a los trabajadores en el reconocimiento y la respuesta a los intentos de phishing.
Robinson señala que la línea que separa la informática laboral de la personal sigue difuminándose. Cada vez más trabajadores ven varias bandejas de entrada -conectadas a una combinación de cuentas laborales y personales- juntas en un smartphone, señala, y casi todo el mundo lleva a cabo algún tipo de negocio personal en línea durante la jornada laboral (incluso cuando no hay una pandemia activa y se obliga a trabajar desde casa). Por lo tanto, la idea de recibir lo que parece ser un correo electrónico personal junto con los mensajes relacionados con el trabajo no parece en absoluto inusual en la superficie, incluso si en realidad puede ser una artimaña.
Los riesgos no hacen más que aumentar. Los ciberdelincuentes utilizan el phishing incluso para tratar de engañar a la gente para que entregue los códigos de autenticación de dos factores diseñados para proteger las cuentas de accesos no autorizados. Recurrir a la autenticación basada en hardware -ya sea a través de llaves de seguridad físicas dedicadas, como la Titan de Google o la YubiKeys de Yubico, o a través de la opción de llave de seguridad en el dispositivo de Google -se considera la forma más eficaz de aumentar la seguridad y disminuir las probabilidades de una toma de posesión basada en el phishing.
Según un estudio llevado a cabo por Google, la Universidad de Nueva York y la Universidad de California en San Diego, la autenticación en el dispositivo puede evitar el 99% de los ataques de phishing masivos y el 90% de los ataques dirigidos, en comparación con una tasa de eficacia del 96% y el 76% para esos mismos tipos de ataques con los códigos 2FA tradicionales, más susceptibles al phishing.
Además de eso, el entrenamiento específico para móviles y un software de detección de phishing cuidadosamente seleccionado son las formas más inteligentes de evitar que los empleados de una empresa se conviertan en las próximas víctimas del phishing. "Usted es tan fuerte como el eslabón más débil de la cadena", señala Chiaraviglio de Zimperium.
2. Fuga de datos
Puede sonar como un diagnóstico del urólogo robot, pero la fuga de datos es considerada como una de las amenazas más preocupantes para la seguridad de las empresas en el 2021, y también una de las más costosas. Según la última investigación de IBM y el Instituto Ponemon, tener un equipo puramente remoto puede aumentar el costo medio de una filtración de datos en 137 mil dólares.
Lo que hace que el problema sea especialmente molesto, es que a menudo no es nefasto por naturaleza. Más bien, se trata de que los usuarios toman inadvertidamente decisiones desacertadas sobre las aplicaciones que pueden ver y a las que pueden transferir su información.
"El principal reto es cómo implementar un proceso de revisión de aplicaciones que no abrume al administrador y no frustre a los usuarios", afirma Dionisio Zumerle, director de investigación de seguridad móvil de Gartner. Lo que sugiere es recurrir a soluciones de defensa contra amenazas móviles (MTD), como Endpoint Protection Mobile de Symantec, SandBlast Mobile de CheckPoint y zIPS Protection de Zimperium. Estas utilidades escanean las aplicaciones en busca de "comportamientos sospechosos", anota Zumerle, y pueden automatizar el bloqueo de los procesos problemáticos.
Incluso eso no siempre cubrirá las fugas que se producen como resultado de un error manifiesto del usuario -algo tan simple como transferir archivos de la empresa a un servicio de almacenamiento en la nube pública, pegar información confidencial en el lugar equivocado, o reenviar un correo electrónico a un destinatario no deseado. Para este tipo de fugas, las herramientas de prevención de pérdida de datos (DLP) pueden ser la forma más eficaz de protección. Este tipo de software está diseñado explícitamente para prevenir la exposición de información sensible, incluso en escenarios accidentales.
3. Interferencias del Wi-Fi
Un dispositivo móvil es tan seguro como la red a través de la cual transmite los datos. En una época en la que todos nos conectamos constantemente a redes que pueden no estar óptimamente protegidas, ya sean redes domésticas mal configuradas, para trabajadores remotos o redes Wi-Fi públicas, nuestra información no suele estar tan protegida como podríamos suponer.
¿Hasta qué punto es un problema importante? Según un estudio de Wandera, en un año normal, los dispositivos móviles de las empresas utilizan el Wi-Fi casi tres veces más que los datos celulares. En un mes promedio, casi una cuarta parte de los dispositivos se conectan a redes Wi-Fi abiertas y potencialmente inseguras, y el 4% de los dispositivos sufren un ataque man-in-the-middle, en el que alguien intercepta maliciosamente la comunicación entre dos partes. Estas cifras disminuyeron el año pasado debido a la reducción de los viajes y al menor número de negocios físicos abiertos durante el COVID-19, pero eso no significa que la amenaza haya desaparecido o que no sea necesario mantenerse a la vanguardia, incluso cuando los empleados trabajan principalmente desde casa.
"En lugar de confiar en la detección de ataques man-in-the-middle para ser reactivos, recomendamos que las organizaciones adopten un enfoque más proactivo para asegurar las conexiones remotas", anota Michael Covington, vicepresidente de producto de Wandera. "Lo más fácil que pueden hacer las empresas para fomentar una seguridad Wi-Fi adecuada es simplemente adoptar un modelo de acceso a la red de confianza cero para el trabajo remoto."
4. Dispositivos obsoletos
Los smartphones, las tabletas y los dispositivos más pequeños conectados -el internet de las cosas (IoT, por sus siglas en inglés)- suponen un riesgo para la seguridad de las empresas en la medida en que, a diferencia de los dispositivos de trabajo tradicionales, generalmente no vienen con garantías de actualizaciones de software oportunas y continuas. Esto es especialmente evidente en el frente de Android, donde la gran mayoría de los fabricantes son vergonzosamente ineficaces a la hora de mantener sus productos al día -tanto con las actualizaciones del sistema operativo, como con los pequeños parches de seguridad mensuales-, así como con los dispositivos IoT, muchos de los cuales ni siquiera están diseñados para recibir actualizaciones.
"Muchos de ellos ni siquiera tienen un mecanismo de parcheo incorporado, y eso se está convirtiendo en una amenaza cada vez mayor", sostiene Kevin Du, profesor de ciencias de la computación de la Universidad de Syracuse, especializado en seguridad de smartphones.
De acuerdo con Wandera, en el 2020, alrededor del 28% de las empresas confiaban en dispositivos que no solo tenían un software de sistema operativo obsoleto, sino que tenían un software con una vulnerabilidad de seguridad conocida. "Aunque no cabe duda de que existe una tendencia a permitir el uso de más dispositivos no gestionados por parte de los trabajadores remotos, la situación actual parece haber puesto de relieve los riesgos reales que surgen cuando la postura de seguridad se vuelve demasiado laxa", afirma Covington.
Además de la preocupación centrada en la pandemia, los datos de Wandera indican un aumento del 100% en las conexiones a "contenido inapropiado" durante las horas de trabajo desde el comienzo de la crisis de COVID-19 -y, bueno, ese tipo de sitios son conocidos por tratar de engañar a los visitantes para que descarguen material sospechoso (o eso he oído). Un sistema operativo obsoleto hace que cualquier tipo de material de riesgo sea aún más riesgoso, ya que es posible que no existan las protecciones adecuadas.
Según Ponemon, aparte de la mayor probabilidad de ataque, el uso extensivo de plataformas móviles eleva el costo global de una violación de datos y la abundancia de productos de IoT conectados al trabajo solo hace que esa cifra aumente. El IoT es "una puerta abierta", como dice la empresa de ciberseguridad Raytheon. Esta financió una investigación que mostró que el 82% de los profesionales de TI predijeron que los dispositivos IoT no seguros causarían una violación de datos -probablemente "catastrófica"- dentro de su organización.
Sin embargo, una política sólida puede hacer mucho. Algunos dispositivos Android reciben actualizaciones continuas, oportunas y fiables, y se pueden tomar medidas para mejorar la seguridad de prácticamente cualquier teléfono. Hasta que el panorama de IoT no se vuelva menos salvaje, corresponde a una empresa crear su propia red de seguridad a su alrededor.
5. Mala higiene de las contraseñas
Se podría pensar que ya hemos superado este punto, pero de alguna manera, los usuarios siguen sin asegurar sus cuentas adecuadamente. Cuando tienen teléfonos que contienen tanto cuentas de empresa como inicios de sesión personales, esto puede ser especialmente problemático.
Una encuesta realizada por Google y Harris Poll reveló que algo más de la mitad de los estadounidenses reutilizan sus contraseñas en varias cuentas. Igual de preocupante es el hecho de que casi un tercio de los encuestados no utiliza la función 2FA (o no sabe si la utiliza, lo que podría ser un poco peor). Solamente una cuarta parte de la gente utiliza activamente un gestor de contraseñas, lo que sugiere que la gran mayoría de la gente probablemente no tiene contraseñas seguras en la mayoría de los lugares, ya que presumiblemente las generan y recuerdan por sí mismos.
Las cosas no hacen más que empeorar a partir de ahí: según un análisis de LastPass, la mitad de los profesionales han admitido que utilizan las mismas contraseñas para sus cuentas personales y de trabajo. Por si fuera poco, el análisis encontró que un empleado promedio comparte unas seis contraseñas con un compañero de trabajo a lo largo de su vida laboral.
Para que no piense que todo esto es mucho ruido y pocas nueces, en el 2017, Verizon descubrió que las contraseñas débiles o robadas eran las culpables de más del 80% de las infracciones relacionadas con la piratería informática en las empresas. Desde un dispositivo móvil en particular -donde los trabajadores quieren iniciar sesión rápidamente en aplicaciones, sitios y servicios- piense en el riesgo que corren los datos de su organización si incluso una sola persona escribe descuidadamente la misma contraseña que utiliza para una cuenta de la empresa en una solicitud en un sitio minorista aleatorio, una aplicación de chat o un foro de mensajes. Ahora combine ese riesgo con el de la interferencia del Wi-Fi, multiplíquelo por el número total de empleados en su lugar de trabajo, y piense en las capas de puntos de exposición probables que se están sumando rápidamente.
Lo más preocupante de todo es que la mayoría de las personas parecen ser completamente ajenas a sus descuidos en este ámbito. En la encuesta de Google y Harris Poll, el 69% de los encuestados se calificó a sí mismo con una "A" o una "B" en cuanto a la protección efectiva de sus cuentas en línea, a pesar de que las respuestas posteriores indicaban lo contrario. Está claro que no se puede confiar en la evaluación de riesgos del propio usuario.
6. Fraude en la publicidad móvil
La publicidad móvil genera montañas de dólares, un total que probablemente superará los 117 mil millones de dólares en el 2021, incluso con la desaceleración del gasto relacionada con la pandemia, de acuerdo una proyección reciente de eMarketer. Los delincuentes cibernéticos siguen el dinero, por lo que no es de extrañar que hayan encontrado formas de desviarlo de los flujos de ingresos de la publicidad móvil. Las estimaciones sobre el costo del fraude publicitario varían, pero Juniper Research prevé que supondrá una pérdida de 100 mil millones de dólares al año para el 2023.
El fraude publicitario puede adoptar varias formas, pero la más común es el uso de malware para generar clics en anuncios que parezcan proceder de un usuario real que utiliza una aplicación o un sitio web legítimos. Así, por ejemplo, un usuario puede descargar una aplicación que ofrece un servicio aparentemente válido, como la previsión meteorológica o la mensajería. Sin embargo, en el fondo, esa aplicación genera clics fraudulentos en los anuncios normales que aparecen. A los editores se les suele pagar por el número de clics que generan, por lo que el fraude publicitario en el móvil roba los presupuestos publicitarios de las empresas y puede privar a los editores de ingresos.
Aunque los anunciantes y editores pueden ser las víctimas más evidentes, el fraude publicitario también puede perjudicar a los usuarios móviles. El software publicitario fraudulento se ejecuta en segundo plano y puede ralentizar el rendimiento de un smartphone, agotar su batería, aumentar el costo de los datos y provocar un sobrecalentamiento. Basándose en sus propios datos de seguimiento, el proveedor de seguridad Upstream estima que los usuarios de smartphones (o las empresas que pagan las facturas de sus dispositivos) pierden millones de dólares cada año como resultado directo del aumento de las tarifas de datos causado por el malware publicitario para móviles.
Según Wandera, Android es, de lejos, la plataforma más popular para este tipo de problemas, ya que los dispositivos con este sistema operativo tienen 5,3 veces más probabilidades de tener instalada una aplicación vulnerable que los teléfonos con iOS. Eso no significa que el impacto sea inevitable.
Como ocurre con muchas cosas en el ámbito de la seguridad móvil, un poco de sentido común ayuda mucho. Aparte de mantener políticas que permitan a los usuarios descargar aplicaciones solo de la tienda oficial de aplicaciones de una plataforma, la educación de los empleados puede hacer hincapié en aspectos básicos como revisar las reseñas de una aplicación junto con sus permisos solicitados y el historial del desarrollador para asegurarse de que todo parece correcto antes de instalarla. Desde el punto de vista de TI, la supervisión del uso de los datos en busca de picos inusuales también puede ayudar a detectar problemas potenciales desde el principio.
7. Ataques de criptojacking
El criptojacking es un tipo de ataque en el que alguien utiliza un dispositivo para minar criptomonedas sin que el propietario lo sepa. Si todo esto suena como un montón de palabrería técnica, sepa esto: al igual que el fraude publicitario móvil, el proceso de minería de criptomonedas utiliza los dispositivos de su empresa para el beneficio de otra persona. Se basa en gran medida en su tecnología para hacer lo que tenga que hacer -lo que significa que los teléfonos afectados probablemente experimentarán una pobre vida de la batería, e incluso podrían sufrir daños debido al sobrecalentamiento de los componentes.
Aunque el criptojacking se originó en las computadoras de escritorio, experimentó un aumento en los móviles desde finales del 2017 hasta principios del 2018. Según un análisis de Skybox Security, la minería no deseada de criptomonedas constituyó un tercio de todos los ataques en la primera mitad del 2018, con un aumento del 70% en la prominencia en comparación con el período de medio año anterior. Los ataques de criptojacking específicos para móviles explotaron en el otoño del 2017, cuando el número de dispositivos móviles afectados experimentó un aumento del 287%, según un informe de Wandera.
Desde entonces, las cosas se han enfriado un poco, especialmente en el ámbito móvil -un movimiento ayudado en gran medida por la prohibición de las aplicaciones de minería de criptomonedas tanto de la App Store de iOS de Apple como de la Google Play Store asociada a Android hace un par de años. Sin embargo, las empresas de seguridad señalan que los ataques siguen teniendo cierto éxito a través de sitios web para móviles (o incluso solo anuncios falsos en sitios web para móviles) y aplicaciones descargadas a través de mercados de terceros no oficiales.
Según Verizon, los ataques relacionados con las criptomonedas suponen ahora alrededor del 2,5% de los problemas relacionados con el malware en la empresa, y alrededor del 10% de las compañías informan de problemas de seguridad relacionados. Verizon especula que la tasa real de incidentes es mayor, ya que muchos de estos ataques no se denuncian.
Por ahora, no hay una gran respuesta, aparte de seleccionar los dispositivos con cuidado y seguir una política que exija a los usuarios descargar aplicaciones solo desde la tienda oficial de una plataforma, donde el potencial de código de criptojacking se reduce notablemente.
8. Violaciones de los dispositivos físicos
Por último, pero no menos importante, hay algo que parece especialmente tonto pero que sigue siendo una amenaza inquietantemente realista: un dispositivo perdido o desatendido puede ser un riesgo de seguridad importante, especialmente si no tiene un PIN o una contraseña fuerte y un cifrado de datos completo.
Por ejemplo, en un estudio de Ponemon de 2016, el 35% de los profesionales indicaron que sus dispositivos de trabajo no tenían medidas obligatorias para proteger los datos corporativos accesibles. Peor aún, casi la mitad de los encuestados dijeron que no tenían ninguna contraseña, PIN o seguridad biométrica para proteger sus dispositivos -y cerca de dos tercios dijeron que no utilizaban el cifrado. El 68% de los encuestados indicaron que a veces compartían contraseñas entre cuentas personales y de trabajo a las que se accedía a través de sus dispositivos móviles.
Las cosas han mejorado desde entonces, según la mayoría de los indicadores. En su análisis del panorama de las amenazas móviles en el 2020, Wandera observó que el 3% de los dispositivos utilizados para el trabajo todavía tenían sus pantallas de bloqueo desactivadas. Y lo que es aún más preocupante, el riesgo de otras amenazas era significativamente mayor en los dispositivos en los que la puerta de entrada virtual no estaba debidamente protegida. Como hemos comprobado a fondo, basta con un pequeño número de vulnerabilidades de usuarios individuales para crear un enorme dolor de cabeza en la empresa.
El mensaje para llevar a casa es simple: dejar la responsabilidad en manos de los usuarios no es suficiente. No haga suposiciones, haga políticas. Luego se lo agradecerá.
Basado en el artículo de Deb Radcliff (CSO) y editado por CIO Perú