Llegamos a ustedes gracias a:



Reportajes y análisis

Las 5 aplicaciones móviles más riesgosas

[12/08/2021] El software y las aplicaciones no autorizados que se ejecutan en dispositivos móviles corporativos son una pesadilla para la seguridad. Pueden abarcar desde la satisfacción de auténticas necesidades empresariales -comúnmente denominado Shadow IT- como la comunicación remota y eficiente con colegas, o la gestión de documentos corporativos a través de aplicaciones descargables de mensajería y uso compartido de archivos; hasta el uso de aplicaciones con fines de entretenimiento y estilo de vida no relacionados con el trabajo, como socializar, hacer ejercicio, jugar y ver deportes.

"Las aplicaciones personales no gestionadas en los dispositivos corporativos introducen numerosos vectores y vulnerabilidades para su explotación, incluyendo vías para la exfiltración de datos, ciberataques, la vigilancia de la actividad de los empleados por parte de terceros malintencionados y muchas otras cosas que vemos como riesgos potenciales para las organizaciones, señala Steve Turner, analista de seguridad y riesgos de Forrester, en una conversación con CSO. "Estas aplicaciones no son examinadas por la organización, y pueden exponer a los empleados a una variedad de políticas de datos, privacidad y otras que han aceptado inadvertidamente al descargarlas y usarlas.

[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]

Los riesgos que representan las aplicaciones no solicitadas para las empresas se han intensificado desde el estallido de la pandemia COVID-19 y el cambio al trabajo remoto masivo, explica Kelvin Murray, investigador senior de amenazas en Webroot. "Con menos reuniones e interacciones presenciales, los empleados buscan nuevos métodos para comunicarse sin la formalidad de un correo electrónico o una llamada de Teams, comenta. "Sin embargo, con las nuevas tácticas de ataque, exploits y herramientas que surgen a través de aplicaciones no solicitadas, los dispositivos móviles y las aplicaciones nunca han supuesto una amenaza tan grande para las organizaciones como lo hacen ahora.

Murray afirma que los usuarios tienden a no creer que los ciberdelincuentes los tienen como objetivos, pero estas aplicaciones suelen solicitar mucho acceso a información personal o la integración con cuentas privilegiadas. "Para los atacantes astutos, pueden ser vectores de amenazas bastante efectivos.

Entre los ataques más populares a dispositivos móviles se encuentran los troyanos de acceso remoto (RAT) y los ataques man-in-the-middle (MITM) para acceder a datos de los usuarios o escuchas clandestinas, el ransomware para restringir el acceso a dispositivos y certificados falsos para cargar de manera lateral aplicaciones maliciosas, agrega Dominic Grunden, CISO de la plataforma de servicios financieros Wave Money.

Las aplicaciones y tiendas de apps aparentemente genuinas y confiables pueden ser cualquier cosa menos eso. Por ejemplo, Turner hace referencia a aplicaciones que se hacen pasar por una cosa para ser aprobadas dentro de los jardines amurallados de las tiendas de Apple y Google, y luego terminan siendo algo mucho más malicioso, como algunas apps de calculadora que en realidad son mecanismos de transferencia de archivos.

Del mismo modo, no es extraño que las tiendas de aplicaciones confiables, como Google Play, contengan apps plagadas de malware, señala Paul Holland, principal analista de investigación del Information Security Forum (ISF). Incluso la aplicación legítima de TikTok fue descubierta el año pasado por capturar copias de datos del búfer de los dispositivos de Apple cuando no debería haberlo hecho, añade Murray. Si bien el servicio de red social ha dejado de capturar esos datos, es un ejemplo de los riesgos ocultos que pueden plantear esas aplicaciones si no se examinan cuidadosamente.

Lo más preocupante de todo es que una nueva investigación de Netskope sobre las amenazas en la nube ha descubierto que el 97% de las aplicaciones en la nube utilizadas en la empresa no se gestionan y, a menudo, se adoptan libremente. Está claro que las empresas deben hacer mucho más para examinar y aprobar qué aplicaciones usan los empleados en los dispositivos de trabajo.

Entonces, ¿qué tipos de aplicaciones no autorizadas deberían encabezar la lista de riesgo de un CISO y por qué? Esto es lo que dicen los expertos en seguridad.

1. Aplicaciones de mensajería y redes sociales

Probablemente son los tipos de aplicaciones más comunes en los dispositivos de propiedad de la empresa, y pueden causar importantes problemas de seguridad y privacidad para los líderes de seguridad. "Las aplicaciones de redes sociales han sido culpables de rastrear lo que hace una persona en su dispositivo, los sitios web que visita, los lugares a los que va y mucho más, advierte Turner. Grunden está de acuerdo y cita casos como el de Facebook, que es conocido por haber tenido agujeros de seguridad y vulnerabilidades, problemas de privacidad y filtraciones de información confidencial en el pasado.

"Tampoco me gustaría ver aplicaciones de redes sociales de otros países que no sean en los que mi empresa opera, comenta Turner. "Las apps de otros países instaladas en un dispositivo abren la puerta para la violación de leyes y regulaciones de privacidad y retención de datos, ya que podrían ser potencialmente utilizadas para llevar a cabo negocios, para que personas internas malintencionadas exfiltren datos, o para que actores maliciosos utilicen las aplicaciones para exfiltrar datos o comprometer un dispositivo a través de una puerta trasera o una vulnerabilidad de día cero.

Turner señala que algunos países exigen que todo pase por el gobierno central. "¿Vale la pena exponer el dispositivo de su empresa a tales riesgos cuando ni siquiera hacen negocios en ese país? se pregunta.

Las aplicaciones con sede en China son una preocupación particular para Grunden. "No hay mucho que decir con respecto a la seguridad inherente y el riesgo cibernético, ya que las aplicaciones originadas y desarrolladas en China tienden a tener puertas traseras, códigos maliciosos y pueden exponer los datos confidenciales de una empresa.

En cuanto a los problemas de seguridad que rodean a las aplicaciones de mensajería, un problema frecuente es que los servicios populares como WhatsApp, Signal y Telegram son aplicaciones de nivel de consumidor centralizadas y alojadas por el proveedor. "Eso significa que las conversaciones que tienen los empleados sobre el trabajo son absorbidas por los servidores de la aplicación, lo que deja a la empresa sin control sobre cómo se almacenan o administran sus datos, y potencialmente sujeta a minería y exfiltración de datos, explica Amandine Le Pape, cofundadora de Matrix.org, un proyecto de código abierto sin fines de lucro que trabaja para crear un ecosistema descentralizado de VoIP y mensajería IP para Internet. "Además, no existe una moderación formalizada ni una forma de garantizar que los grupos de discusión sean inclusivos o contengan a todas las partes relevantes. Peor aún, no hay control sobre el desaprovisionamiento de alguien que abandona la organización ni la auditoría, lo que conlleva a una toma de decisiones irresponsable.

Los líderes de seguridad deberían preocuparse si los empleados realizan su trabajo a través de aplicaciones de mensajería y colaboración de nivel de consumidor en lugar de nivel empresarial, algo que advirtió la Autoridad de Conducta Financiera del Reino Unido en enero de este año.

2. Aplicaciones de acceso remoto y almacenamiento en la nube

En medio de la migración masiva al trabajo remoto durante los últimos 18 meses, el uso de aplicaciones de acceso remoto y almacenamiento en la nube ha crecido significativamente a medida que las organizaciones y los empleados han buscado nuevas formas de trabajar de manera segura y eficiente. Sin embargo, Turner advierte sobre los riesgos que estas herramientas suponen para las organizaciones si llegan a los dispositivos corporativos. "No quisiera encontrar ningún tipo de solución alternativa de acceso remoto o almacenamiento en la nube instalada en mis dispositivos corporativos. Eso solo significa exfiltración de datos, anota.

Las aplicaciones de acceso remoto sin garantía pueden redirigir todo el tráfico de red de un dispositivo hacia un servidor desconocido, VPN o una infraestructura de acceso remoto, donde el tráfico de las apps de la empresa puede ser recopilado o analizado por un tercero. "En esa situación, todo está al alcance para ser utilizado por cualquiera, ya sean credenciales, tokens de autenticación, etc., advierte Turner.

Del mismo modo, se pueden configurar soluciones alternativas de almacenamiento en la nube para hacer copias de seguridad automáticas de archivos, fotos y otros datos de su dispositivo. "Si su trabajo requiere manipular archivos y fotos localmente en su dispositivo, este es otro escenario en el que los datos pueden ser almacenados intencional o inadvertidamente en otro lugar, sin estar protegidos por las soluciones de seguridad de su empresa, explica Turner. Los atacantes pueden usar esas mismas aplicaciones y configurarlas con sus propias cuentas para obtener una copia de los datos con los que está trabajando en su dispositivo. "Todo esto expone a las organizaciones a posibles incidentes de compromiso y filtración de datos mediante la recopilación de credenciales, la exfiltración de datos sensibles y su almacenamiento inadecuado, etc..

Grunden comenta que, si no son controlados, estos riesgos continuarán aumentando por muchas razones, incluyendo el trabajo remoto y la amplia utilización de aplicaciones como Office 365 o Dropbox para compartir información dentro de las organizaciones, entre socios y clientes.

3. Aplicaciones de herramientas de seguridad

En algunos equipos con Windows 10 es posible descargar software de Microsoft Store sin necesidad de tener privilegios de administrador, señala Holland. Esto genera el riesgo de instalar y usar herramientas de seguridad sofisticadas y no autorizadas que solo deberían ser utilizadas por quienes tienen roles especializados.

Es probable que los usuarios no autorizados que juegan con herramientas de seguridad como Wireshark o Kali Linux no tengan idea del daño que pueden causarle a una organización, indica Baird. "Si bien las herramientas son legales, el uso sin autorización no lo es. Los usuarios podrían utilizar las herramientas para espiar en una red corporativa; situación particularmente dañina si se trata de un empleado descontento o una amenaza interna.

Además, los empleados que usan estas herramientas por diversión probablemente nunca hayan oído hablar de que el uso no autorizado de estas herramientas puede hacer que el trabajo de un actor malicioso sea mucho más fácil, ya que esencialmente les da las herramientas que necesita para hackear una organización desde dentro, añade Baird. "Por ejemplo, dentro de Kali Linux hay cientos de herramientas DDoS que tienen el potencial de interrumpir toda la red corporativa. Teniendo en cuenta que la mayoría de las capas de protección DDoS se sitúan en el perímetro de la red, es probable que las herramientas de escaneo no detecten cualquier DDoS que esté dentro y, por lo tanto, no puedan evitar la explotación.

4. Plugins de terceros

Los plugins de terceros diseñados para agregar funcionalidad incluso a aplicaciones verificadas, tienen el potencial de amenazar en gran medida los datos de las organizaciones. Según el informe de Netskope citado anteriormente, el 97% de los usuarios de Google Workspace han autorizado el acceso de al menos una app de terceros a su cuenta corporativa de Google, lo que podría dar paso a la explotación de sus datos por terceros debido a alcances como "ver y gestionar archivos dentro de Google Drive.

Ray Canzanese, director de Netskope Threat Labs, le cuenta a CSO que los plugins de aplicaciones pueden proporcionar a terceros un acceso persistente a los datos. "Por ejemplo, el plugin de la app CamScanner puede acceder a todos sus documentos en Google Drive. Se descubrió que CamScanner contenía malware y fue prohibido por el gobierno indio. En otras palabras, los plugins de terceros pueden proporcionar un servicio válido, pero las organizaciones que operan las aplicaciones pueden no ser lo suficientemente confiables para manejar datos sensibles.

Los atacantes también han descubierto que obtener acceso a una cuenta de Google que controla el dispositivo móvil a través de la App Store/Play Store es mucho más efectivo que tratar de encontrar vulnerabilidades y desarrollar exploits para móviles, pues esto requiere mucho tiempo y trabajo, indica Grunden. Dicho acceso proporciona las llaves del reino: datos confidenciales, información de tarjetas de crédito y más. Un atacante con una cuenta comprometida puede acceder a las copias de seguridad y recuperar los datos de todas las aplicaciones de un dispositivo móvil, incluyendo los mensajes, contactos y registros de llamadas, agrega. "Si alguien roba estas cuentas, puede rastrear permanentemente un dispositivo y controlar de forma remota varias acciones clave (como realizar compras no autorizadas o instalar aplicaciones maliciosas), causando más daños.

5. Aplicaciones de gaming

Las redes y dispositivos corporativos no están pensados para admitir gaming, ya sea durante el horario laboral o el resto del día, pero algunos lo intentan a pesar de ello. Si bien esto representa un grave mal uso de la propiedad de la empresa y un gasto innecesario, los problemas de seguridad que plantea usar dispositivos corporativos para instalar y ejecutar software de gaming son aún peores. "Por ejemplo, el cliente Steam equivale a abrir una lata de gusanos si se instala en cualquier dispositivo que tenga acceso a la red corporativa, advierte Baird. "La gran cantidad de juegos que pueden ser instalados con Steam hace que sea muy difícil para la seguridad mantener la visibilidad de lo que hay en la red y responder en consecuencia. Cualquier software no autorizado quedaría fuera del proceso de gestión de parches del equipo de seguridad, por lo que podrían quedar brechas abiertas para ser explotadas. Baird señala un ejemplo del año pasado, cuando los investigadores encontraron cuatro vulnerabilidades dentro de Valve, el desarrollador de Steam, que permitían a los hackers hacerse cargo del servicio de terceros para ejecutar código arbitrario y robar credenciales.

"En mi opinión como CISO, la aplicación de gaming más peligrosa es 9Game.com, un portal de descarga de juegos gratuitos para Android, agrega Grunden. "He visto más aplicaciones maliciosas salir de esta tienda de apps móviles que de cualquier otra en los últimos dos años.

Reducir los riesgos de las aplicaciones móviles no autorizadas

Cuando se busca abordar los riesgos que suponen las apps no deseadas en los dispositivos corporativos impidiendo que las personas instalen software no aprobado, los expertos coinciden en que se requiere una combinación de políticas y educación. "El CISO debe asegurarse de que su equipo de seguridad esté al tanto de los riesgos que plantean las aplicaciones no autorizadas y que estas se adhieren a las normas prescritas, según la política de la empresa. Esto ayuda a respaldar el impulso para monitorear y gestionar el uso en el resto del personal, indica Holland.

A partir de ahí, Holland aboga por la creación de listas blancas de dispositivos y aplicaciones para permitir el únicamente funcionamiento de ciertos archivos ejecutables y asociados. "Esto significaría que cualquier aplicación no aprobada sería detenida antes de poder ejecutarse. También ayudaría en el caso de una copia infestada de malware de una aplicación legítima, ya que el ejecutable sería diferente, generalmente detectado por el hash MD5. Esta opción puede ser bastante laboriosa de configurar y administrar, pero a menudo vale la pena el esfuerzo.

Tuner añade que tales políticas pueden aplicarse a través de soluciones de gestión de puntos finales, instituyendo un flujo de aprobación para aplicaciones no autorizadas y remediando las aplicaciones no aprobadas existentes.

También se pueden controlar y configurar de forma centralizada las políticas basadas en la identidad de los usuarios, el dispositivo, ubicación y el tipo de conectividad para restringir el uso malintencionado de los dispositivos y contenido corporativos, comenta Grunden.

Sin embargo, a menudo esto representa solo la mitad de la batalla, ya que cuando se les niegan las solicitudes de software a los usuarios, muchas veces recurren fácilmente a descargar y ejecutar versiones crackeadas de fuentes de terceros no aprobadas, que suelen estar repletas de aplicaciones infectadas con malware. Este escenario tiene el potencial de causar un mayor riesgo de seguridad que si hubieran instalado la versión legítima, y sirve como recordatorio de que es de vital importancia educar a la fuerza laboral sobre las amenazas que plantean algunas aplicaciones y explicar los motivos de los controles y las políticas desde una perspectiva de seguridad de datos para impulsar un comportamiento seguro.

"Teniendo esto en cuenta, todas las organizaciones deberían implementar una capacitación de concientización sobre ciberseguridad para educar a los empleados sobre las amenazas más recientes, y proporcionar pautas claras sobre lo que se puede y no se puede descargar en los teléfonos y computadoras del trabajo, anota Murray. La shadow TI es un gran problema para los administradores de TI, pero se puede aprender mucho de los patrones de comportamiento de los usuarios, y esto puede hacer evidentes las brechas en educación, políticas y herramientas dentro de una organización, señala.

Finalmente, otra opción para ayudar a minimizar la descarga de aplicaciones en los dispositivos corporativos (una que las organizaciones están implementando cada vez más) es crear una red Wi-Fi separada (de invitados) para el personal, que sea completamente independiente de la red interna, explica Holland. "Esta red de invitados permite a las personas utilizar sus dispositivos mientras están en la oficina sin ningún riesgo para la empresa, y tiene la ventaja adicional de mantener al personal más contento, ya que pueden limitarse a usar sus teléfonos sin tener que gastar sus propios datos o utilizar el dispositivo corporativo de forma no deseada.