El post que buscas se encuentra eliminado, pero este también te puede interesar

Seguridad en Dispositivos Móviles

Seguridad en Dispositivos Móviles

Seguridad en Dispositivos Móviles




Introducción

movil


En la década de l os setenta, la necesidad imperante de comunicación hizo que la mayoría de los protocolos de conexión fueran creados sin tener en cuenta la seguridad. Esta decisión resultó ser una lección que al día de hoy aún se sigue aprendiendo, en tiempos en los que los dispositivos móviles se han convertido en un estándar, pero dejando muchos aspectos de su seguridad librad os al azar.

La masificación d e los medios de comunicación, la globalización, el mayor nivel de acceso a la información y conocimiento y, porque no, las condiciones de status que parece brindar, han sido algunos de los disparadores de la alta dependencia de los telé fonos móviles por parte del ser humano. Esto llevó al nacimiento de diferentes de tipos de dispositivos que, hasta hac e unos pocos años, sólo podían imaginarse o verse en películas de ciencia ficción.


malware

OS


Crecimiento y Popularización

dispositivo


Según diversos estudios, la telefonía móvil alcanza en la actualidad, en algunos países, hasta el 106% de penetración1. En ese porcentaje se considera a personas que tienen más de un dispositivo y también a todas aq uellas que no disponen de uno.

El crecimiento anual en la adquisición de este tipo de aparatos es tal que, si se sumaran todos ellos, considerando los distintos sistemas operativos disponibles (SymbianOS, WindowsCE , RIM, iPhoneOS, Android, PalmOS, Maemo, etc.), alcanzarían a la misma cantidad de unidades vendidas diariamente en sistemas
operativos de escritorio (alrededor de 800.000)

celular

seguridad


Seguridad en Dispositivos Móviles

movil


malware

OS


Es común asistir a la aparición de diversos sistemas operativos móviles pero en la actualidad se destaca la masificación de las aplicaciones satélites a los mismos. A esta situación se suma el uso y la penetración en el ambiente corporativo, debido a las ventajas competitivas logradas, principalmente por la inmediatez en el acceso a la información y la sensación de ubicuidad.

Pero, para cubrir esas “necesidades básicas” tanto el dispositivo (hardware), como el sistema operativo y las aplicaciones deben ser diseñados con la seguridad en mente, evitando la aplicación de parches sucesivos, tan normales en el mercado tecnológico actual.

La utilización de dispositivos móviles es una extensión natural de la masificación de las computadoras así como la demostración de que el ser humano necesita mayor poder de procesamiento en menor tamaño. Esta masificación y

poder de cómputo tiene un costo asociado, que muchas veces e s abordado mediante el principio (erróneo) de que mayor usabilidad representa menor cantidad de medidas seguridad desarrolladas por el fabricante o aplicadas por el usuario.

Sin intentar hacer una lista exhaustiva ni tomando en consideración su importancia o relevancia, los desafíos que se plantean desde el punto de vista de la seguridad y privacidad son:

• Referidos al (mal) uso del aparato por parte del usuario (generalmente ataques de ingeniería social)

• Cifrado del dispositivo y del canal de comunicación (end-to-end)

• Generación y almacenamiento de certificados digitales

• Robo del dispositivo o de información sensible almacenada

• Vulnerabilidades y ataques conocidos llevados adelante por delincuentes

• Seguridad de las aplicaciones: firmadas (supuestamente confiables) vs sin firmar (no confiables)

• Instalación de malware

• Intervenciones y escuchas telefónicas

• Conexiones por defecto, posibilidad de (des)habilitación y uso

• Aplicaciones y transacciones financieras, comerciales y bancarias

• Conexión y acceso seguro a redes privadas/corporativas


Ingeniería Social y privacidad del usuario

dispositivo


celular

seguridad


En cualquier dispositivo, la información personal o corporativa siempre es el activo más importante a proteger, por lo que el usuario debe tomar las medidas de seguridad apropiadas para evitar la fuga de información desde su móvil ya sea a través de ataques lógicos o adquisición física del mismo. Por este motivo, conocer los ataques de ingeniería social mediante los cuales se intenta engañar al usuario para luego acceder al dispositivo, es el primer punto importante a considerar y es común a cualquiera de las situaciones que se describen a continuación.


Seguridad Física

Seguridad en Dispositivos Móviles


movil

malware


El robo de dispositivos móviles (celulares o laptops) es un hecho común y representa uno de los motivos más importantes de pérdida de dinero en cualquier organización, no por el costo del aparato sino por la información a la cual se puede acceder, poniendo en relevancia la necesidad del cifrado completo del dispositivo para evitar e l acceso a los datos del mismo. Incluso, se debe considerar que los dispositivos roba dos podrían ser utilizados para cometer otros delitos de mayor envergadura, y el dueño del mismo podría ser vinculado (injustamente) a los mismos.

El procedimiento normal en caso de pérdida es la denuncia inmediata (policial y al proveedor de servicio) para posterior bloqueo del número de línea, del identificador del aparato IMEI y de las tarjetas SIM disponibles en el mismo. Como opción, existen servicios de rastreo del aparato y aplicaciones que permiten el bloqueo a distancia del mismo a través de mensajería SMS.


Conexiones al Dispositivo

OS


dispositivo

celular


Los dispositivos actuales ofrecen diversas formas de conectarse en forma inalámbrica (Wifi, bluetooth, infrarrojo, GPS, modem) y los usuarios suelen desconocer muchas de ellas y el procedimiento para (des)activarlas, sobre todo cuando algunas han sido activadas por defecto desde fábrica y se ignora esta situación.

Controlar todas las formas en que el dispositivo se conecta con el exterior es fundamental y debe ría ser una de las primeras acciones a realizar al adquirirlo y configurarlo.

Se debe prestar especial atención a la verificación en el modo habilitado para las conexiones bluetooth. Dependiendo del modo de conexión, del aparato, del sistema operativo y de la versión del mismo, un tercero podría conectarse al dispositivo sin solicitar autenticación (PIN), utilizar ingeniería social para solicitar acceso o bien utilizar vulnerabilidades y ataques conocidos para hacerlo. Mediante esta conexión se podría realizar desde el robo de información d el dispositivo, hasta escuchas telefónicas, habilitación del micrófono o incluso llamadas a través de comandos AT propios de estos dispositivos de comunicación.

Además, la posibilidad actual de geo-localización a través de GPS, disponible en teléfonos y cámaras digitales, representa un riesgo porque b rinda la posibilidad de violar la privacidad e intimidad de su dueño. Como no todo es negativo, en caso de un robo, esta característica podría facilitar la tarea de ubicación del aparato.

En el caso de conexiones corporativas es recomendable la utilización de VPN y conexiones cifradas para evitar escuchas e intervenciones ilegales y, en cualquier caso, es indispensable configurar el dispositivo para conectar se solo cuando sea necesario para realizar la transmisión de datos y, posteriormente deshabilitar el servicio.

Seguridad de aplicaciones, malware, spam y phishing

seguridad


Seguridad en Dispositivos Móviles

movil


Desde el punto de vista de las aplicaciones, las mismas pueden ser aquellas instaladas por defecto en el dispositivo o bien aquellas que el usuario puede obtener vía terceros desde sus contactos, Internet o las tiendas en línea habilitadas por el fabricante.

Actualmente, la descarga e instalación de aplicaciones de cracking y/o dañinas en sí mismas so n el vector de ataque más común en el mundo móvil. En todos los casos las mismas pueden representar una amenaza y el usuario estaría permitiendo la instalación de aplicaciones peligrosas, por lo que debe analizarse y restringirse cualquier aplicación no confiable o sospechosa.

El spam es la amenaza que más ha crecido sobre las plataformas móviles y desde hace años se anuncia la creación de malware para este tipo de sistemas operativos. Este año, debido a las características de masificación de dispositivos mencionadas, parece que marcará el inicio de esa tendencia y diferentes sistemas ya han sido afectados e infectados por: utilización del proceso d e desbloqueo mediante jailbreaking4, empleo de contraseñas por defecto, explotación de vulnerabilidades en aplicaciones satélites, descarga y ejecución (con permiso del usuario) de aplicaciones dañinas o previamente modificadas, et c.

El daño que el malware puede causar al dispositivo móvil puede ser de lo más variado y, por definición, no alberga ninguna diferencia con las aplicaciones dañinas tradicionales de otros sistemas operativos: se puede de sde cambiar el papel tapiz hasta robar datos sensibles, utilizarlo para realizar fraudes a través de llamadas o SMS no autorizados a números premium con costo, violar la privacidad del usuario a través de escuchas, robar información para posteriormente realizar transacciones comerciales (phishing) o cualquier otra actividad que el creador del malware decida.

Para evitar este tipo de amenazas es conveniente educarse sobre cómo evitar la ingeniería social, no descargar y utilizar aplicaciones de dudosa reputación (intentar utilizar sólo aplicaciones firmadas por su s desarrolladores), configurar adecuadamente el dispositivo y comenzar a pensar en la instalación de productos de protección antivirus y antispam.

Transacciones comerciales, financieras y bancarias

malware


OS

dispositivo


Uno de los puntos más importantes a considerar con la movilidad del usuario es la posibilidad de realizar negocios, para lo cual las organizaciones ya brindan distintos aplicaciones y servicios que permiten al cliente estar informado y realizar sus transacciones desde el dispositivo. En este caso, los datos de autenticación, los propios de la transacción y la comunicación cliente-nube-servidor deben ser almacenados y enviados en forma segura para evitar que caigan en manos de personas no autorizadas.

Actualmente no se conocen ataques dirigidos específicamente hacia dispositivos o aplicaciones comerciales/financieras/bancarias móviles pero se debe tener en cuenta que los casos de phishing tradicional pueden afectar al usuario, ya que es él en última instancia quien brinda los datos de autenticación al servicio que se trate.

Cifrado del dispositivo y de las comunicaciones

celular


seguridad

Seguridad en Dispositivos Móviles



Los métodos de almacenamiento, cifrado y transmisión d e la información varían en cada dispositivo y sistema operativo y sería tedioso hacer un recorrido por cada uno de ellos. Lo importante a señalar en este caso es que los datos internos, de configuración y externos del dispositivo deberían se r cifrados en sus medios de almacenamiento, respetando estándares internacionales. Además las comunicaciones entre los servidores y el aparato también deberían viajar en forma cifrada para evitar interferencias de terceros.

A modo de ejemplo de esta situación, Opera Mini menciona en su FAQ:

"Therefore no end-to-end encryption between the client and the remote web server is possible. If you need full end-to-end encryption, you should use a full web browser such as Opera Mobile."

[Al utilizar Opera Mini] No hay cifrado de extremo a extremo entre el cliente y el servidor web. Si necesita cifrado de extremo a extremo, debería utilizar un navegador web completo, como Opera Mobile.

Así mismo, el dispositivo debería contar con la posibilidad de borrado seguro (wiping) de información de modo que si el mismo es re-usado (vendido, robado, reasignado, etc.), el nuevo dueño no pueda acceder a información antigua a través de métodos de recuperación normales o, incluso análisis forense.

Conclusiones

movil


Por el negocio millonario que representa, las aplicaciones dañinas, el spam y el malware seguirán creciendo en estas plataformas y, si para este entonces no hemos aprendido las lecciones anteriores, sin ánimo de ser pesimista, dentro de pocos años nos encontraremos en un estado de seguridad semejante al actual.

Se ha intentado hacer un recorrido básico por las principales características de seguridad que deberían respetar los dispositivos, sistemas operativos y aplicaciones móviles y, si se analiza con atención, muchas de ellas son las mismas que los expertos recomiendan desde hace años en computadoras y sistemas tradicionales: por parte de los fabricantes, desarrollo de de sistemas operativos y aplicaciones diseñadas con la seguridad en mente; por parte de los usuarios la educación y el uso responsable del dispositivo.



Visita Mis otros Post










Sandwich Phone, un concepto que podría funcionar



Mozilla prueba la Aceleración por Hardware (GPU) de tu PC



Usuarios de PC contentos con W7



Fallas en el funcionamiento de Windows 7



Cambiar la prioridad de conexiones Windows 7




malware

OS

0 comentarios - Seguridad en Dispositivos Móviles