• Tweet

Los expertos enuncian una serie de amenazas emergentes, incluyendo un reciente crack en el algoritmo de encriptación de GSM, el cual plantea nuevos peligros para la seguridad de datos de voz de empresas.

Con más compañias de negocios trabajando en dispositivos móviles, la información de identificación personal (PII), la propiedad intelectual y los secretos comerciales tienen un mayor riesgo de robo para las personas que utilizan software no original del GSM, que fue hecho con el crack de encriptación del año pasado. Sin embargo existen otros riesgos de datos de voz, como lo son los usuarios de dispositivos móviles que no son conscientes de su entorno.

“La gente está apacible en la conformidad, con un falso sentido de seguridad,” comentó MacDonnell Ulsch, presidente y analista de riesgos de Boston, Mass. ZeroPoint Risk Research LLC. Este falsa sensación de seguridad permite a la gente decir cosas como quizás debería ser guardado para mayor seguridad o una conversación persona a persona, en vez de estar en un lugar público, donde las conversaciones pueden ser fácilmente escuchadas.

Ulsh era parte de un panel de expertos, dirigido por Larry Ponemon, presidente y fundador del Instituto Ponemon LLC. El panel convocó vía teleconferencia el pasado miércoles a discutir las amenazas de pérdida de datos de las prácticas de comunicación inadecuadas de voz, una cuestión que, hasta el momento reciente, ha estado catalogada como un problema para algunas empresas.

Mientras los organismos gubernamentales necesitan estar especialmente preocupados por amenazas contra las comunicaciones móviles, los riesgos están ahora extendiendose en las empresas, menciona Simon Bransfield-garth, CEO de CellCrypt Inc., una compañía de seguridad móvil con sede en Londres.

En general se informó en diciembre que el investigador de seguridad Karsten Nohl había descubierto como crackear el algoritmo de encriptación del GSM. GSM es el estándar utilizado por la mayoría de los operadores de telefonía móvil del mundo. Nohl dijó que esperaba que la divulgación de la técnica de hacking sirvierá para que los proveedores de servicios se renueven a un algoritmo más seguro.

Hasta entonces las empresas deberían de mejorar la educación de los usuarios y la seguridad operacional, comentó Stuart Shapiro, ingeniero de seguridad en Bedford, Mass.-The MITRE Corp.

“Si la gente no tiene conciencia de dónde está, que está haciendo, qué tipo de información esta proporcionando, entonces está abriendo camino para una situación de riesgo potencial”, afirmó Shapiro.

Otro camino efectivo para defenderse del robo de datos de voz es utilizar encriptación en los dispositivos móviles, dice Bransfield-Garth. “La gente es capaz de colocar este software en los teléfonos móviles en lugar de tener que transportar un dispositivo de manera separada”. La encriptación disminuye la carga de los empleados, por lo que no tienen que estar preocupados acerca de la seguridad de la red, debido a que sus dispositivos ya están protegidos.

Los panelistas también abordaron la aún semi-explorada área de sumisión cuando proviene de dispositivos móviles. Mientras las organizaciones no tengan la obligación de garantizar canales de voz móvil, la mayoría de ellos cumpliendo las normas de especificación del tipo de información - los archivos específicos que contienen datos confidenciales - que las organizaciones deben garantizar.

Bransfield-Garth mencionó que hay indicios de que la obtención de información de voz se volverá más común en los próximos meses y años, las empresas que optan por no emplear las tecnologías de seguridad que protege los teléfonos móviles pueden razonablemente considerarse negligentes.

Sin embargo, se están tomando las medidas para hacer frente a esta falta de conocimiento en torno a su cumplimiento. Ulsch hace referencia a la ley de protección de datos de Massachusetts 201 CMR 17 la cual exige que cualquier empresa que maneje información privada de los residentes de Massachusetts este encriptada en todos los equipos de las empresas - incluyendo los dispositivos móviles.

Por todas las cuentas, los profesionales INFOSEC deberían de examinar sus políticas de comunicaciones de voz y así como sus procesos, comentó Bransfield-Garth.

"Estamos viendo una mayor conciencia en las empresas y en el gobierno", dijo. "Afortunadamente, la llegada de algunas tecnologías, junto con la red de dispositivos móviles y teléfonos inteligentes está permitiendo a la gente hacer algo al respecto".