• Tweet

El número de tipos de ataques en dispositivos móviles podrá no estar creciendo, pero las circunstancias están conspirando para crear una amenaza genuina, comenta Rik Ferguson.

El incremento de las amenazas para dispositivos móviles es definitivamente real, aunque, todavía hay un gran camino para alcanzar proporciones epidémicas. El mensaje real para los meses siguientes es acerca de la preparación.

En 2009 hubo un número limitado de nuevas amenazas, pero un incremento significativo en su complejidad y en su intención criminal. Hay indicios de que la aceptación del consumidor hacia las actividades financieras basadas en teléfonos móviles es ahora, la corriente principal, con aplicaciones de banca móvil inclusive anunciadas en horarios estelares de televisión.

Botnets rudimentarias

Dos distintas botnets rudimentarias basadas en teléfonos surgieron el año pasado: una en la plataforma Symbian, la cual tenía por objetivo robar detalles de identidad a través del teléfono y de propagarse a través de SMS (Short Message Service, Servicio de Mensajes Cortos); y una más recientemente que afectó sólo a los iPhones, pero cuyo objetivo fue claramente clientes de banco en los Países Bajos, para robar sus datos y mandarlos a un servidor de control y mando en Lituania.

Con este cambio en los hábitos del consumidor y además, con la posibilidad, finalmente, de que algún tipo de monocultura acerca de los teléfonos móviles sea creada en la capa de aplicación – con la disponibilidad de la multiplataforma Adobe Flash para móviles- hay que esperar ver más actividad maliciosa relacionada con estos aparatos, que será dictada por el comportamiento del consumidor.

Es cierto que la amenaza está creciendo, pero es más relacionado con la complejidad que con el tamaño de las muestras. De hecho, algunos comentaristas se han dado cuenta que el número de muestras de código malicioso ha disminuido en los años recientes.

Ingeniería Social

Es importante recordar que muchas de las amenazas de hoy no se basan en códigos maliciosos, sino en ejercicios de ingeniería social relacionados con la web, como por ejemplo aplicaciones falsas de red social, phishing de bancos, correo y otras credenciales.

Estos ataques tienen como objetivo el usuario final, sin importar el dispositivo que este usando – ya sea un teléfono móvil, una netbook o una PC. El problema algunas veces se agrava en los teléfonos móviles por la manera en que los navegadores web han sido diseñados para salvar espacio de la pantalla. Por ejemplo, el navegador por default en mi teléfono Symbian no muestra la URL de la página que estoy visitando, característica que es generalmente nuestra última línea de defensa contra ataques de phishing y sitios web falsos.

Es difícil decir si un sistema operativo móvil es más o menos vulnerable que otro, de modo que las vulnerabilidades son influenciadas, en gran medida, por el comportamiento del usuario. Muchos sistemas operativos de teléfonos móviles forzan a firmar el código, lo que significa que ningún código no autorizado puede ser ejecutado, pero el usuario es libre de deshabilitarlo.

Apples iPhones tienen una arquitectura relativamente sencilla que previene a las aplicaciones ver archivos que no son suyos. Pero muchos usuarios desbloquean sus teléfonos e instalan aplicaciones no aprobadas o sin examinar, las cuales abren agujeros de seguridad. El último gusano del iPhone explotó agujeros de este tipo.

El malware móvil, será conducido por el comportamiento del usuario. El crimen en línea es acerca de dinero y mientras más dispositivos móviles sean usados para navegar en la web, para la banca en línea o para almacenar información personal, su atractivo incrementará. La falta de un proveedor dominante es también un factor de mitigación, pero en el mundo de los exploits y el malware, muchos ataques son dirigidos a aplicaciones, más que a sistemas operativos.

Vectores comunes de ataque

El surgimiento de Adobe Flash para dispositivos móviles puede empezar a proporcionar el vector de ataque común que ha hecho falta. Ciertamente, una vez que un sitema operativo atrae intenciones criminales, puedes apostar que más errores se harán aparentes.

La principal protección para las empresas relacionada con dispositivos móviles, es el cifrado, el cual es grandioso en contra de pérdida o robo de los dispositivos, preferentemente con la capacidad del mando a distancia. Herramientas para prevenir la pérdida de información están empezando a ofrecer cierta integración con dispositivos móviles para prevenir que datos corporativos sensibles sean trasferidos hacia dispositivos vulnerables en primer lugar.

Los dispositivos móviles y la protección de los mismos deben ser gestionados en un contexto muy similar al estado más familiar de los equipos de la empresa – a través de una administración central, políticas centrales y un registro centralizado. Políticas aceptables de uso deben ser revisadas para asegurar que contienen los lineamientos para el uso de dispositivos móviles y el entrenamiento deberá ser más que un evento de una sola vez. Claro, eso es cierto para todos los entrenamientos de seguridad.

Me gustaría sugerir un tip del día para el acercamiento en entranamiento de seguridad – diariamente, aspectos relacionados con mensajes cortos. Mientras más y más tecnología configurada por el usuario y proporcionada por el usuario entra a los lugares de trabajo, las empresas necesitan invertir en construir una cultura de seguridad.