• Tweet

Los usuaios de teléfonos celulares tienden a ser más descuidados con sus revisiones de seguridad. "El correo de voz móvil es un primer objetivo a hackear por que mucha gente da sus números celulares, e incluso sus contraseñas, a amigos, parientes, y colegas", dijo Ira Brodsky, presidente de DataComm Research Co.

El personal corporativo de IT está provocando un problema: proveén a los usuarios teléfonos celulares que cuestan al menos unos cuantos cientos de dólares, y los empleados confían en los dispositivos para acceder a la información corporativa que puede valer millones. Las revisiones de seguridad robustas son cruciales para asegurarse de que la información de la empresa está protegida cuando los usuarios la acceden, pero la realidad es que muchas redes celulares solamente ofrecen características de seguridad rudimentarias.

"Los encargados diseñaron las redes celulares para proteger mensajes de voz", de acuerdo Pete Lindstrom, director de investigación de Spire Security, LLC, una compañía consultora en Malvern, Pa. "Desde que los usuarios ahora usan éstos dispositivos para trabajar con la información de negocios, las medidas de seguridad robustas, especialmente con sistemas de correo de voz en teléfonos celulares, son necesarias, pero los encargados tiene algunos pasos tras su aprovación".

Algunos grandes robos de perfiles ayudan a ilustrar el problema. En el otoño del 2003, Nicolas Jacobsen, un hacker de 22 años, evadió la seguridad en la red celular para accede a rededor de 400 cuentas de clientes T-Mobile en Estados Unidos. Más recientemente en éste año, Paris Hilton tuvo su cuenta comprometida y un problema similar se presentó con un agente del Servicio Secreto de Estados Unidos.

Notable Objetivo.

Los analistas dicen que tales problemas se debieron haber esperado. Por que los teléfonos celulares primero fueron diseñados para soportar transmisiones de voz de los clientes, pero nadie -- ni desarrolladores de software, encargados, ejecutivos de la red corporativa y ciertamente ni los usuarios finales -- apreciaron tomar sus requerimientos de seguridad seriamente, por lo menos no inicialmente. Como resultado, ellos se convierten en objetivos atractivos para los hackers.

"Los hackers buscan grandes rentabilidades; se concentran en ganar acceso a los dispositivos que tienen bajos niveles de seguridad pero que potencialmente almacenan información importante", dijo Bob Egan, presidente de la firma de consultoría Mobile Competency Inc.

Dado que los teléfonos celulares se desarrollaron desde sistemas de comunicación de voz en dispositivos que trabajan con información de correo electrónico, emplean información calendarizada, fotos, e incluso video clips, se convierten en objetivos atractivos. Debido al incremento en las capacidades de memoria handheld y que los dispositivos han llegado a tener más alcance, las pérdidas potenciales han llegado a ser substanciales.

Las compañías ahora tienen que estar enfocadas en que los teléfonos celulares se usarán para el húrto y la corrupción de información; el acceso no autorizado a redes; la interrupción de transacciones para y desde systemas handheld; y código malicioso enviado a una red de una empresa desde el handheld.

Un problema, es que la contraseña del sistema usada para proteger la informaión de las llamadas en el teléfono se puede comprometer fácilmente. Una razón es que el usuario también tiene responsabilidad para asegurar la contraseña del sistema. "Los sistemas de seguridad son solamente tan fuertes como su eslabón más débil, y con los sistemas de contraseña, que pueden ser el usuario", anunció TechNewsWorld, Lindstrom de Spire Security.

Tiempo para Cambiar Su Contraseña.

Inicialmente, a los usuarios se les asignaba una contraseña por omisión, que supuestamente cambiarían antes de que accedieran a la red. En muchos casos, no realizaban éste paso y estaban abiertos a los intrusos. Otro problema es que los usuarios seleccionan una contraseña fácil de recordar, tal como su primer nombre o una simple secuencia numérica, como 123456. "Si una contraseña es simple de recordar para el usuario, también es simple de romperla para un hacker", dijo TechNewsWorld, Egan de Mobile Competency.

Los encargados han tratado de enterar a los consumidores de los problemas y los han estado forzando para que trabajen con contraseñas más complejas. Para ayudar a recordarlas, los usuarios amenudo anotan las contraseñas o las almacenan en sus handhelds, que son susceptibles de ifluencia exterior.

Otro problema es que los usuarios tienden a ser más gentiles con sus revisiones de seguridad. "El correo de voz móvil es un primer objetivo a hackear por que mucha gente da sus números celulares, e incluso sus contraseñas, a amigos, parientes, y colegas", dijo Ira Brodsky, presidente de DataComm Research Co."

Uso Fácil Contra Seguridad Suficiente.

Además, los encargados han tropezado con intentos de balancear la fabricación de sus servicios convenientes y de fácil uso mientras mantienen una revisión robusta de la seguridad. Un hacker podría introducirse en el correo de Paris Hilton usando un sistema de ID de llamada. Si una llamada viene desde un número telefónico de un usuario, el cliente puede cambiar sus opciones de seguridad de la contraseña.

Un hacker encontró el número telefónico de Hilton, lo imitó, cambió las preferencias, accesó a su información personal, y después se la envió a una gran variedad de sitios Web. Como resultado, el número telefónico y dirección de correo electrónico del rapero Eminem, el actor Van Diesel, la actríz Lindsay Lohan, las cantantes Christina Aguilera y Ashlee Simpson, y los tenistas Andy Roddick y Anna Kournikova están disponibles para cualquier persona con acceso a la Internet.

Otra opción para los hackers es primero imitar un número telefónico válido y entonces tomar un único token dado para un usuario de manera que ellos puedan resetear sus contraseñas. También, fallas en el diseño de la característica de reset permite a los hackers conocer la contraseña de la página URL de reset para desviar la página de autentificación del usuario y cambiar la contraseña de la cuenta sin tener que proporcionar la información que prueba que ellos son dueños de la cuenta.

Una técnica similar se centra en las bases de datos donde se almacena información de la contraseña. En un ataque SQL injection, los hackers dependen de consultas a bases de datos SQL para inyectar comandos inesperados en la base de datos de las contraseñas, que permite manipular el conteniddo de la base de datos.

Reforzar el Perímetro.

Mientras que varios problemas han llegado a estra más claros, los portadores de celulares han robustecido la seguidad en sus contraseñas. Algunos soportan firmas digitales, que es una menera más fuerte de autentificar usuarios que el ID de la llamada. También los usuarios han mejorado las funciones de seguridad del celular: muchas nuevas características protegen la memoria, que pueden prevenir usos maliciosos de acceso a la información o parte de los sistemas operativos de los teléfonos.

A corto plazo, se espera que el problema siga empeorando. "Debido a los grandes casos recientes de perfiles, los usuarios están concientes de las limitaciones de la contraseña de seguridad", de acuerdo con Egan de Mobile Competency. "Muchos están mejorando la seguridad del sistema, pero tomará tiempo hacerlo tan fuerte como debe ser".