Los dispositivos móviles plantean algunos problemas únicos a la hora de proteger los datos. Conozca algunos de los retos y recomendaciones para el éxito.
Video: En el Mobile World Congress Americas 2019, el investigador de Gartner Michael Disabato habló sobre la necesidad de que la TI equilibre la experiencia del usuario con los requisitos de seguridad cuando se trata de BYOD.
Las estaciones de trabajo de sobremesa, los servidores, los cortafuegos y conmutadores de red, las unidades de climatización y los dispositivos de UPS tienen una cosa en común: como hardware interno tradicional, son bastante fáciles de proteger físicamente, ya sea a través de acceso restringido, monitorización de vídeo, alarmas y otros mecanismos anti-intrusión y antirrobo.
Los dispositivos móviles, por otro lado, son mucho más difíciles de asegurar debido a sus características únicas. Hablé de los retos que implica la seguridad móvil con Sinan Eren, fundador y CEO del proveedor de seguridad móvil Fyde.com y juntos llegamos a los siguientes problemas y recomendamos estrategias.
Más información sobre ciberseguridad
1. Portabilidad
Los dispositivos móviles están en riesgo debido a su propia naturaleza de ser portátiles. Su tamaño comparativamente pequeño y la falta de seguridad física los hace susceptibles de pérdida o robo, por lo que recomiendo llevarlos siempre encima de la persona en lugar de en un bolso o bolsa. Estos dispositivos representan un objetivo atractivo para los ladrones ya que pueden ser revendidos con relativa facilidad, a diferencia de un sistema HVAC o servidor Dell, y son más difíciles de rastrear si el sistema operativo ha sido borrado y la tarjeta SIM removida. Mantenga siempre el control de su teléfono; no lo deje desatendido en un lugar público y asegúrese de que sabe cómo utilizar «Find my iPhone», «Find my Phone» de Google o algún servicio similar.
2. Tomas de espiar
Cuando los dispositivos móviles se utilizan en público, la información confidencial puede ser observada por personas no autorizadas, incluyendo contraseñas o códigos de acceso. Incluso la protección biométrica puede no significar mucho cuando se trata de evitar que un individuo malicioso acceda a su teléfono. Si le roban el teléfono mientras está desbloqueado, el acceso al contenido estará disponible inmediatamente. Y después de todo, alguien bajo coacción probablemente estaría feliz de darle a un ladrón una huella dactilar si eso significaba evitar el daño físico.
3. Configuración arriesgada de los dispositivos
Los dispositivos móviles suelen funcionar con derechos de administrador y rara vez utilizan protección antimalware, especialmente en el caso de los dispositivos de consumo permitidos para uso de la empresa, como en el caso de un acuerdo de»Traiga su propio dispositivo» (BYOD.
Además, los datos almacenados pueden no estar cifrados, especialmente en tarjetas microSD externas, lo que puede poner en peligro la información incluso con controles tales como requisitos de contraseña o lectores biométricos. Las soluciones de gestión de dispositivos móviles pueden ayudar a centralizar y aplicar controles de seguridad en estos dispositivos, pero no están exentas de ciertas limitaciones y desafíos. Como mínimo, aplique contraseñas seguras y cifrado de almacenamiento en los dispositivos móviles.
El editor de ConsejoTecnologico.com Jason Hiner informó recientemente sobre una tecnología de dispositivos móviles llamada TrustZone, que separa las aplicaciones/funciones de confianza de las que no lo son. Este concepto prometedor puede servir de caja de arena a las amenazas potenciales y evitar que afecten al dispositivo o a los datos implicados, por lo que esto es algo que debe tenerse en cuenta cuando esté disponible para una seguridad adicional.
VER: Política de informática para dispositivos móviles (Tech Pro Research)
4. Ataques de phishing
«El principal vector de amenaza para los dispositivos móviles sigue siendo las amenazas centradas en el ser humano», me dijo Eren. Citó los ataques de phishing como un factor de riesgo particular, señalando que no se dirigen al sistema operativo o a las aplicaciones directamente, a diferencia de los sistemas operativos de escritorio/laptop como Windows.
Los ataques de phishing son problemáticos en los dispositivos móviles debido a sus pequeñas y estrechas pantallas que no muestran urls/dominios falsos en los navegadores móviles, ya que no se puede desplazar el cursor del ratón sobre un enlace para mostrar la ubicación real que representa. Además, los atacantes pueden intentar engañar a las víctimas potenciales para que piensen que un determinado vínculo es legítimo mediante el uso de diferentes caracteres alfanuméricos, como las letras españolas con acentos. Como resultado, los usuarios móviles deben ser especialmente cautelosos al abrir enlaces a través del correo electrónico, y es posible que deseen abstenerse de hacerlo hasta que puedan acceder a su sistema de escritorio o portátil para un mejor análisis del correo electrónico.
5. Acceso no autorizado a la cuenta de iCloud/Google
Eren me informó que los atacantes han descubierto que obtener acceso a una cuenta de iCloud o Google que controla el dispositivo móvil a través de App Store/Play Store es mucho más efectivo que tratar de encontrar vulnerabilidades y desarrollar exploits para móviles, lo cual es una tarea que requiere mucho tiempo y trabajo. El acceso proporcionado representa las claves del reino: datos confidenciales, información de tarjetas de crédito y más. Un atacante con una cuenta iCloud comprometida puede acceder a las copias de seguridad de iCloud del iDevice y recuperar datos pertenecientes a todas las aplicaciones de un dispositivo móvil, incluyendo mensajes, contactos y registros de llamadas.
Quien roba estas cuentas puede rastrear permanentemente un dispositivo y controlar remotamente varias acciones clave (como hacer compras no autorizadas o instalar aplicaciones maliciosas), causando más daños. Por esta razón, utilizar contraseñas complejas para las cuentas de iCloud/Google que se rotan con frecuencia y que tienen preguntas de seguridad asociadas que no se pueden investigar o adivinar fácilmente es una buena técnica de protección.
6. Ataques basados en texto
Otro problema que Eren ha observado es el hecho de que los canales de comunicación fuera de banda, como la mensajería SMS/texto para dispositivos móviles, no ofrecen suficientes soluciones y capacidades de filtrado. Cualquier atacante puede adquirir fácilmente una cuenta Twilio (Twilio es un servicio de desarrollo de aplicaciones basado en la nube en el que un desarrollador puede enviar o recibir mensajes de texto a través de interfaces de programación de aplicaciones o APIs) por una pequeña cuota y hacer phishing a miles de usuarios en una hora. La falsificación de números de teléfono le da a un atacante una ventaja adicional aquí. Si el atacante puede falsificar el número de mensaje de texto corto que su banco suele comunicar con usted, es muy probable que se lo tome en serio. Siempre llame directamente a la institución para preguntar si el mensaje de texto es legítimo; no responda a las solicitudes de credenciales o datos confidenciales.
VER: Política de BYOD (traer su propio dispositivo) (Tech Pro Research)
7. Redes Wi-Fi maliciosas
La organización de Eren también está viendo esquemas de ataque basados en redes públicas Wi-Fi. Estas redes, ofrecidas por individuos maliciosos, requieren el uso de un portal que pide a los usuarios que inicien sesión con una cuenta de Google o Facebook que les proporcione acceso a las credenciales de usuario implicadas. Dado que muchos usuarios emplean las mismas contraseñas en múltiples aplicaciones, esto puede resultar en una serie seria de brechas de datos.
Una variación particularmente peligrosa de esta amenaza es que estas redes maliciosas se instalan junto a las instituciones financieras y piden a los usuarios que inicien sesión con su nombre de usuario/contraseña bancaria para obtener acceso a Internet. Nunca utilice una red pública desconocida que exija sus credenciales personales para obtener acceso.
8. Deseo de comodidad
Eren señaló que la experiencia del usuario casi sin fisuras y la reducción de la fricción entre los flujos de trabajo de los usuarios es precisamente lo que hace que los dispositivos móviles sean menos seguros. Los atacantes pueden engañar más fácilmente a los usuarios porque no quieren perder el tiempo con avisos, advertencias, tener que iniciar sesión en aplicaciones separadas, recordar contraseñas múltiples, etc. En resumen, los usuarios buscan una experiencia de usuario sin problemas, sin interrupciones ni defectos, como los que podrían imponer las aplicaciones de seguridad, por ejemplo, bloqueando las actividades maliciosas o las aplicaciones, razón por la cual la formación en seguridad -incluyendo la descripción de los peligros y riesgos de la complacencia- es tan esencial.
«Nos gusta pensar que los asistentes inteligentes (esencialmente despliegue en el dispositivo de agentes inteligentes que aprovechan el ML y otras técnicas estadísticas) pueden ser muy útiles para combatir la suplantación de identidad (phishing) y otros contenidos falsos / problemas del sitio en un futuro próximo», concluyó Eren.
Boletín de noticias de Mobile Enterprise
BYOD, vestimenta, IO, seguridad móvil, soporte remoto y los últimos teléfonos, tabletas y aplicaciones que los profesionales de TI deben conocer son algunos de los temas que abordaremos. Entregado Martes y Viernes
Inscríbase hoy