La seguridad en los dispositivos móviles es un tema que las empresas estudian cada vez más con mayor detenimiento. Si no se cuenta con el sistema indicado para la protección de estos equipos, transacciones bancarias, intercambio de información y datos privados serán vulnerables.
Por Víctor Alejandro Galvis González
Los dispositivos móviles se han convertido en una herramienta vital para las pequeñas, medianas y grandes empresas. El hecho de poder enviar y recibir información, pagar cuentas o hacer trámites bancarios mediante teléfonos inteligentes o tabletas, los convierte en ventajas que las compañías y los empresarios difícilmente pueden ignorar.
De hecho, según un reciente estudio de las compañías internacionales de tecnología IDC y Unisys, en el 2012 el 40.7% de los empleados utilizan dispositivos personales para sus tareas de trabajo, 10% más de lo que lo hacían el año anterior.
Sin embargo, debido a la creciente popularización de esta tecnología, hackers y delitos informáticos también se han proliferado; de acuerdo con los datos de McAfee Inc. y Science Applications International Corporation, el 25% de las organizaciones han sufrido paralización o atraso de una fusión o adquisición, a causa de una filtración de datos.
Es por ello, que la seguridad en los dispositivos es un tema que cada vez es más importante en todas las instituciones. “Actualmente una de las medidas más comunes para proteger las transacciones electrónicas, no sólo en dispositivos móviles sino en computadores tradicionales, es el uso de un segundo factor de autenticación; adicional a la tradicional contraseña de acceso web”, explicó Carlos Castillo, investigador de código malicioso en dispositivos móviles de McAfee.
“Generalmente cuando un usuario realiza una transacción electrónica primero se le solicita una contraseña de acceso en el sitio web del banco la cual le permite realizar consultas sobre saldo y movimientos. Sin embargo cuando el usuario desea realizar un pago o una transferencia, se le solicita otra credencial de acceso que puede ser otra contraseña, números específicos en una tarjeta de coordenadas, una contraseña de un sólo uso en un token físico o un código especial enviado al dispositivo móvil en un mensaje de texto (SMS)”, explicó el experto.
El objetivo de este segundo factor de autenticación es evitar que con sólo la primera contraseña se pueda consultar la cuenta o realizar transacciones electrónicas.
Aún con todo, la seguridad de un usuario no depende solamente en la protección que se le pueda brindar al dispositivo en el momento de una transacción, también, el robo de datos en cuentas de correos electrónicos, generalmente usadas en estos aparatos, podría significar un fraude a mediano o largo plazo.
Enrique Navarrete, complete manager de Check Point, expresó que “actualmente el 78% de las empresas no tienen clara la estrategia de seguridad para los dispositivos móviles y lo que normalmente hacen es asegurar la LAN o red interna”.
Hoy en día, las 7.000 millones de personas que viven en el mundo utilizan más de 4.000 millones de celulares, sin contar las millones de tabletas que circulan y, aun así, el 32% de los usuarios piensa que no necesita software de seguridad para sus dispositivos móviles.
De acuerdo con el estudio de ciberdelito desarrollado por el Registro de Direcciones de Internet para América Latina y Caribe (Lacnic), el phishing o robo de datos personales significa pérdidas anuales por unos US$93.000 millones, y afecta a unos 2.500 bancos que operan en la región, en tanto los robos a cuentas de clientes suman otros US$761 millones.
“Las compañías tienen que advertir que los hackers están aprovechando la vulnerabilidad de los puertos móviles para introducir el código malicioso a la empresa”, dijo Enrique Navarrete, quien advirtió que “lo que normalmente hacen las instituciones es asegurar la LAN o la red interna y no ven que un altísimo porcentaje de los correos electrónicos o aplicaciones se puede contraer el código malicioso o la vulnerabilidad”.
Maneras de protección
El uso de los teléfonos inteligentes o tabletas es uno de los avances más significativos en los últimos años respecto a las transacciones electrónicas y su seguridad; ya que remplazó a las tradicionales tarjetas de plástico de banda magnética las cuales pueden ser fácilmente clonadas.
“En general, la idea es que el teléfono almacene la información de las tarjetas de forma segura de tal manera que cuando se vaya a realizar la transacción, dichos datos se transmitan de forma segura del teléfono a un lector especial mediante el uso de la tecnología de transmisión de datos de corto alcance NFC la cual actualmente está empezando a masificarse a nivel mundial”, explicó Carlos Castillo de McAfee.
Uno de los pioneros en el uso de teléfonos inteligentes como billeteras digitales es Google con su aplicación Google Wallet que funciona en el dispositivo Samsung Nexus S en Estados Unidos.
Por otro lado, empresas como Check Point, integran la solución llamada Mobile Acces la cual funciona replicando las medidas de seguridad del firewall a los dispositivos móviles.
Enrique Navarrete, complete manager de esta empresa, aclara que esta solución “es muy efectiva, ya que hace una nueva política de seguridad y replica todo lo que determinaste de la seguridad para cada uno de los usuarios , es decir si yo tengo algún tipo de políticas de seguridad ya definidas para mí como usuario, esa misma política de seguridad se manda o se copia al dispositivo móvil y ya puede estar mucho más seguro, ya que al final del camino, está interactuando con mi red”.
“El tema es que muchas compañías no se dan cuenta, o sea no están pensando en esa seguridad en los dispositivos móviles y creen que con estar seguros en la red LAN ya tienen la capa completa”, concluye el experto.
Las mayores dificultades
El malware o código malicioso, es una de las mayores amenazas de seguridad para dispositivos móviles, especialmente para Android. “Inclusive se ha encontrado aplicaciones maliciosas que afectan la seguridad de las transacciones electrónicas, este es el caso de los componentes para dispositivos móviles de los troyanos bancarios: ZeuS y Spyeye”, explicó el investigador Castillo.
Estas dos familias de malware son comunes para los computadores tradicionales y generalmente afectan usuarios de Windows. “Sin embargo el año pasado se encontraron componentes para dispositivos móviles que tienen como objetivo obtener el segundo factor de autenticación de la transacción electrónica”, dijo el experto.
La infección se desarrolla de la siguiente manera: el ataque comienza en el computador tradicional (generalmente Windows) infectado con uno de estos dos malware. Una vez la primera contraseña es robada, el código malicioso en el PC muestra una página web falsa en donde le solicita al usuario ingresar una URL en el dispositivo móvil. Dicha dirección contiene la aplicación maliciosa para Android la cual engaña al usuario haciéndole creer que es una herramienta de seguridad pero en realidad monitorea los mensajes de texto que recibe el usuario con el fin de obtener el segundo factor de autenticación y enviarlo al atacante. Una vez se tienen las dos credenciales es posible realizar transacciones sin consentimiento del usuario.
Una evolución de este ataque se descubrió recientemente en donde la aplicación maliciosa se hace pasar por un banco simulando la generación del segundo factor de autenticación pero en realidad, al igual que con los otros malware, también reenvía los mensajes a un servidor remoto con el fin de obtener el segundo factor de autenticación. Una de las nuevas características de este malware es que el ataque se puede realizar directamente en el dispositivo móvil porque se engaña al usuario para que ingrese su primera clave. La otra funcionalidad importante es que el código malicioso se puede controlar remotamente debido a que puede ejecutar comandos enviados desde un servidor en internet.
Finalmente, Google Wallet es un hecho que, aunque es un gran avance en seguridad comparado con las tarjetas de crédito/débito tradicionales, no es infalible. Lo cual quedó demostrado recientemente con el descubrimiento de una vulnerabilidad en la aplicación que permitía obtener el PIN de acceso de 4 dígitos en cuestión de segundos con lo cual se tiene acceso completo a todos los datos de las tarjetas almacenadas en el dispositivo.
En el tema de navegación, aplicaciones, estar mandando información sensible y confidencial dentro de tu propio dispositivo, también te asegura que esa información esté de alguna forma visualizada por la política de seguridad que se estableció, según a las explicaciones de la empresa McAfee.
El especialista Enrique Navarrete, mencionó que “desgraciadamente a través de los dispositivos móviles se está entrando a una era en donde prácticamente el 44% del trabajo está en el dispositivo, entonces se hace una de las herramientas más vulnerables que debemos ponerle muchísimo foco”.
Realmente vemos que el tema del correo electrónico con más riesgos que hoy estamos viviendo el acceso a las redes sociales, sentimos que son los riesgos que son los más importantes, que está viviendo hoy día el tener acceso. A tus dispositivos, la red social donde usualmente se está compartiendo información.
¿Qué pasa en caso de perdida?
La seguridad del bloqueo del dispositivo móvil depende en gran parte del usuario, actualmente los sistemas operativos para estos equipos proveen diferentes mecanismos de bloqueo y autenticación (PIN, contraseña, patrón, rostro) para prevenir el acceso no autorizado en caso de que el dispositivo sea robado.
Dichos mecanismos pueden ser configurados para reducir el riesgo de acceso no autorizado; por ejemplo evitar que el patrón o contraseña sea visible cuando se está dibujando o bloquee al dispositivo automáticamente cuando esté inactivo durante cierta cantidad de tiempo.
En entornos empresariales usualmente existen políticas de seguridad que exigen la correcta configuración de dichas medidas aunque muchas veces los usuarios no las aplican.
Para asegurar la correcta implementación y aplicación de las políticas, soluciones como EMM (McAfee Enterprise Mobility Management) permiten, entre otras cosas, asegurar el cumplimiento de las políticas de seguridad en los dispositivos móviles de la empresa.
Además, es importante tener copia de los datos, agenda de contactos, configuraciones, etc. El ideal es que si mañana se pierde un dispositivo al día siguiente se esté trabajando en otro de iguales características sin mayor inconveniente. Es una forma de asegurar la continuidad de un negocio.
La seguridad la brinda el usuario
Es indispensable que el usuario también tome en cuenta los protocolos de seguridad para aumentar el blindaje de los equipos, por ejemplo bloquearlo con un número pin o contraseñas, instalar solo aplicaciones desarrolladas en fuentes de confianza y crear copia de seguridad de datos.
Igualmente, mantener el sistema actualizado, cerrar sesiones de las páginas web de banca electrónica y de compras online y desactivar el wi-fi o los servicios de geolocalización y bluetooth cuando no se utilice.
Finalmente, es importante que el usuario evite enviar información personal mediante mensajes de texto de correo electrónico e instale una aplicación de seguridad en el dispositivo.
Según datos de estas empresas, el uso de internet para este tipo de tecnología en 2014 superará a la navegación por internet desde una computadora de escritorio, lo que podría convertir a los dispositivos móviles en un objetivo incluso más interesante para los timadores y ciberdelincuentes.
Para 2016, en tanto, las transacciones electrónicas alcanzarán un valor de US$ 31.000 millones, por lo que resulta crítico que los consumidores conozcan la forma de comprar de manera segura desde sus equipos móviles. Dice McAfee, que para 2015 se espera que el número de usuarios de banca a través de dispositivos móviles alcance los 500 millones en todo el mundo.
Deje su comentario