Si metes en una coctelera los dispositivos, aplicaciones y datos móviles junto a la consumerización tecnológica y el consecuente incremento del malware móvil, todo ello aderezado con una cucharada de BYOD, y lo agitas bien, ¿qué obtienes? Un cóctel letal de amenazas de seguridad para todo el mundo: consumidores, empresas y redes móviles. ¿Cómo inmunizarse frente a semejante brebaje?
Las amenazas a la movilidad corporativa atacan desde múltiples frentes, ignorarlas es entregar tu fortín, o más bien la seguridad de tus datos corporativos. Los creadores de malware avanzado –phishing, spyware, gusanos, troyanos o ataques man-in-the-middle– agudizan su ingenio ante la falta de medidas de seguridad de usuarios y empresas.
Las vulnerabilidades de los dispositivos móviles animan la intención criminal de hackers que ven en ellos un blanco fácil para sus actividades delictivas -robo de documentos, contraseñas, datos bancarios o información personal-.¿Quién es el principal responsable de esas vulnerabilidades? El mismo usuario y la empresa. No existe la misma concienciación que se tiene sobre la seguridad de los ordenadores, como si los dispositivos móviles fuesen inmunes por naturaleza a cualquier tipo de malware. Y es todo lo contrario.
La seguridad plena para la movilidad corporativa debe tener en cuenta la protección no solo de los dispositivos, sino también de las aplicaciones y datos móviles. Además existen otros factores que aumentan el riesgo como la vejez de la red móvil GSM, diseñada para un periodo vital limitado ya caducado -20 años- y que ahora se enfrenta a problemas de seguridad para los que no fué diseñada. También la ampliación de la tecnología móvil a los sistemas inteligentes automatizados, lo que viene denominándose M2M (Machine to Machine) o la Internet de las Cosas, cuya seguridad depende de la capacidad de sus creadores para hacer dispositivos y sistemas seguros.
Para evitar este cóctel endiablado las empresas deberían empezar por concienciar y formar a sus empleados (usuarios y administradores) sobre las medidas de protección fundamentales a adoptar para mantener una seguridad móvil adecuada, con la implantación de una estrategia de seguridad móvil, que observe los siguientes procedimientos básicos:
- Bloqueo por contraseña del dispositivo. Una contraseña para que el dispositivo salga del modo de suspensión en el que entra tras un rato de inactividad. Medida que debe ser complementada con el cifrado de la memoria, la interna y la de la tarjeta, con una clave de bloqueo de pantalla. Y recordar siempre no almacenar información sensible en el dispositivo, aunque los datos estén cifrados. Si hay que acceder a datos críticos mejor hacerlo de forma online a través de servidores seguros.
- Borrado remoto de los datos del dispositivo y restauración a los valores de fábrica, para casos de pérdida o robo.
- Realizar copias de seguridad periódicamente con soluciones controladas por la organización o un socio TIC de confianza. Hay programas y aplicaciones onlineque sincronizan los datos almacenados con el ordenador de escritorio, de forma que los datos están siempre disponibles y actualizables. Hay que cuidar que se sincronice la información confidencial.
Las contraseñas y claves deben ser complejas, que incluyan letras con dígitos, mayúsculas y caracteres especiales. - Evitar la principal fuente de infección que es la instalación de aplicaciones móviles desde fuentes desconocidas. Sólo instalar apps desde los repositorios oficiales (App Store, Google Play o App World). No instalar programas descargados directamente de P2P o foros dónde existe un alto riesgo de encontrar troyanos. Evitar también las llamadas a números 8xx, o el envío de SMS a números especiales, que repite el modelo de las llamadas al 906 que acababan con facturas alarmantes, ¿recordáis?
- Instalar únicamente las aplicaciones necesarias para trabajar, un exceso de aplicaciones ralentiza el funcionamiento del dispositivo. Además con esta medida se minimiza el riesgo de exposición. Antes de instalar una aplicación es importante leer los permisos y condiciones, así como comprobar su reputación.
- Jailbreak o Root – dar privilegios de administración del dispositivo a aplicaciones para saltarse la jaula de protección que tienen por defecto todos los sistemas operativos móviles-. Permitirlo sólo cuando sea absolutamente necesario para el funcionaminto de una aplicación concreta imprescindible, ya que en caso de que alguien consiga instalar un «bicho» en tu teléfono, éste tendrá el perfil root y podrá hacer de todo por ti. Mejor no «rootearlo»
- Disponer de una protección antivirus para dispositivos móviles como medida de seguridad extra contra el malware. Existen múltiples soluciones.
Con demasiadas aplicaciones móviles hay más riesgo de que alguna sea vulnerable y permita a un hacker controlar el dispositivo - Realizar actualizaciones de software. Los OS móviles incluyen un sistema de actualización de aplicaciones con el que informan a los usuarios sobre las nuevas versiones disponibles de las aplicaciones instaladas. Es fundamental realizar estas actualizaciones, ya que además de incluir nuevas funcionalidades corrigen fallos de seguridad. Manteniendo el sistema actualizado se evitan infecciones a través de apps vulnerables. Pero cuidado porque algunas aplicaciones gratuítas que instalamos; la primera vez parecen «inocentes», pero luego las actualizaciones vienen cargadas de modificaciones para tener permisos que nada tienen que ver con el fin de la aplicación instalada.
- Cuidado con las WiFi públicas y los cargadores públicos. Aunque tengan una contraseña para la conexión, las WiFí públicas son vulnerables a ataques externos que podrían afectar a todos los que estén conectados a esa red. Por ello si no es necesario utilizarlas, mejor no acceder a ningún servicio que necesite contraseña, realizar operaciones bancarias o descargar documentos confidenciales. En cuanto a los cargadores públicos, mejor evitar conectar el dispositivo por USB a cualquier ordenador público ya que se pueden manipular para extraer información de cualquier dipositivo USB al que se conecten. Debéis tener en cuenta que cualquier servicio «WiFi libre del vecino» puede tener detrás algún malintencionado que grabe todo lo que estáis enviando a Internet a través de esa WiFi libre (lo cifrado, cifrado está, pero ¿y los correos? ¿y los documentos confidenciales enviados?) Hay que tener siempre en cuenta que no solo le afecta a tus datos personales, sino a todos los datos del dispositivo (corporativos y personales).
- Desactivar las redes inalámbricas (WiFi, bluetooth o infrarrojos) si no se van a usar a corto plazo. Los atacantes pueden utilizar puntos de acceso falsos y engañar al dispositivo para que se conecte automáticamente a una red de supuesta confianza desde dónde se monitoriza la actividad del usuario sin que éste sea consciente de ello.
Las soluciones de Gestión de Dispositivos Móviles (MDM – Mobile Device Management) se encargan de buena parte de estas medidas, así como de otras funciones que buscan en conjunto mantener un control centralizado de la movilidad corporativa. En un post anterior, 10 soluciones de Gestión de Dispositivos Móviles (MDM) para entornos BYOD, encontrarás algunas de las más completas.
El seguimiento de estas medidas mantiene una seguridad adecuada de los dispositivos móviles, pero sólo si el usuario y la empresa están concienciados y actúan en consecuencia. La gente a veces piensa que en el móvil o la tableta no tienen nada que interese robar, sin embargo olvidan los correos electrónicos, los archivos adjuntos, las libretas de direcciones y contactos y, por supuesto, la configuración inalámbrica y VPN que permiten al acceso a la red corporativa. Olvidan que a los atacantes les basta una pequeña ranura para colarse hasta la cocina. La concienciación y formación del personal de la empresa bajo unas políticas de seguridad y administración bien definidas y su cumplimiento son las principales medidas de protección.
photo credit: Dinner Series via photo pin cc