Hace algunos días adquirí un smartphone que integra el famoso sistema operativo Symbian^3 y quedé sorprendido de la infinidad de aplicaciones que se pueden descargar a través de Internet para este sistema operativo móvil y, como era de esperarse, también encontré que existen muchas aplicaciones que contienen troyanos y algunas que se utilizan para obtener datos en la red a través del smartphone.  Estuve leyendo acerca de dichos sistemas operativos y quiero compartirles algunas recomendaciones que se deben considerar para estas plataformas integradas en los smartphonesde hoy en día.

Según Canalys (compañía dedicada al análisis de mercado en la industria de la tecnología), Android de Google es  el líder en el mercado de los sistemas operativos para Smartphones, superando a Symbian de Nokia, el RIM de BlackBerry y el OS Apple del Iphone. Para muchos de los usuarios que no están familiarizados con dichos sistemas, no es tan relevante saber quién es el líder en el mercado, pero sí para los hackers quienes cada vez cometen más ataques contra teléfonos inteligentes y sobre todo para sistemas líderes en el mercado, tal como le pasó a Windows de Microsoft en los equipos de cómputo. Cuidarse de ataques de hackers en estos dispositivos aún no es muy común, en cambio cuidarse de los propios usuarios debería serlo, ya que sin conocer de políticas de seguridad acceden a la red de las empresas para utilizar sus servicios personales por medio del Smartphone móvil.

Todos sabemos que en la actualidad es común tener acceso a la información en cualquier momento y en cualquier lugar, lo que permite a los usuarios interactuar a través de conectividad tradicional tal como GPRS, EDGE, 3G, Wi-Fi, Bluetooth, etcétera, fuera de los límites de las empresas en donde laboran, accediendo a servicios como correo corporativo y personal; aplicativos corporativos y de distribución gratuita; sincronización de calendarios y contactos; almacenamiento y edición de documentos privados y personales, entre otros.

Lo anterior es causa de problemáticas y preocupaciones para los administradores de la seguridad en dichas empresas, quienes se preguntan cómo evitar el uso de estos dispositivos con fines no relacionados al negocio, por ejemplo, copiar información sensible en las memorias de almacenamiento de estos dispositivos; también cómo convencer al director de hacer una análisis previo y aplicar políticas de seguridad apropiadas en implementaciones corporativas de soluciones móviles; o cómo monitorear el uso de estas tecnologías sin invadir la privacidad de los usuarios.

Navegando por Internet hallé que es importante que hoy en día los administradores de la seguridad consideren tres
factores primordiales en el uso de estos dispositivos: tecnología, aplicaciones y el usuario.

.

Tecnología

Cada tipo de smartphone integra su propio sistema operativo, en algunos casos con características similares a las que normalmente se usan en los equipos de escritorio. Y como todos sabemos, cada uno de estos sistemas operativos tiene, además de innovadoras funcionalidades, nuevos agujeros de seguridad que permiten la ejecución de código malicioso tanto de manera remota como local.

Independientemente del tipo de sistema operativo, muchos de estos sistemas (imperfectos) tienen bugs a nivel de diseño en su servicio de control de acceso, permitiendo el ingreso no autorizado mediante técnicas de evasión o bien, el ataque directo a pobres implementaciones criptográficas, tal es el caso de Google quien ha confirmado recientemente los problemas derivados de una vulnerabilidad que afecta a casi todos los teléfonos Android, y que facilitaría que hackers accedieran a la información confidencial del dispositivo de otros usuarios a través de una red WiFi abierta. Como dato estadístico, la primera falla significativa de seguridad en el mercado Android se produjo hace algún tiempo, cuando unos hackers añadieron un código malicioso a 58 aplicaciones de moda y en horas infectaron 250,000 teléfonos.

Otra característica considerada en dichos sistemas es la capacidad de almacenamiento de datos, cada fabricante ha decidido usar diferentes medios y tamaños, por ejemplo, discos Flash,  SD, MiniSDMicroSD o Memory Stick. Independientemente de su tipo y forma, todos estos medios son vulnerables a la remanencia de datos, lo que permite la recuperación de archivos que el usuario creía eliminados. Esto pasa en alguno de los siguientes escenarios: cuando se reutilizan los equipos móviles dentro de la empresa; cuando el usuario vende el equipo móvil; o cuando existe donación de los equipos por una política de la empresa.

Como recomendación, al igual que los equipos de cómputo, todos los equipos móviles deben someterse a procesos de borrado seguro de datos, sobre todo cuando estos son propiedad de la empresa en donde labora el usuario.

.

Aplicaciones

El auge de redes inalámbricas y la tecnología 3G ha propiciado un gran crecimiento en la navegación Web desde  estos dispositivos móviles.  Hoy en día la experiencia es casi igual a la navegación desde un equipo de cómputo y, por ende, casi se sufren los mismos problemas, y es aquí en donde se debe aplicar la seguridad de los navegadores móviles.

El furor por las descargas de software o aplicaciones, desde para jugar hasta para buscar los horarios de una película, ha abierto un mundo de nuevas oportunidades para que los hackers infecten teléfonos. Debilidades como “Cross-site scripting” (XSS) y parecidas no están ausentes en estos sistemas, lo que permite a atacantes el acceso a información de forma no autorizada o el secuestro de sesiones establecidas en el móvil. Otro punto es la plataforma de desarrollo J2ME (Java 2 Platform Micro Edition), que provee el ambiente para la ejecución de aplicaciones Java en los dispositivos móviles. Dichas aplicaciones Java se conocen como MIDlets y hoy en día existen dos
versiones, MIDP 1.0 y MIDP 2.0.

MIDP 1.0 a diferencia de MIDP 2.0 posee deficiencias desde el punto de vista de la seguridad, ya que, como es clásico en la tecnología Java, todo es verificado a nivel de Sandbox (aislamiento de procesos), es decir, que la verificación no es completa porque consumiría muchos recursos en los Smartphones, haciendo a la aplicación difícil de utilizar. Por otro lado, las comunicaciones en esta versión están limitadas solo al protocolo HTTP lo que implica que cualquier tipo de comunicación tiene el riesgo de ser monitoreada por parte de un usuario mal intencionado.

Es importante mencionar que no todos los smartphones, a diferencia de los equipos de cómputo,  tienen soporte para la ejecución de aplicaciones de este tipo. Además no todos los fabricantes de las plataformas revisan y aprueba todas las aplicaciones, por ejemplo,  Android de Google permite que los desarrolladores coloquen directamente sus aplicaciones. Esa estrategia de Android  hace que su sistema sea más vulnerable a un ataque.

.

El usuario

La famosa “capa 8”, lamentablemente es la parte más débil en la seguridad de la información y en el uso de los teléfonos móviles, tampoco es la excepción; y es que, como muchos sabemos, las empresas hacen muy poco en relación a acciones formales y efectivas al respecto.

En nuestro país los usuarios de estos dispositivos corren el riesgo de robo o pérdida más de lo habitual que sucede con otras tecnologías: un dato que encontré menciona que tan solo en Chicago olvidan en los taxis 160,000 dispositivos por año. Para muchos de estos usuarios la pérdida física no implica nada, lo reportan y compran otro; pero para los que estamos en este medio, implica un compromiso contra la confidencialidad, la integridad y la disponibilidad de la información, sobre todo si son equipos que contienen datos importantes. Estoy casi seguro de que en un futuro no muy lejano se tomarán las medidas adecuadas a tiempo y se tendrán procedimientos de respuesta que contemplen a estos tipos de incidentes.

Es importante que las empresas consideren que independientemente de las características y niveles de integración de estos dispositivos,  hay algo que tienen en común: todas tienen vulnerabilidades.

En mayor o menor medida el uso de smartphones, sin la implementación de controles y conciencia por parte de los usuarios, introduce riesgos en cualquier empresa que no pueden pasar desapercibidos. La utilización de estos
dispositivos incrementará de forma significativa la productividad en las empresas, pero también será un dolor de cabeza si no se implementan procesos de seguridad adecuados.

Con esto concluimos que es importante que antes de decidir incorporar o no tecnologías de este tipo, se debe analizar los riesgos y cómo impactan el modelo actual de seguridad en la empresa. Por otro lado es básico que no se ignoren los equipos móviles personales, aplicando políticas para los empleados, claro, sin afectar la privacidad del usuario.

[email protected]