Seguridad en dispositivos móviles

Seguridad en dispositivos móviles Concepto: Seguridad en dispositivos móviles. Los dispositivos móviles se caracterizan por ser un sistema de comunicación ampliamente difundido debido a su fácil acceso, conectividad y versatilidad.

Seguridad en dispositivos móviles . Los dispositivos móviles se caracterizan por ser un sistema de comunicación ampliamente difundido debido a su fácil acceso, conectividad y versatilidad. Los teléfonos inteligentes (smartphones) cuentan con sistemas operativos similares a un ordenador, y tienen la ventaja del uso de redes geográficamente distribuidas a nivel global. Lo cual los hace vulnerables a riesgos derivados por virus o ataques informáticos.

Dispositivos móviles

• Un dispositivo móvil es esencialmente una computadora de mano, o en otras palabras, que podemos transportar y utilizar sin dependen de una infraestructura física para ello. En la actualidad implica además conexión inalámbrica y capacidades de computación general.
• Los principales exponentes de este campo son los teléfonos inteligentes, tabletas, lectores digitales y laptops.

Principales riesgos de seguridad

• Por sus características físicas, los dispositivos móviles, tienen el riesgo de sufrir una serie de amenazas de seguridad como:
  • Pérdida, robo o destrucción de dispositivos
  • Robo de credenciales
  • Pérdida información
  • Conexión a redes inseguras
  • Geoposicionamiento
  • Usuarios

Pérdida, robo o destrucción de dispositivos

• Los dispositivos móviles son cada vez más ligeros y pequeños, lo que hace que se pierdan más fácilmente.
• La desaparición o destrucción de uno de estos dispositivos, no solo acarrea la pérdida económica de su valor. Con los dispositivos se gestiona información que tiene valor para la entidad y por tanto también supone la pérdida de la misma, y del uso fraudulento que puedan hacer de ella si cae en manos de terceros.
• Los dispositivos móviles personales para uso profesional tienen más posibilidades de sufrir estos incidentes porque se extiende su utilización fuera del ámbito de la entidad.

Robo de credenciales

• La utilización de los dispositivos móviles para uso corporativo en lugares fuera de la oficina como hoteles, aeropuertos, restaurantes o la propia casa del trabajador, los hace especialmente sensibles al robo de credenciales.
• Algunos “descuidos” que pueden provocar el robo de las credenciales:
  • abandonar el equipo sin bloquear la sesión de usuario
  • tener apuntada una contraseña a la vista de los demás en un papel.  teclear la contraseña a la vista de los demás
  • Tener “recordadas” las contraseñas de las aplicaciones utilizadas

Pérdida de información

• Aunque el dispositivo esté configurado con medidas de seguridad adecuadas para su uso privado, esto no significa que cumpla las medidas de protección que se necesitan en la entidad.
• Perder información confidencial como la base de datos de clientes y proveedores, los archivos de contabilidad de la entidad, y de otro tipo, podría significar una fuga de información de consecuencias graves como:
  • pérdida de clientes
  • deterioro de la imagen de la entidad
  • pérdida de posicionamiento en el mercado
  • sanciones económicas y legales

Conexión a redes inseguras

• Existirán situaciones en las que el trabajador deba conectar a la red los dispositivos móviles fuera de la protección que brindan las redes internas del entorno laboral.
• Es importante desconfiar de estas redes porque no sabemos quién puede estar detrás de ellas, quienes las administra o incluso, si son las redes que dicen ser.
• Hay casos en los que los ciberdelincuentes crean una red wifi en zonas públicas con nombres similares al lugar donde se encuentran con el objetivo de capturar conexiones y recopilar información.
• En teléfonos y tabletas, las aplicaciones como el correo electrónico siguen funcionando, aunque la aplicación no esté en pantalla.

Geoposicionamiento

• Uno de los riesgos de estar conectado permanentemente a la red es el uso del geoposicionamiento.
• La información del geoposicionamiento obtenida puede ser utilizada por otros servicios y aplicaciones de los dispositivos mediante:
• GPS u otros sistemas de posicionamiento global
  • redes wifi
  • antena de telefonía de los proveedores de servicio
• Esta información puede servir para monitorear los movimientos de directivos y trabajadores, revelando información sensible de la entidad.

Usuarios

• Es fundamental que el trabajador que acceda a los recursos de la entidad con dispositivos móviles, independientemente si son personales o corporativos, esté concientizado y formado en materia de ciberseguridad, de este modo:
  • ayudará a cumplir las normas y políticas establecidas para estos dispositivos.
  • alertará sobre cualquier problema detectado en los dispositivos y en la utilización que se hace de estos.
  • evitará las acciones indeseadas sobre la información y los dispositivos, ya sea de manera intencional o no.
  • aceptará la gestión de los dispositivos por parte de la entidad.

Medidas de seguridad en dispositivos móviles

Utilizar fuentes de aplicaciones confiables

• Una causa importante de las infecciones de dispositivos móviles se debe a la instalación de aplicaciones desde fuentes desconocidas. Por ello es necesario instalar aplicaciones solamente desde los repositorios oficiales.
• Deben instalarse únicamente las aplicaciones que están permitidas en las políticas de seguridad de la entidad.
• Además, es importante leer los permisos y condiciones que se están aceptando antes de instalar una aplicación y comprobar la reputación de la misma.

Instalar solamente las aplicaciones necesarias

• Llenar el dispositivo de aplicaciones innecesarias no solo ralentiza su funcionamiento y ocupa sus recursos, sino que aumenta el riesgo de que contengan vulnerabilidades de seguridad.
• Por eso es recomendable desinstalar las aplicaciones que no sea estrictamente necesaria, y así minimizar el riesgo de exposición.

Realizar salvas de información

• Si la información utilizada en el dispositivo es importante y su pérdida ocasionara graves problemas, entonces sería conveniente utilizar alguna solución de salvas de información.
• Lo recomendable es encontrar soluciones de copias de seguridad controladas por la entidad, para que la información no viaje fuera de ella.

Realizar salvas de información

• Esta práctica se suele complementar con la técnica anterior. Consiste en cifrar las unidades de almacenamiento, haciendo imposible la copia o extracción de datos si no se conoce la contraseña de desbloqueo.
• Según el modelo, se permite cifrar tanto la memoria interna como la memoria de almacenamiento externo.

Establecer el bloqueo del dispositivo

• Es importante, igualmente, configurar el terminal para que, pasado un tiempo de inactividad, pase automáticamente a modo de suspensión y se active el bloqueo de la pantalla.

Evitar el almacenamiento de información sensible

• La información más delicada de la entidad no debe ser almacenada en dispositivos móviles, aunque estén cifrados puesto que los dispositivos móviles suponen riesgos mayores.
• Si se ha de acceder a dicha información crítica desde un dispositivo móvil debe hacerse de forma online en servidores seguros.

Evitar los “rooteos” y “jailbreak”

• Los términos “rooteo” y “jailbreak” de un dispositivo se refieren a conceder privilegios de administración a las aplicaciones, saltándose el mecanismo de protección que tiene por defecto los sistemas operativos de los teléfonos Android e iOS.
• Esta característica puede añadir funcionalidades extra al dispositivo, pero también es un riesgo extra al que se expone, ya que se está eliminando la barrera de protección que sin el rooteo y jailbreak se mantiene.
• Salvo que sea absolutamente necesario para el funcionamiento de una aplicación concreta, es totalmente desaconsejable habilitar esta característica en los dispositivos.

Habilitar el borrado remoto

• Con esta práctica se podrán borrar los datos del dispositivo y restaurarlos a los valores de fábrica, todo ello de forma remota.
• Puede ser muy importante tener a mano este recurso en caso de pérdida o robo del dispositivo. • Esta función depende del tipo de dispositivo y del fabricante.

Deshabilitar la Geolocalización

• Aunque la mayoría de los dispositivos móviles actuales permiten habilitar de forma selectiva el geoposicionamiento, según las preferencias y necesidades del usuario, es recomendable deshabilitar esta funcionalidad siempre que su uso no sea estrictamente necesario.
• A la hora de instalar aplicaciones, hay que tener precaución con aquellas que piden acceso a la función de geoposicionamiento del dispositivo, habilitando esta función solamente en caso necesario.

Instalar un antivirus

• Se recomienda disponer de un antivirus en el dispositivo móvil como medida extra de protección contra el malware.
• Segurmática Móvil, solución desarrollada y comercializada en nuestro país para dispositivos Android, representa una opción imprescindible a ser aplicada en el contexto nacional.

Desactivar comunicaciones inalámbricas

• Es muy importante desactivar las redes inalámbricas si no se van a utilizar a corto plazo. Las redes más usuales suelen ser wifi, Bluetooth, o infrarrojos.
• Existen ataques contra redes inalámbricas que utilizan puntos de acceso falsos, engañando al dispositivo para que se conecte automáticamente a una red de supuesta confianza. El usuario navegaría entonces sin tener constancia de que el tráfico está siendo monitorizado por un atacante.

Evitar el uso de cargadores públicos

• Se han dado casos de fugas de información en dispositivos móviles por haber sido conectados en cargadores públicos.
• Se debe evitar conectar el dispositivo por USB a cualquier ordenador público y cualquier otro aparato que no tengamos total confianza en él.
• Pueden haber sido manipulados para extraer información de cualquier dispositivo USB al que se conecten.

Conclusiones

Necesidad de políticas de uso

• Aunque el dispositivo esté personalizado con unas medidas de seguridad adecuadas para su uso privado, esto no significa que cumpla las medidas de seguridad que se necesitan en el entorno corporativo.
• No es suficiente establecer y aplicar medidas técnicas de protección sobre estos dispositivos, sino que debemos ir más allá y regular formalmente la utilización de estos dispositivos.
• Por tanto, debemos definir y establecer una política corporativa de uso de dispositivos móviles personales. En esta política podríamos incluir incluso los dispositivos integrados en la ropa o wereables, como son los relojes (smartwatches), pulseras y otros dispositivos que se conectan al teléfono móvil.

Aspectos a tener en cuenta

• Actualizar las políticas de seguridad para incluir el uso de dispositivos móviles personales, reforzando el apartado referente a la política de protección de datos corporativa.
• Crear una base de datos que incluya los dispositivos móviles personales autorizados a acceder a los recursos de la entidad, los usuarios que los manejan y sus respectivos privilegios de seguridad.
• Establecer mecanismos de gestión para hacer cumplir las políticas de seguridad establecidas.

Vease también

• Seguridad Informática
• Ciberseguridad
• Política de Seguridad Informática
• Sistema de gestión de eventos e información de seguridad

Fuentes

• Curso Fundamentos de la Ciberseguridad. Autores. M.Sc. Henry Raúl González Brito - Dr.C. Walter Baluja García - Dr. C. Raydel Montesino Perurena*Manual sobre Seguridad informática.