Los riesgos que representan los Smartphones en las Compañías

Note: This post is available in English


Los teléfonos móviles evolucionaron a lo que hoy llamamos Smartphone: un dispositivo con características de una computadora personal que además de cumplir con la funcionalidad básica de un teléfono móvil, le permite a uno: estar conectado e integrado con redes sociales (Facebook, Twitter, LinkedIn,etc.), Internet (WiFI ó 2/3G), recibir correos electrónicos, leer y editar archivos (Excel, Word, PDF, etc.), tomar fotografías y filmar videos, instalar aplicaciones de productividad ó juegos y compartir agendas corporativas, entre otras cosas.

Según estadísticas, desde Diciembre 2010, en EE.UU. el 31% de la población ya posee un Smartphone y se espera que para fines del 2011 éstos superen el 50%. Este nivel de aceptación de estos dispositivos también se hace notar en las Compañías, dado que cada vez más empleados concurren a sus lugares de trabajo con uno de éstos.

Estas posibilidades de integración, interconexión y nuevas tecnologías traen aparejados nuevos riesgos de seguridad, tanto personales como corporativos. Las fronteras de seguridad de las Compañías ahora deben moverse a los dispositivos finales (como ser los Smartphones).

¿Qué riesgos implican los Smartphones para las Compañías?

Algunos de los riesgos que puede afrontar una Compañía con la utilización de Smartphones podrían ser los siguientes:

• Robo de información confidencial e impactos asociados 
• Obtención de credenciales de acceso a aplicaciones corporativas y personales 
• Daño de imagen corporativa 
• Diseminación de programas maliciosos 
• Ataques de ingeniería social 
  

A continuación describiré los posibles vectores de ataque que afrontan las Compañías para cada riesgo:

Robo de información confidencial e impactos asociados
El robo de información confidencial podría perpetuarse mediante los siguientes vectores de ataque:

• Robo ó pérdida del dispositivo: Los Smartphones permiten, entre otras cosas, guardar archivos en sus memorias principales y extendidas, al igual que correos corporativos y mensajes de texto. Un ejecutivo puede ser víctima de un ataque (ej. Espionaje industrial) donde el objetivo sea substraer el dispositivo para obtener acceso a la información que éste almacena. También uno puede ser víctima de un robo ó simplemente perder el mismo, exponiendo la información guardada en éste. 
• Extracción de información confidencial: Muchas Compañías utilizan varios controles para evitar que empleados extraigan información confidencial. Los Smartphones pueden utilizarse para copiar información sensible, al igual que los medios removibles (ej. USB Pen drive, memory card, etc.). 
• Uso de cámaras fotográficas / grabado de conversaciones: Varios Smartphones traen incorporadas cámaras que permiten tomar fotografías y filmar videos al igual que grabar conversaciones. Estas funcionalidades podrían permitir a un empleado utilizar dichas funcionalidades para extraer la información confidencial (fotografías ó filmaciones de planos, pantallas, documentos, etc.) 
• Instalación de aplicaciones maliciosas: Mediante la instalación de aplicaciones maliciosas, como ser un troyano, un atacante podría llegar a obtener acceso remoto al dispositivo y extraer información confidencial guardada en éste. 
• Información residual: El cambio de equipos de telefonía móvil en una Compañía es un hecho común. Normalmente estos cambios implican la reasignación de equipos usados a diferentes empleados. Si no se realiza un correcto borrado de información y reseteo de los dispositivos, es posible que un empleado reciba uno que contenga información confidencial o personal del usuario anterior. 

Obtención de credenciales de acceso a aplicaciones corporativas y personales
La obtención de credenciales de acceso a aplicaciones corporativas y personales podría perpetuarse mediante los siguientes vectores de ataque:

• Robo ó pérdida del dispositivo: La mayoría de las aplicaciones permiten guardar las contraseñas para evitar que el usuario tenga que ingresarlas nuevamente cada vez que éste accede a la aplicación. Si un atacante posee acceso físico al dispositivo, es posible que logre acceder a aplicaciones corporativas (intranets, extranets, VPN, etc.) y/o personales (web mail, redes sociales, etc.) simplemente ejecutando las mismas. 
• Escucha pasiva de redes WiFi inseguras: La mayoría de los dispositivos poseen la funcionalidad WiFi permitiendo el acceso a una red inalámbrica. Si un usuario se conecta a redes WiFi públicas (llamadas Hotspots) y ésta no ofrece ningún tipo de seguridad, como ser el cifrado de la conexión, un atacante podría estar escuchando pasivamente el tráfico de red y obtener de esta forma credenciales de acceso. 
• Instalación de aplicaciones maliciosas: Mediante la instalación de aplicaciones maliciosas, como ser un troyano, un atacante podría llegar a obtener claves de acceso a aplicaciones. A modo de ejemplo, un usuario podría instalar un juego que en realidad resulta ser un Troyano que captura todas las teclas que oprime y las envía por correo electrónico al atacante. 

Daño de imagen corporativa
Un atacante con acceso a un Smartphone de un ejecutivo (ó mediante la instalación de aplicaciones maliciosas) podría obtener acceso a la agenda de contactos de éste y así lanzar una campaña de desprestigio contra la Compañía por medio de correos electrónicos ó SMS. 

Diseminación de programas maliciosos
La mayoría de las Compañías posee software antivirus en estaciones de trabajo, servidores, correo electrónico y puertas de acceso a Internet. Sin embargo, aún no se considera un Smartphone como un posible medio de distribución de programas maliciosos. La instalación de aplicaciones maliciosas en los dispositivos y posterior conexión de éstos con servicios o redes de la Compañía podría permitir la diseminación de virus, gusanos, troyanos y otros. 

Ataques de ingeniería social
La mayoría de los usuarios guarda sus datos personales (nombre, dirección, empresa, teléfono, etc.) en sus teléfonos móviles. Un atacante con acceso al dispositivo, a estos datos y a la agenda telefónica podría lanzar un ataque de ingeniería social contra una persona en búsqueda de un objetivo mayor, como ser credenciales de acceso.


Qué medidas deben tomar las Compañías para minimizar estos riesgos? 

Las Compañías deben considerar a los Smartphones como un dispositivo más que debe ser protegido. A continuación enumero algunas de las medidas de seguridad que las Compañías deberían considerar respecto al uso de éstos:

1. Establecer una política de seguridad: Las Compañías deben desarrollar e implementar una política de seguridad específica que establezca los requerimientos básicos de seguridad que deben poseer los Smartphones.
   
2. Establecer lineamientos base (baselines) de seguridad: Las Compañías deben desarrollar lineamientos de configuración básicos y obligatorios que deberán poseer los Smartphones que utilizan ó acceden a los sistemas de la misma, como ser:  
• Bloqueo de pantalla: Configurar el dispositivo para solicitar un PIN para el desbloqueo de pantalla. De esta forma, un atacante no podrá utilizar el dispositivo sin el PIN correcto ó tendrá que borrarlo en su totalidad, incluyendo datos personales como ser agendas y correos. 
• Bloqueo de la tarjeta SIM: Configurar al dispositivo para solicitar el PIN de la tarjeta SIM cada vez que se encienda el dispositivo. De esta forma, un atacante que no posea el PIN no podrá utilizar la misma. 
• Cifrado de datos en memoria MicroSD: Configurar el dispositivo para cifrar los datos almacenados en la memoria externa (MicroSD). Esto le impide a un atacante obtener acceso directo a los archivos guardados en la memoria externa mediante la extracción del a misma. 
• Configuración del puerto USB por Defecto: Configurar el modo de operación por defecto del puerto USB a “Cargar Batería”. Normalmente, esta opción viene configurada en modo “Almacenamiento Removible”, permitiendo a un atacante acceder a los archivos guardados en el dispositivo ni bien éste es conectado al puerto USB y sin requerir el ingreso del PIN de acceso u otros. De esta forma, si el atacante desea cambiar de modo, deberá ingresar el PIN en el dispositivo. 
• Configuración de Sincronización / docking: Configurar al dispositivo para que solicite el PIN al Sincronizar el dispositivo con una estación de trabajo. De esta forma, un atacante no podrá sincronizar el dispositivo sin el PIN correspondiente y obtener la agenda, archivos y correos. 
• Cifrado de credenciales: Configurar con una contraseña fuerte la funcionalidad de almacenamiento de credenciales dentro del dispositivo. Las credenciales, como ser certificados SSL ó contraseñas de VPN (claves compartidas), son guardadas en un subsistema especial dentro del dispositivo. Proteger este sistema con una contraseña impediría a un atacante acceder a sus credenciales. 
• Configuración de funcionalidades BlueTooth: Deshabilitar por defecto la funcionalidad de BlueTooth y requerir siempre autentificación del mismo al utilizarlo. 
• Configuración de funcionalidades WiFi: Deshabilitar por defecto la funcionalidad de WiFi y siempre utilizar redes que contengan algún método de cifrado (WPA-PSK, WPA2-PSK ó WEP) 
• Configuración de funcionalidades USB Teethering / Wifi HotSpot: Deshabilitar las funcionalidades para compartir Internet por medio del puerto USB (ej. celular brindando acceso a una notebook) o HotSpot (ej. Celular actuando como un punto de acceso WiFi). 
• No permitir la utilización del usuario root del dispositivo ó jailbreak: De esta manera solo se podrán instalar programas oficiales y validados por el proveedor del sistema operativo. Dichos programas traen firmas digitales y pasan por varias pruebas antes de ser publicadas. Utilizar un Smartphone que contenga un jailbreak ó acceso al usuario root permite pasar por alto estos controles y aumentar la posibilidad de instalar programas maliciosos. 
  

3. Recomendaciones respecto a las aplicaciones: 
   
• No guardar las contraseñas en las aplicaciones: De esta forma, un atacante que posea acceso al dispositivo no podrá acceder a las aplicaciones fácilmente. 
• Utilizar conexiones seguras: configurar las aplicaciones para utilizar conexiones seguras, como ser SSL. De esta forma, si un atacante está escuchando el tráfico WiFi, no podrá obtener credenciales de acceso. 
• Solo instalar aplicaciones firmadas digitalmente ó que provengan del proveedor ó sitio oficial del fabricante del dispositivo (ej. Android Store, Iphone Store): De esta forma, se evitará instalar aplicaciones maliciosas. También es importante validar que tipo de permisos requiere la aplicación. 
• Aplicar parches de seguridad del sistema operativo y de aplicaciones: Los sistemas operativos de los Smartphones suelen ser actualizados cada vez que se detectan nuevas vulnerabilidades. Lo mismo sucede con las aplicaciones. Por estos motivos, es importante estar al tanto de las actualizaciones e instalarlas cuando sea necesario. 
  

4. No incluir información personal en el dispositivo: Para evitar ataques de ingeniería social, se recomienda no guardar datos personales, como ser empresa, teléfono ú otros datos del dueño del dispositivo. 
5. Software antivirus: Si está disponible, instalar un software antivirus en el dispositivo. 
6. Rastreo y borrado remoto: Existen herramientas que permiten localizar y de ser necesario, borrar todos los datos de un dispositivo en forma remota. Esto implicaría que por más que un atacante posea el dispositivo, ni bien este establezca una conexión con Internet recibirá comandos remotos que podrán activar el GPS y establecer su ubicación ó borrar todos los datos.

 Por Agustin Chernitsky