Brian Jackson - Fotolia

Lo básico Póngase al día con nuestro contenido introductorio.

DEF CON 23: Certificados digitales, claves para la seguridad móvil, dice investigador

La seguridad tradicional no siempre funciona para los móviles, pues los sistemas operativos móviles son diferentes a los de las PC.

Los certificados digitales son clave para cualquier estrategia de seguridad móvil, según Mike Raggo, director de investigación de seguridad de la firma de gestión de movilidad empresarial MobileIron.

"Muchas empresas todavía están tratando de aplicar políticas de seguridad tradicionales a dispositivos móviles, pero no siempre funcionan porque los sistemas operativos móviles son fundamentalmente diferentes a los de PCs, portátiles y servidores", le dijo a los asistentes de la conferencia de hackers DEF CON 23 en Las Vegas.

Los sistemas operativos móviles, dijo, tienen un tipo de enfoque de caja de arena (sandbox) en la forma en que manejan las aplicaciones y los datos, mientras que los sistemas operativos de PC y los datos de aplicaciones suelen ser compartidos a través de todas las aplicaciones.

"En un dispositivo móvil, usted también tiene capacidades de usuario que le permiten compartir datos y hacer cosas como abrir un archivo adjunto de correo electrónico y abrirlo en una aplicación secundaria, editarlo y luego subirlo a Dropbox y cosas por el estilo", dijo.

Raggo agregó que con la explosión de los medios sociales, la nube y los móviles, "los datos viven en todas partes", lo que significa que los firewalls tradicionales se han "vaporizado". Además, con el advenimiento de la tendencia de traer su propio dispositivo (BYOD), los usuarios están suministrando y configurando sus propios dispositivos para usarlos en el trabajo, de manera independiente a TI.

"Todos estos factores tienen que tenerse en cuenta desde el punto de vista de la seguridad móvil", dijo.

Amenazas móviles

La investigación de MobileIron ha identificado cuatro categorías principales de amenazas móviles, dijo Raggo, comenzando con el jailbreak de los dispositivos de Apple para eludir las restricciones sobre lo que puede ser instalado en los dispositivos.

"Nos referimos a esto más ampliamente como compromiso del sistema operativo (OS), porque hay un montón de diferentes formas en que un dispositivo puede estar comprometido", dijo.

Luego, Raggo dijo que hay una gran cantidad de enfoque en el malware móvil, pero agregó que si bien esta es una preocupación legítima,también hay una gran cantidad de riesgos asociados con aplicaciones legítimas y aplicaciones internas que no deben pasarse por alto.

"Las estadísticas muestran que de las 400 mejores aplicaciones en la App Store de Apple y de los 400 mejores aplicaciones en Google Play, aproximadamente el 80% tiene algún tipo de conducta de riesgo que podría exponer información de identificación personal (PII), como datos de GPS, contactos, direcciones de correo electrónico e información de hardware ", dijo.

Las aplicaciones internas, añadió, también deben ser validadas de forma independiente, antes de ser enviadas ​​a usuarios de la empresa, para probarlas por vulnerabilidades intencionales o accidentales.

La siguiente área de riesgo, dijo Raggo, se relaciona con el hecho de que los dispositivos móviles se actualizan todo el tiempo, ya que siempre están conectados. "Cada vez que sale una nueva versión del sistema operativo o de la aplicación, introduce vectores potenciales de ataque o amenazas que cambian el paisaje cada vez”.

En cuarto lugar, dijo, está la cuestión de los ataques man-in-the-middle (MITM) porque las personas están utilizando dispositivos con acceso a los datos empresariales para conectarse a WiFi abiertos que pueden ser interceptados y descifrados por atacantes utilizando puntos de acceso inalámbricos falsos.

Además, Raggo dijo que, a medida que más personas comienzan a usar relojes inteligentes, estos dispositivos están introduciendo una nueva serie de riesgos para los datos empresariales.

"Algunos de los relojes inteligentes que probamos hace poco no tenían ningún PIN o capacidad de código de acceso, mientras que otros no proporcionaron capacidad de cifrado para los datos en el dispositivo, en tanto que  la aplicación de sincronización para un reloj inteligente chino se estaba comunicando con una dirección IP al azar", dijo.

Aplicaciones y contenido malintencionados

Una tendencia general importante en el espacio móvil, dijo Raggo, es que los atacantes están empezando a centrar su atención en la creación de aplicaciones maliciosas o en inyectar contenido malicioso en aplicaciones legítimas.

"En realidad, el malware representa menos del 0.4% de todas las amenazas móviles, lo que significa que el mayor riesgo viene de los comportamientos de riesgo de aplicaciones legítimas que la gente está utilizando todos los días", dijo.

Según Raggo, la investigación muestra que otra importante tendencia general es que hay un número creciente de amenazas móviles que no requieren un compromiso del dispositivo real.

"Por ejemplo, FireEye ha hecho algunas buenas investigaciones en torno al ataque Masque, que ocurrió alrededor del mismo tiempo que WireLurker, en el que el malware estaba incrustado en la actualización de una aplicación que permitía a los atacantes robar las credenciales y los datos", dijo.

Raggo dijo que las empresas pueden utilizar herramientas como APK Tool para identificar las capacidades de una aplicación para Android y verificar si está mostrando correctamente todas sus capacidades cuando es descargada e instalada.

"Esta herramienta puede mostrar si una aplicación tiene la capacidad de escribir en  almacenamiento externo, modificar los datos en la tarjeta SD, abrir y cerrar el acceso a Internet, o monitorear la VPN [red privada virtual], lo cual podría no ser divulgado por la aplicación cuando es descargada e instalada”, dijo.

El análisis de aplicaciones también ha puesto de manifiesto que, si bien algunas afirman cifrar todos los datos en movimiento, cuando se cambian las contraseñas esta información se envía en texto abierto por la red.

"Tener ese nivel de inteligencia es clave, pero es muy difícil si usted está administrando una empresa y [quiere] tener ese nivel de visibilidad para todas aquellas aplicaciones en todos los dispositivos móviles, no es escalable, por lo que han surgido servicios de afirmación que analizan aplicaciones cuando se descargan y hacen una referencia cruzada con todas las aplicaciones de riesgo conocidas", dijo Raggo.

Además de la complejidad del reto, dijo, hay varias maneras diferentes en que los dispositivos de Apple pueden ser “abiertos” (jailbrake), hay herramientas que pueden ocultar el hecho de que los dispositivos están “abiertos” ante los sistemas de gestión empresarial, y ha habido casos de dispositivos de Android nuevos que se han encontrado “ruteados”.

"Además, hay ROMs personalizadas y hay una variedad de software de respaldo que relaja las capacidades del dispositivo o relaja la postura de seguridad que puede llevar a una gran cantidad de exposición de datos, por lo que tener una defensa en profundidad para identificar todo eso es esencial", dijo Raggo.

El uso de certificados de cliente

También es digno de mención, dijo, quelos típicos sistemas de gestión de movilidad empresarial se componen de una consola de gestión y una aplicación en el dispositivo, y mientras que la aplicación puede estar identificando comportamientos maliciosos, no siempre se comunica con la consola.

"Por lo general, la comunicación con la consola es solo de manera periódica, lo que significa que, como resultado, hay una ventana de compromiso entre que el dispositivo se vea comprometido y la consola reciba la notificación de este hecho y sea capaz de limpiar selectivamente los datos de la empresa”, dijo Raggo.

Por esta razón, dijo, es importante para la seguridad de la empresa tener la capacidad de hacer algo de forma local en el dispositivo para identificar un compromiso, y selectivamente borrar datos de la empresa, así como bloquear el acceso del dispositivo a la red corporativa.

"La gente está tradicionalmente utilizando VPN para el acceso a la red corporativa, pero el iOS de Apple de forma nativa soporta VPN por cada aplicación, lo cual le permite ser selectivo sobre qué aplicaciones en el dispositivo pueden acceder a la red interna y crear una lista blanca de todas las aplicaciones validadas, bloqueando todas los demás", dijo Raggo.

En vista de todas estas amenazas móviles, dijo que MobileIron recomienda habitualmente el uso de certificados de cliente facilitados por el protocolo SSL/TLS.

"Esto significa que las empresas pueden enviar un perfil para cosas como el correo electrónico y la conexión WiFi con un cert en lugar de un nombre de usuario y una contraseña, para evitar ataques de fuerza bruta, y añadir usuarios y autenticación de dispositivos para prevenir ataques MITM proactivamente", dijo Raggo.

En términos de estrategias de defensa, dijo que también hay una tendencia creciente hacia la seguridad a nivel de archivo, lo que significa que, en lugar de bloquear a los empleados la capacidad de subir los datos corporativos a servicios de almacenamiento personal en la nube, ellos pueden utilizar nuevas tecnologías para cifrar los archivos.

"Esto significa que los empleados pueden compartir archivos con otras personas dentro de la organización, utilizando servicios basados ​​en la nube, pero los datos están protegidos contra el acceso de usuarios no autorizados fuera de la organización", dijo Raggo.

Próximos pasos

También puede revisar:

El despliegue móvil necesita una integración efectiva de la gestión de contenidos (CMS)

Uso de contenedores como estrategia para gestionar la movilidad y BYOD

No ignore los efectos de seguridad móvil en la gestión de escritorio corporativo

Este artículo se actualizó por última vez en agosto 2015

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Enviando esta solicitud usted acepta recibir correos electrónicos de TechTarget y sus socios. Si usted reside afuera de Estados Unidos, esta dando autorización para que transfiramos y procesemos su información personal en Estados Unidos.Privacidad

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close