Así como la pandemia ha acelerado la transformación digital de los negocios y la sociedad en general, también ha aumentado los ataques cibernéticos y el caso de los aparatos móviles no es la excepción. En los últimos años hemos visto cómo los smarthpones están creciendo y forman parte de cada aspecto de nuestras vidas, desde la comunicación, la entretención, información, hasta la interacción con otros. Hace poco tiempo, las amenazas cibernéticas a la telefonía móvil eran bastante limitadas y recibían poca atención de la industria de la seguridad. Esto ha cambiado, ya que numerosos ciberdelincuentes están centrando su atención en estos dispositivos. Si bien la mayoría de los programas maliciosos para móviles todavía están aprendiendo a caminar en comparación con sus equivalentes basados en Windows, los indicadores de su crecimiento son omnipresentes. Ante esto, se deben diseñar las defensas y tenerse en cuenta el modelo de amenaza apropiado.
Los actores que participan en diversas campañas de amenaza perciben con razón la amenaza móvil que surge y aprovechan al máximo las tiendas de aplicaciones de terceros y utilizan la habitual serie de trucos de ingeniería social para perpetuar sus campañas. La gestión de dispositivos móviles o Mobile Device Management (MDM) ofrece la oportunidad de ayudar a proteger esos dispositivos en una red empresarial, pero los propios ciberdelincuentes no son ajenos al despliegue de una infraestructura de MDM, lo que demuestra que las tecnologías de seguridad en las manos equivocadas pueden tener consecuencias devastadoras. El compromiso de cualquier infraestructura de seguridad o de despliegue como MDM proporciona un acceso claro para que atacantes persistentes utilicen una infraestructura ya confiable para fines delictivos o de espionaje.
Hay tres áreas en la cadena de tecnología móvil donde los ciberatacantes pueden explotar las vulnerabilidades para lanzar ataques maliciosos: el dispositivo, la red y el centro de datos. Entre los tipos de ataques nos encontramos con el Phishing, donde el atacante se hace pasar por una institución o persona de confianza para que la víctima comparta contraseñas, números de tarjeta de crédito, y otra información confidencial, vía correo electrónico. Man in the Middle, donde se introduce un intermediario entre la víctima y la fuente, como puede ser una página de banca online o una cuenta de correo electrónico; Clickjacking, que se trata, por ejemplo, hacer parecer que el botón de una página tiene una función, pero en realidad al pincharlo roba información de la persona; el malware (software malicioso) y ataques al WiFi por no contar una encriptación efectiva o débil, entre otros.
Otro ejemplo, no masificado aún, en la vulnerabilidad de los aparatos móviles es la ejecución de código remoto en la banda base de un teléfono inteligente activada por un SMS y que no requiere ninguna interacción del usuario final. Aunque están fuera del alcance del delincuente cibernético medio, esas explotaciones son muy útiles para diversos organismos de inteligencia y agentes de amenazas orientadas al espionaje, y es muy probable que las vulnerabilidades de la banda base representen una superficie de ataque que podría crecer en los próximos años.
Todos los ataques de seguridad de los móviles tienen un factor común: la vulneración de la data. Esta amenaza puede ser enormemente eliminada por la virtualización, que permite operar al mismo tiempo múltiples sistemas operativos en un teléfono móvil y utiliza hipervisores para crear una separación entre el hardware y el software. Con la virtualización móvil, los teléfonos móviles pueden soportar varios sistemas operativos en el mismo hardware, de modo que el departamento de TI de la empresa puede, de forma segura, administrar un sistema y mientras el operador de telefonía móvil gestiona el otro sistema. Esto permite ayudar a aislar datos y aplicaciones empresariales. La virtualización puede aplicarse de tres maneras: a nivel de aplicación; a nivel de sistema y con un enfoque híbrido, que puede proporcionar lo mejor de ambos mundos.
El campo del desarrollo móvil es un entorno complejo, en constante evolución, lo que crea un ambiente hiper-dinámico para los desarrolladores. Estas complejidades a menudo aumentan la superficie de ataque, con dispositivos móviles que desafían constantemente los límites de seguridad de la organización. Ante esto, las aplicaciones para móviles deberían, como mínimo, ser desarrolladas con los mismos estándares de seguridad que cualquier otro activo de software.
En ese contexto, hay seis elementos clave para ayudar a las organizaciones a desarrollar un programa comprehensivo de seguridad en todo el ciclo de vida móvil de la empresa, lo que permite a las organizaciones de forma proactiva abordar las potenciales vulnerabilidades de seguridad y promover decisiones informadas en torno a los riesgos de seguridad: aparato, red, data, aplicaciones, acceso de usuario; gobernanza y compliance.
Hay cuatro elementos clave que giran en torno a esos elementos:
- Desarrollar una estrategia de seguridad móvil que se integre de forma adecuada a la estrategia de seguridad general de la empresa.
- Identificar los recursos y los sistemas que podrían ser afectados por la introducción de tecnologías móviles.
- Seleccionar las tecnologías e implementar los controles para abordar los requerimientos identificados por el negocio, así como con los requerimientos de compliance.
- Entender el impacto a través de la organización e identificar los procesos necesarios para abordar ese potencial impacto.
Al hablar de la seguridad de los aparatos móviles, no puedo dejar de referirme a la Banca. Sólo en Estados Unidos, hubo un aumento de 126% en la exposición de datos sensibles de los clientes bancarios entre 2017 y 2018. Además, hoy en día una de cada cuatro apps móviles incluye al menos un defecto de alto riesgo de seguridad. Para enfrentar este escenario hay tres puntos clave:
- Innovación constante:
Los proveedores de pagos no pueden dejar de innovar. Hoy en día, los robots automatizados pueden completar unos 100 ataques cada segundo. Para ir por delante de los delincuentes, las instituciones financieras deben ser tan innovadoras como ellos. La analítica avanzada y el aprendizaje automático son la siguiente ola y capa de protección. Pueden identificar patrones y anomalías que podrían señalar un fraude con una velocidad y especificidad que los humanos no pueden. Esto traerá un enfoque completamente nuevo para asegurar las transacciones, aplicaciones y productos bancarios cruzados.
- Incluir a los consumidores:
Es fundamental que los bancos inculquen entre sus consumidores la seguridad de las transacciones a través de sus aparatos móviles. Una encuesta reciente reveló que el 77 por ciento revisa sus cuentas bancarias cada semana por cualquier actividad inusual y el 38 por ciento dice que encuentra problemas incluso antes de que su banco lo haga. Aprovechar esta proactividad del consumidor y unir fuerzas con los consumidores en la lucha contra el fraude es una poderosa defensa conjunta, sobre todo al considerar que actualmente 43% de los usuarios de aparatos móviles a nivel mundial no usa una clave o PIN en sus smartphones.
- El trabajo conjunto con el ecosistema:
La banca debe unirse para compartir información, experiencias y buenas prácticas, con el fin de potenciar la seguridad en sus apps y transacciones digitales realizadas a través de los aparatos móviles.
Los smarthpones están creciendo alrededor del mundo y lo seguirán haciendo. Por eso es fundamental impulsar una estrategia de ciberseguridad, que permita a las empresas y las personas alcanzar todo su potencial. Sobre todo, en momentos en que el despliegue del 5G está avanzando rápidamente y no sólo potenciará aún más el crecimiento de los aparatos móviles, sino que también el nacimiento de nuevas funcionalidades e incluso nuevas industrias.
