7 amenazas a la seguridad de los dispositivos móviles que debe tomar en serio en 2019
Adaptación del artículo de JR Raphael.
La seguridad móvil está en lo más alto de cualquier negocio hoy en día. Y es por una buena razón, ya que casi todos los empleados de hoy en día acceden rutinariamente a los datos corporativos desde sus teléfonos inteligentes. Esto significa que mantener la información sensible fuera de las manos equivocadas es cada vez más complicado. Las apuestas son más altas que nunca: el costo promedio de una violación de datos es de la asombrosa suma de 3,86 millones de dólares, según un informe de 2018 del Ponemon Institute. Esto supone un 6,4% más que el coste estimado del año anterior.
Aunque es fácil centrarse en el tema sensacionalista del malware, la verdad es que las infecciones de malware en dispositivos móviles son increíblemente inusuales en el mundo real, con una probabilidad de infectarse significativamente menor que la de ser alcanzado por un rayo, según One Estimate. Actualmente, el malware está clasificado como la acción inicial menos común en los incidentes de violación de datos; de hecho, aparece detrás de los ataques físicos en el Informe de investigaciones de violación de datos 2019 de Verizon. Esto se debe a la naturaleza del malware móvil y a las protecciones inherentes a los sistemas operativos modernos de los dispositivos móviles.
Los riesgos de seguridad móvil más realistas se encuentran en algunas áreas que fácilmente se pasan por alto y que se espera que se vuelvan más urgentes a medida que avanzamos en 2019:
1. Fuga de Datos
¿Recuerda las posibilidades casi inexistentes de infectarse con malware? Bueno, cuando se trata de una violación de datos, las empresas tienen casi un 28 por ciento de probabilidades de experimentar al menos un incidente en los próximos dos años, según la encuesta más reciente de Ponemon; en otras palabras, las probabilidades de que ocurra son más de uno de cada cuatro.
Lo que hace que el problema sea especialmente molesto es que generalmente no es prejudicial por naturaleza; más bien, se trata de que los usuarios tomen decisiones imprudentes sobre qué aplicaciones pueden ver y transferir su información.
Dionisio Zumerle, director de investigación de seguridad móvil de Gartner, sugiere recurrir a las soluciones de defensa contra amenazas móviles (MTD), productos como Endpoint Protection Mobile de Symantec, SandBlast Mobile de CheckPoint y ZIPS Protection de Zimperium. Estas utilidades analizan las aplicaciones en busca de un "comportamiento de fuga", dice Zumerle, y pueden automatizar el bloqueo de procesos problemáticos.
Por supuesto, incluso esto no siempre cubrirá la fuga que se produce como resultado de un error manifiesto del usuario. Este es un desafío que la industria de la salud está luchando por superar: Según el experto proveedor de seguros Beazley, la "revelación accidental" fue la causa principal de las brechas de datos reportadas por las organizaciones de salud en el tercer trimestre de 2018. Esta categoría, combinada con las fugas internas, representó casi la mitad de todas las brechas reportadas durante este período de tiempo.
Para este tipo de fuga, las herramientas de prevención de pérdida de datos (DLP) pueden ser la forma más eficaz de protección. Este software ha sido diseñado explícitamente para evitar la exposición de información sensible, incluso durante situaciones accidentales.
2. Ingeniería Social
La experimentada y verdadera táctica del truco es tan preocupante en el frente móvil como en el escritorio. A pesar de la facilidad con la que uno podría pensar que las estafas de ingeniería social podrían evitarse, siguen siendo sorprendentemente efectivas.
El 91% de los delitos cibernéticos comienzan con el correo electrónico, según un informe de 2018 de la empresa de seguridad FireEye. Específicamente, el phishing ha crecido un 65% con respecto a 2017, dice la empresa, y los usuarios móviles corren un mayor riesgo de caer en el debido a la forma en que muchos clientes de correo electrónico móvil muestran sólo el nombre del remitente, lo que hace que sea especialmente fácil falsificar mensajes y hacer que una persona piense que un mensaje de correo electrónico es de alguien que conoce o en quien confía.
Según un estudio de IBM, los usuarios tienen tres veces más probabilidades de responder a un ataque de phishing en un dispositivo móvil que en un escritorio, en parte porque un teléfono es el lugar donde es más probable que la gente vea un mensaje por primera vez. La investigación más reciente de Verizon respalda esta conclusión y agrega que los tamaños de pantalla más pequeños y la correspondiente visualización limitada de información detallada en los teléfonos inteligentes (especialmente en las notificaciones, que a menudo incluyen ahora opciones de una sola pulsación para abrir enlaces o responder a mensajes) también pueden aumentar la probabilidad de éxito del phishing.
Además, la posición prominente de los botones orientados a la acción en los clientes de correo electrónico móvil y la forma borrosa y multitarea en que los trabajadores tienden a utilizar los teléfonos inteligentes amplifican el efecto, y el hecho de que la mayor parte del tráfico web se produzca ahora en los dispositivos móviles sólo anima aún más a los atacantes a centrarse en este frente.
Ya no es sólo un correo electrónico: Como señaló la empresa de seguridad corporativa Wandera en su último informe sobre amenazas móviles, el 83% de los ataques de phishing del año pasado se produjeron fuera del buzón de correo, en mensajes de texto o en aplicaciones como Facebook Messenger y WhatsApp, junto con una variedad de juegos y servicios de medios sociales.
Además, aunque sólo un porcentaje de un dígito de usuarios hace clic en los enlaces relacionados con el phishing (entre el 1% y el 5%, según el sector, según los datos más recientes de Verizon), las encuestas anteriores de Verizon indican que estos niños y niñas ingenuos tienden a ser infractores que vuelven a cometer delitos de forma reincidente. La empresa señala que cuanto más a menudo alguien hace clic en un enlace de una campaña de phishing, más probable es que lo haga de nuevo en el futuro. Verizon ha informado anteriormente que el 15% de los usuarios que son explotados con éxito serán explotados al menos una vez más en el mismo año.
"Vemos un aumento general de la susceptibilidad móvil impulsado por el aumento general de la informática móvil y el crecimiento continuo de los entornos de trabajo de BYOD", afirma John "Lex" Robinson, estratega de seguridad de la información y antiphishing de PhishMe, una empresa que utiliza simulaciones del mundo real para formar a los trabajadores para que reconozcan y respondan a los intentos de phishing.
Robinson señala que la línea entre la informática laboral y la personal también sigue estrechándose. Cada vez más trabajadores están viendo múltiples buzones de correo -conectados a una combinación de cuentas de trabajo y personales- juntos en un teléfono inteligente, observa, y casi todo el mundo lleva a cabo algún tipo de negocio personal en línea durante el día de trabajo. En consecuencia, la noción de recibir lo que parece ser un correo electrónico personal junto con mensajes relacionados con el trabajo no parece en absoluto inusual en la superficie, aunque, de hecho, puede ser una estratagema.
Las apuestas siguen subiendo. Aparentemente, los ciberdelincuentes están utilizando el phishing para tratar de engañar a la gente para que renuncien a los códigos de autenticación de dos factores diseñados para proteger las cuentas contra el acceso no autorizado. Volver a la autenticación basada en hardware, ya sea a través de claves de seguridad física dedicadas como Titan de Google o YubiKeys' YubiKeys' Yubico de YubiKeys o a través de la opción de clave de seguridad en el dispositivo de Google para teléfonos Android, se considera la forma más eficaz de aumentar la seguridad y disminuir las posibilidades de una adquisición basada en phishing.
Según un estudio realizado por Google, la Universidad de Nueva York y la Universidad de California en San Diego, incluso la autenticación en el dispositivo por sí sola puede prevenir el 99% de los ataques de phishing masivo y el 90% de los ataques dirigidos, en comparación con un índice de eficacia del 96% y el 76% para estos mismos tipos de ataques con los códigos 2FA más susceptibles al phishing.
3. Interferencia Wi-Fi
Un dispositivo móvil es tan seguro como la red a través de la cual transmite datos. En una época en la que todos nos conectamos constantemente a redes Wi-Fi públicas, esto significa que nuestra información a menudo no es tan segura como se podría suponer.
¿Por qué preocuparse? Según una encuesta de Wandera, los dispositivos móviles corporativos utilizan Wi-Fi casi tres veces más que los datos móviles. Casi una cuarta parte de los dispositivos se han conectado a redes Wi-Fi abiertas y potencialmente inseguras, y el 4% de los dispositivos se han encontrado con un ataque de hombre en el medio - en el que alguien intercepta maliciosamente la comunicación entre dos partes - en el mes más reciente. McAfee, a su vez, dice que el falseamiento de la red ha aumentado "drásticamente" en los últimos tiempos, pero menos de la mitad de las personas se preocupan por proteger su conexión mientras viajan y dependen de las redes públicas.
"Hoy en día, no es difícil encriptar el tráfico", dice Kevin Du, profesor de ciencias de la computación en la Universidad de Syracuse, que se especializa en seguridad de teléfonos inteligentes. "Si no tienes una VPN, dejas demasiadas puertas abiertas en tu perímetro."
Sin embargo, seleccionar la VPN de clase empresarial adecuada no es tan fácil. Al igual que con la mayoría de las consideraciones relacionadas con la seguridad, casi siempre es necesaria una compensación. "La entrega de VPNs tiene que ser más inteligente con los dispositivos móviles, ya que minimizar el consumo de recursos - especialmente la energía de la batería - es crítico", dice Zumerle de Gartner. Una VPN eficaz debería saber cómo activarse sólo cuando es absolutamente necesario, dice, y no cuando un usuario está accediendo a algo como un sitio de noticias o trabajando en una aplicación que se sabe que es segura.
4. Dispositivos desactualizados
Los teléfonos inteligentes, tabletas y dispositivos conectados más pequeños, comúnmente conocidos como la Internet de los objetos (IoT - en inglés), plantean un nuevo riesgo para la seguridad corporativa porque, a diferencia de los dispositivos de trabajo tradicionales, a menudo no ofrecen ninguna garantía de actualizaciones de software oportunas y continuas. Esto es especialmente cierto en el caso de Android, donde la gran mayoría de los fabricantes son vergonzosamente ineficaces a la hora de mantener sus productos actualizados, tanto con las actualizaciones del sistema operativo (SO) y los parches de seguridad mensuales más pequeños entre ellos, como con los dispositivos IoT, muchos de los cuales ni siquiera están diseñados para recibir actualizaciones.
Además de la mayor probabilidad de ataques, el uso extensivo de plataformas móviles aumenta el coste global de una violación de datos, según Ponemon, y la abundancia de productos de IoT relacionados con el trabajo sólo hace que ese número aumente aún más. La Internet de los objetos es "una puerta abierta", según la empresa de ciberseguridad Raytheon, que patrocinó una encuesta que mostró que el 82% de los profesionales de TI predijo que los dispositivos de IoT inseguros causarían una brecha de datos -probablemente "catastrófica"- en su organización.
Una vez más, una política fuerte llega muy lejos. Existen dispositivos Android que reciben actualizaciones continuas, fiables y oportunas. Hasta que el paisaje de la IoT no se convierta en un salvaje oeste, la empresa debe crear su propia red de seguridad a su alrededor.
5. Ataques de Cryptojacking
Una adición relativamente nueva a la lista de amenazas móviles relevantes, el criptojacking es un tipo de ataque en el que alguien utiliza un dispositivo para extraer la moneda criptográfica sin el conocimiento del propietario. Si todo esto suena como un montón de tonterías técnicas, que lo sepas: El proceso de encriptación utiliza los dispositivos de su empresa para el beneficio de otros. Para ello, se basa en gran medida en su tecnología, lo que significa que los teléfonos afectados probablemente tengan una vida útil de la batería deficiente e incluso pueden sufrir daños debido al sobrecalentamiento de los componentes.
Aunque el cifrado se originó en el escritorio, se produjo un brote en el teléfono móvil desde finales de 2017 hasta principios de 2018. Según un análisis de Skybox Security, la mineraión de criptocurrency no deseada constituyó un tercio de todos los ataques en el primer semestre de 2018, con un aumento del 70% en prominencia durante ese período en comparación con el semestre anterior. Y los ataques de encriptación específicos para móviles explotaron absolutamente entre octubre y noviembre de 2017, cuando el número de dispositivos móviles afectados aumentó en un 287%, según un informe de Wandera.
Desde entonces, las cosas se han enfriado un poco, especialmente en el dominio móvil, un cambio que se ha visto favorecido en gran medida por la prohibición de las aplicaciones de minería de cripto-divisas de iOS App Store de Apple y de Google Play Store asociadas a Android en junio y julio, respectivamente. Aún así, las empresas de seguridad observan que los ataques siguen teniendo cierto nivel de éxito a través de sitios móviles (o incluso de anuncios deshonestos en sitios móviles) y a través de aplicaciones descargadas de mercados no oficiales de terceros.
Los analistas también señalaron la posibilidad de criptojacking a través de decodificadores conectados a Internet, que algunas empresas pueden utilizar para el streaming y el video casting. Según la empresa de seguridad Rapid7, los hackers han encontrado la manera de aprovechar una aparente fisura que hace que el Android Debug Bridge -una herramienta de línea de comandos destinada únicamente al uso de los desarrolladores- sea accesible y esté listo para su uso indebido en dichos productos.
Por el momento, la respuesta es escasa -aparte de la cuidadosa selección de dispositivos y el mantenimiento de una política que requiere que los usuarios descarguen las aplicaciones sólo desde la ventana oficial de una plataforma, donde el potencial de cifrado de código es muy reducido- y, de forma realista, no hay indicios de que la mayoría de las empresas se encuentren bajo una amenaza significativa o inmediata, especialmente dadas las medidas preventivas que se están tomando en la industria. No obstante, dada la fuerte actividad y el creciente interés por esta área en los últimos meses, merece la pena seguir de cerca los avances de 2019.
6. Mala administración de contraseñas
Se esperaría que superáramos esto, pero de alguna manera, los usuarios todavía no están protegiendo sus cuentas adecuadamente - y cuando llevan teléfonos móviles que contienen cuentas de la empresa y firmas personales, esto puede ser particularmente problemático.
Una búsqueda reciente de Google y Harris Poll encontró que poco más de la mitad de los estadounidenses, basándose en la muestra de búsqueda, reutilizan las contraseñas en varias cuentas. Igualmente preocupante, casi un tercio no utiliza la autenticación de dos factores (o no sabe si se está utilizando, lo que puede ser un poco peor). Sólo una cuarta parte de las personas utilizan activamente un administrador de contraseñas, lo que sugiere que la gran mayoría de las personas probablemente no tienen contraseñas particularmente fuertes en la mayoría de los lugares, ya que presumiblemente las están generando y recordando por sí mismas.
Las cosas sólo empeoran a partir de ahora: según una revisión de LastPass 2018, la mitad de los profesionales utilizan las mismas contraseñas para las cuentas personales y de trabajo. Y por si fuera poco, un empleado medio comparte unas seis contraseñas con un compañero de trabajo durante el transcurso de su trabajo, según el análisis.
No creas que todo esto no tiene nada que ver con nada. En 2017, Verizon descubrió que las contraseñas débiles o robadas eran responsables de más del 80% de las infracciones relacionadas con hackers en las empresas. Desde un dispositivo móvil en particular, en el que los trabajadores desean introducir rápidamente varias aplicaciones, sitios web y servicios, piense en el riesgo que corren los datos de su organización si sólo una persona introduce de forma descuidada la misma contraseña que utiliza para una cuenta de la empresa en un momento dado en un sitio de venta al por menor aleatorio, una aplicación de chat o un tablón de mensajes. Ahora, combine este riesgo con el riesgo de interferencia Wi-Fi antes mencionado, multiplique por el número total de empleados en su sitio y piense en las capas de puntos probables de exposición que se están acumulando rápidamente.
Quizás el más molesto de todos es que la mayoría de la gente parece completamente ajena a sus omisiones en esta área. En la encuesta de Google y Harris Poll, el 69% de los entrevistados se dieron una "A" o una "B" para proteger eficazmente sus cuentas en línea, a pesar de que las respuestas posteriores indicaron lo contrario. Claramente, no se puede confiar en la propia evaluación del problema por parte del usuario.
7. Violaciones de dispositivos fisicos
Por último, pero no por ello menos importante, es algo que parece especialmente absurdo, pero que sigue siendo una amenaza preocupantemente realista: un dispositivo perdido o no acompañado puede suponer un gran riesgo para la seguridad, especialmente si no dispone de un PIN o contraseña sólido y de un cifrado completo de los datos.
Considere esto: En un estudio de Ponemon 2016, el 35% de los profesionales indicaron que sus dispositivos de trabajo no tenían medidas obligatorias para proteger los datos corporativos accesibles. Y lo que es peor, casi la mitad de los entrevistados dijeron que no tenían una contraseña, un PIN o una seguridad biométrica que protegiera sus dispositivos, y cerca de dos tercios dijeron que no usaban encriptación. El 68% de los entrevistados indicaron que a veces compartían contraseñas entre cuentas personales y de trabajo a las que se accedía a través de sus dispositivos móviles.
Las cosas no parecen estar mejorando. En su análisis del panorama de amenazas móviles de 2019, Wandera encontró que el 43% de las empresas tenían al menos un teléfono inteligente, en su lista, sin ninguna seguridad de bloqueo de pantalla. Y entre los usuarios que crearon contraseñas o PIN en sus dispositivos, la empresa informa que muchos eligieron utilizar el código de cuatro caracteres cuando tuvieron la oportunidad.
La lección es sencilla: no basta con dejar la responsabilidad en manos de los usuarios. No haga suposiciones; haga políticas. Te lo agradecerás más tarde.
Traducido de: https://www.perallis.com/news/7-ameacas-de-seguranca-em-dispositivo-movel-que-voce-deve-levar-a-serio-em-2019
