Recomendaciones de seguridad para Smartphone
16 de Febrero de 2011
Los Smartphone son teléfonos móviles con capacidades de procesamiento similar a cualquier computadora hogareña o laptop, lo que proporciona grandes ventajas a los usuarios pero también acerca a estos dispositivos la gran cantidad de amenazas existentes en Internet. Existe una falsa sensación de seguridad al pensar en el teléfono como un elemento personal sobre el que se tiene un control total en todo momento y eso contribuye a que se lo utilice para administrar información personal, financiera y sensible del usuario, sin tener en cuenta medidas de seguridad básicas.
El crecimiento del mercado de Smartphone [1] ha llevado a que los delincuentes comiencen a interesarse por ellos, debido a las ganancias económicas que les puede representar. Actualmente ya es posible explotar vulnerabilidades, recibir correos falsos, phishing, spam y malware en los Smartphone y por eso se ha vuelto imprescindible comenzar a protegerlos adecuadamente.
Vulnerabilidades
Como cualquier computadora, para que un Smartphone cumpla sus funciones es necesario que cuente con un sistema operativo instalado (Windows Mobile, Symbian, RIM BlackBerry, iPhone, Android OS) que, a diferencia de las computadoras, se instala en fábrica independientemente del fabricante y de la marca del teléfono utilizado. Al ser software, estos sistemas operativos pueden tener (y tienen) vulnerabilidades que deben ser parcheadas. Una vez que el usuario adquirió el dispositivo, debe ser él el responsable de instalar las actualizaciones a medida que el fabricante las publica.
La explotación de vulnerabilidades en distintos sistemas operativos móviles ya se ha convertido en el “pasatiempo” de varios investigadores y esto contribuye a que haya mayor conocimiento sobre el campo y permite la aparición de nuevas formas de aprovecharse de los dispositivos cosa que, sin duda ya están aprendiendo los delincuentes, para posteriormente lograr robar información personal y financiera del usuario.
Aplicaciones
Además del sistema operativo, estos dispositivos cuentan con una amplia cantidad de aplicaciones que pueden ser descargadas e instaladas, como el navegador web, juegos, herramientas ofimáticas, bancarias y financieras, lectores de documentos, GPS, redes sociales, visualizadores de imágenes, etc. Estas aplicaciones también tienen vulnerabilidades que pueden ser explotadas por los delincuentes para controlar o infectar el dispositivo.
Con el objetivo de capturar mayor cantidad de clientes y usuarios las empresas han comenzado a hacer popular sus tiendas de aplicaciones en línea, conocidas como App Stores. Así, las App Store de Apple o BlackBerry, el Android Market o el OVI Store de Nokia intentan vender y popularizar miles de aplicaciones que el usuario puede descargar y consumir. Sin embargo, esas tiendas también son utilizadas para promocionar aplicaciones dañinas por parte de los delincuentes, debido a la falta de controles adecuados por parte de las empresas.
A pesar de que el tiempo de permanencia de la aplicación en la tienda sea bajo, siempre habrá algún usuario que la descargue e instale, sobre todo si los anzuelos son lo suficientemente llamativos como suelen serlo.
Mayor conectividad
Otro factor que contribuye a la inseguridad del dispositivo es la cantidad de formas que pueden ser utilizadas para establecer conexiones como lo son USB, Bluetooth, WiFi, SMS, HTTP, NFC, etc. Esta amplitud de protocolos de comunicación, los hace ser inherentemente un mejor blanco.
Amenazas
El spam es la amenaza que más ha crecido sobre las plataformas móviles y ya desde hace años los primeros malware en aparecer fueron los que utilizaban Bluetooth y SMS para propagarse. Actualmente estos han evolucionado y se han convertido en aplicaciones peligrosas en manos de personas peligrosas. Por ejemplo el conocido malware Zeus (detectado por ESET NOD32 Antivirus como Spy/ZBot), orientado a construir botnet y robar datos financieros de los usuarios, ya se ha migrado y es utilizado en plataformas con sistemas operativos móviles. Además, recientemente varios investigadores han publicado estudios [2] de botnet construidas a través de SMS o HTTP sobre distintos sistemas operativos.
El daño que el malware puede causar al dispositivo móvil puede ser de lo más variado y, por definición, no alberga ninguna diferencia con las aplicaciones dañinas tradicionales de otros sistemas operativos: se puede desde cambiar el papel tapiz hasta robar datos sensibles, utilizarlo para realizar fraudes a través de llamadas o SMS no autorizados a números premium con costo, violar la privacidad del usuario a través de escuchas, robar información para posteriormente realizar transacciones comerciales (phishing) o cualquier otra actividad que el creador del malware decida.
Recomendaciones
Para proteger un Smartphone es necesario seguir algunas pautas básicas de seguridad y configurar el dispositivo adecuadamente:
- Instalar soluciones de seguridad, firewall, SMS y MMS antispam, antiphishing y antivirus con capacidades de detección proactivas como las ofrecidas por ESET Mobile Security
- Actualizar el sistema operativo y todas las aplicaciones que se utilizan. Estas actualizaciones deben ser descargadas de los sitios oficiales de la empresa y no se debe confiar en otras fuentes
- Habilitar medidas de seguridad para acceder al dispositivo como son el PIN y la contraseña
- Antes de descargar e instalar una aplicación se puede consultar y verificar su reputación a través de los comentarios de otros usuarios
- Deshabilitar todos los modos de conexión que no se utilicen y sólo habilitarlos cuando sea necesario, principalmente Bluetooth y WiFi
- Utilizar el cifrado de información que proveen los dispositivos para evitar que terceros tengan acceso a los datos en caso de extravío o robo. En este caso también se pueden utilizar herramientas de borrado remoto como las provistas por ESET Mobile Security (Remote Wiping y Anti-Theft)
- Realizar copias de seguridad de la información a menudo y eliminar toda aquella que no sea expresamente necesaria tener almacenada en el dispositivo
- Si con el dispositivo se accede a una red corporativa, crear y verificar las políticas de seguridad y de acceso de la red para controlar el acceso de dispositivos indebidos
- Desconfiar de cualquier tipo de mensaje que prometa productos o servicios milagrosos o con grandes ventajas y no responderlos, ya que suelen ser anzuelos para comprar productos ilegales o instalar aplicaciones dañinas
ESET Mobile Security ofrece estas y otras muchas funcionalidades, las cuales pueden ser consultadas en el Blog Corporativo de ESET Latinoamérica [3].
[1] Quantcast Mobile Web Trends
http://www.scribd.com/doc/24826531/Quantcast-Mobile-Report1
[2] Estudios sobre botnet en sistemas operativos móviles
http://blogs.forbes.com/andygreenberg/2011/01/19/researchers-android-trojan-can-hear-credit-card-numbers/
https://www.cs.indiana.edu/~kapadia/papers/soundminer-ndss11.pdf
http://mulliner.org/collin/academic/publications/ibots_MALWARE2010.pdf
http://vimeo.com/19372118
http://www.darkreading.com/insider-threat/167801100/security/application-security/223200001/index.html
[3] Nueva compatibilidad de ESET Mobile Security
http://blogs.eset-la.com/corporativo/2011/02/08/nueva-compatibilidad-eset-mobile-security-nokia/