Para los atacantes, el tamaño de la base de usuarios actual es claramente un atractivo. Sin embargo, también se ven atraídos por la cantidad de información personal que pueden conseguir fácilmente una vez que acceden a un dispositivo. Más aún, la superficie de ataques en dispositivos móviles es mucho más amplia: cámaras, NFC, GPS, Bluetooth y red inalámbrica son todas características comunes de los smartphones.
La llegada del modelo laboral BYOD, "Traiga su propio dispositivo", en los últimos años convirtió esta amenaza para la seguridad personal en una amenaza corporativa. Los dispositivos móviles, capaces de ingresar y salir de la red, pueden conectarse automáticamente al sistema corporativo y acceder a datos confidenciales, y luego conectarse a decenas de otras redes fuera de la empresa. En todo ese trayecto, omiten las distintas medidas de seguridad desarrolladas para equipos PC y exponen a la empresa a un potencial riesgo.
El software malicioso no es solo un problema de los equipos PC
Con el fin de ocultar mejor su actividad, los cibercriminales acostumbran a esconder código malicioso en las aplicaciones móviles que pueden descargarse fácilmente de las tiendas de aplicaciones. Luego, pueden usar el software malicioso para robar información del dispositivo, hacer un seguimiento de los usuarios, reconfigurar el dispositivo, enviar contenido o llevar a cabo funciones típicas de software malicioso. Un dato digno de mención es que el último Informe sobre las Amenazas a la Seguridad en Internet de Symantec de Symantec reveló que la cantidad de amenazas móviles que realizan un seguimiento de los usuarios aumentó del 15% al 30% en 2013, un valor que se duplicó desde 2012. Tal vez sea una indicación de que este tipo de datos tiene más valor comercial para los cibercriminales.
Actualmente, el código más malicioso para dispositivos móviles consta de troyanos que simulan ser aplicaciones legítimas. También notable es que, en 2013, el software malicioso móvil parecía enfocarse casi exclusivamente en la plataforma Android y, a mitad del año pasado, los kits de herramientas de troyanos de acceso remoto (RAT) comenzaron a aparecer para Android, lo que es probable que esté vinculado a la adopción masiva de la plataforma Android.
Una red móvil segura
Para garantizar que su red sea segura para el modelo laboral BYOD, necesita tener instalada la combinación correcta de seguridad, administración y controles. A continuación, ofrecemos siete consejos para integrar en su política de seguridad móvil:
  • Agregar medidas de seguridad a su red inalámbrica. Contar con una contraseña o una clave de seguridad ayuda a evitar que smartphones no autorizados accedan a su red inalámbrica. También debe utilizar tecnología de cifrado para proteger la información transmitida por medio de la red.
  • Configurar un PIN o una contraseña en la red inalámbrica. Los empleados que usan dispositivos móviles para la actividad empresarial pueden transportar información empresarial confidencial en sus teléfonos. Si el teléfono llega a las manos equivocadas, un PIN o una contraseña son la primera línea de defensa. Aliente a los usuarios a crear una contraseña segura y prográmela para bloquearse transcurridos cinco minutos.
  • Examinar permisos de aplicaciones. Si bien las aplicaciones deben solicitar acceso a varias funciones del dispositivo, muchos usuarios no examinan estos permisos cuidadosamente, por lo que para los desarrolladores de aplicaciones maliciosas es simple persuadir a los usuarios de que deben otorgar permisos innecesarios. Informe a sus usuarios sobre la necesidad de examinar estos permisos de aplicaciones antes de otorgar el acceso.
  • Regular las aplicaciones a las que se accede en la red. Si una aplicación tiene una debilidad, la aplicación es más fácil de hackear y representa una amenaza para la seguridad de una organización. Proteja su empresa mediante el desarrollo de una política que determine qué aplicaciones pueden descargarse o a qué aplicaciones se puede acceder a través de la red corporativa.
  • En caso de pérdida, bloquear y borrar. Descargue una aplicación en sus dispositivos móviles que les permita a sus empleados bloquear y borrar un teléfono en caso de robo o pérdida. Bloquee su dispositivo de manera remota y mantenga fuera a desconocidos curiosos. Si su teléfono se perdió definitivamente, borre los datos, incluidos contactos, mensajes de texto, fotografías, correos electrónicos, historial de navegación y cuentas de usuario (como Facebook, Twitter y Google).
  • Actualizar, actualizar, actualizar. Asegúrese de que los empleados adquieran el hábito de actualizar aplicaciones cuando se les solicite. Las actualizaciones de software pueden incluir reparaciones a nuevas vulnerabilidades y fallas de seguridad.
  • Impedir que la seguridad móvil sea su punto débil. Ante tantos datos personales en nuestros dispositivos y el aumento del software malicioso móvil, nuestros dispositivos móviles ahora necesitan la misma atención que proporcionamos a la protección de los equipos PC.
Información del Blog de Symantec.