Los piratas informáticos pusieron el foco allí donde los usuarios pasan más tiempo: en los teléfonos inteligentes. Hoy los smartphones y las tablets son blancos privilegiados de toda una serie de ciberdelitos, desde aplicaciones potencialmente no deseadas hasta malware y ataques de ingeniería social. Una investigación evidenció que durante los últimos 3 años hubo un aumento del 41% en la cantidad de compromisos relacionados con dispositivos móviles.
Ocurre que los dispositivos móviles están reemplazando de manera efectiva a los escritorios para muchas tareas comerciales; pero no ofrecen el mismo nivel de seguridad que las desktops.
Entre los datos móviles que los atacantes pueden monitorear e interceptar cuentan la mensajería, audio (llamadas y grabación de micrófono abierto), video (fijo y en movimiento completo), ubicación, listas de contactos, historial de llamadas, historial de navegación y archivos de información, entre otros.
Otro estudio encontró que casi el 40% de las organizaciones había experimentado un compromiso de seguridad relacionado con los dispositivos móviles. El 66% de los que sufrieron dijo que el impacto fue importante, y el 37% que fue difícil y costoso de remediar. Además el 45% admitió que sus defensas se estaban quedando atrás de las capacidades de los atacantes.
Lamentablemente en la práctica habitual de las organizaciones la seguridad móvil no tiene prioridad en relación con la seguridad de la red y la computadora. Por ejemplo, las iniciativas BYOD -que son aquellas en las que los empleados usan sus propios móviles para el trabajo- abren la posibilidad de que otros dispositivos sin protección o subprotegidos se conecten a la red corporativa y accedan a información crítica. En tal sentido debe crearse una política de uso aceptable que defina pautas sobre cómo los empleados pueden usar sus dispositivos dentro del negocio, contemplando, por caso, qué sitios web pueden visitar, qué aplicaciones que pueden descargar y cuáles son los pasos para proteger los datos, entre otras cuestiones.
Apps maliciosas
Ciertas aplicaciones móviles pueden provocar la fuga de datos. Algunas se catalogan como “software de riesgo”: son gratuitas y se encuentran en las tiendas de aplicaciones oficiales; funcionan como se anuncian, pero también envían datos personales (y potencialmente corporativos) a un servidor remoto, donde los extraen los ciberdelincuentes. También hay programas de malware móvil que “usan código de distribución nativo de los sistemas operativos móviles populares como iOS y Android para mover datos valiosos a través de las redes corporativas sin generar señales de alerta”.
En una investigación, el 21% de las organizaciones comprometidas dijo que una aplicación fraudulenta o no aprobada contribuyó a un incidente de seguridad. Las aplicaciones son sigilosas y las víctimas a menudo no sabrán que han sido atacadas hasta que es demasiado tarde. Las del tipo adware afectan a los teléfonos de los usuarios. De esta manera, pueden agotar la vida útil de la batería, reducir el rendimiento y consumir datos. Por ejemplo, los descargadores son aplicaciones que parecen estar relacionadas con las finanzas, pero que en realidad están diseñadas principalmente para robar credenciales bancarias almacenadas en los teléfonos; además pueden proporcionar a los propietarios de la botnet la funcionalidad de control remoto del dispositivo móvil.
Entre las prácticas recomendadas cuentan instalar software de seguridad examinado y tener mucho cuidado con las aplicaciones que se descargan (hay que leer los detalles y las revisiones y estar alertas con las que ofrecen suscripciones con períodos de prueba breves). A las aplicaciones solo hay que otorgarles los permisos absolutamente necesarios para funcionar correctamente.
Los dispositivos que no cumplan con los estándares de seguridad deben excluirse del acceso a las redes y a los datos corporativos. Y una buena regla general para las organizaciones en su conjunto es utilizar la autenticación multifactor.
Vulnerabilidades varias
Otro tema a considerar es que las redes Wi-Fi gratuitas por lo común no son seguras. Nunca hay que usarlas para acceder a servicios confidenciales o personales, como información bancaria o de tarjetas de crédito. Existen casos de suplantación de redes en los que los ciberdelincuentes instalan conexiones que parecen redes Wi-Fi, pero en realidad son trampas; las colocan en cafeterías, bibliotecas y aeropuertos y les ponen nombres verosímiles que alientan a conectarse.
Los ataques de ingeniería social –como el phishing- también está a la orden del día en el mundo mobile, dado que la gente recibe los correos electrónicos en sus celulares y es más fácil caer en la trampa que al usar una PC. De hecho, hay estudios que indican que alrededor del 15% de los usuarios empresariales encontraron un enlace de phishing móvil en el tercer trimestre de 2019. En este tipo de estafas los ciberdelincuentes intentan engañar a las personas para que descarguen malware, hagan clic en enlaces maliciosos o revelen información confidencial. Para protegerse contra tales tácticas hay que capacitar al personal para evitar ser víctimas.
En suma, como medidas preventivas y de detección de malware se sugiere realizar una copia de seguridad y encriptación de datos, utilizar un antivirus para escanear aplicaciones nuevas e instaladas periódicamente, no abrir tipos de archivo que sean inusuales, verificar las calificaciones de las aplicaciones en la tienda, escanear los archivos adjuntos antes de abrirlos, no instalar aplicaciones de fuentes desconocidas y validar los permisos de la aplicación solo para fuentes confiables.
En tiempos en que los móviles son fuentes privilegiadas de ciberataques, resulta clave que los usuarios aprendar a utilizar las funciones de seguridad de su teléfono para proteger sus datos.
