El reto de la seguridad en el móvil

Desde que el teléfono móvil entrara en nuestras vidas en las décadas de los 80 y 90, la seguridad ha sido siempre un factor de mucha relevancia. En los últimos años a medida que el uso de estos dispositivos se ha diversificado y ha acaparado muchas más facetas de nuestra vida (personal y profesional) la seguridad en el móvil empieza a ser algo realmente crítico. Un tema al que cada vez tendremos que prestar mayor atención y que cada día se vuelve más complejo.

El inicio de la seguridad en el móvil

Las primeras redes móviles analógicas mostraron desde el principio graves carencias en temas de seguridad. Debido a que utilizaban modulaciones analógicas sin cifrar resultaba bastante sencillo escuchar la conversación de cualquier usuario que estuviera cerca de nosotros. Ni siquiera se necesitaba un equipo especialmente caro o difícil de conseguir. Seguramente muchos se acordarán del histórico pinchazo a un alto mandatario vasco del PSOE que ocupó muchas páginas de periódicos allá por 1991.

Otra amenaza aún mayor era la posibilidad de “clonar” un teléfono móvil y realizar llamadas que eran cargadas a la factura de otro usuario. Este agujero causó un terrible daño especialmente en las redes de tipo AMPS de EEUU.

Con la llegada de las redes digitales (GSM) y la utilización de tarjetas SIM, estos problemas “clásicos” quedaron resueltos de forma bastante satisfactoria. Sin embargo, las posibilidades de crear nuevos servicios de valor añadido incrementaban paralelamente los posibles agujeros de seguridad en el móvil. Recuerdo, por ejemplo, las carencias de los primeros servicios de buzón de voz móvil en los que resultaba posible e incluso fácil acceder al buzón privado de otro usuario para escuchar sus mensajes o cambiarle su saludo de bienvenida.

La situación actual

Actualmente existen diferentes tipos de amenazas en diferentes planos.

Por una parte está la seguridad en la propia comunicación. Cada vez se hace más uso de las conexiones de datos y cada vez es más habitual conectarse al margen de la red del operador. Cualquier conexión que se hace a una red wifi pública (o privada sin un cifrado adecuado) nos deja expuestos a que un tercero pueda capturar la información que estamos transmitiendo.

El uso de aplicaciones de terceros también supone un riesgo. El tradicional tráfico de mensajes cortos ha evolucionado hacia el uso de whatsapp y similares. Para ahorrarnos el coste de los mensajes los usuarios estamos dispuestos a que todos nuestros mensajes, fotos y contactos de la agenda estén completamente disponibles para terceras empresas con las que no tenemos ningún tipo de protección y que posiblemente no tengan demasiados reparos en comerciar con ellos para rentabilizar sus inversiones. Como decía un buen amigo mío “a lo gratis cueste lo que cueste”.

Pero quizás la mayor amenaza resida en la instalación indiscriminada de aplicaciones en los terminales. Con los sistemas operativos abiertos, especialmente en Android, están proliferando cada día más aplicaciones de malware. Atacando al teléfono desde dentro, estas aplicaciones pueden potencialmente hacer cualquier acción. Cosas como suscribirnos a un servicio de pago sin saberlo, “secuestrarnos” nuestras propias fotos y pedirnos un rescate, robarnos nuestros datos de tarjeta de crédito o incluso capturar nuestras claves y datos personales para suplantar nuestra identidad y hacer cualquier barbaridad en nuestro nombre.

Si pensamos en empresas cuyos empleados utilizan un móvil la cosa se complica aún más. Con la introducción de servicios en movilidad este tipo de móviles representan una amenaza no solo para el propio usuario sino para toda la organización. Por una parte a veces el propio dispositivo almacena información confidencial que puede suponer un riesgo en caso de robo o extravío. Por otra el móvil puede contener certificados o claves que permitan a un tercero conectarse de forma ilegítima y acceder a información almacenada en sistemas críticos.

Incluso existe un nivel más de complejidad si pensamos en empresas que permitan que sus empleados utilicen para uso profesional sus propios móviles personales (lo que se conoce como BYOD “Bring Your Own Device”). Esta práctica, que tiene unas ventajas evidentes, presenta unos riesgos adicionales de seguridad. Por una parte se dificulta el control desde la empresa de los modelos, sistemas operativos o versiones de aplicaciones utilizadas. Por otra aparece un nuevo problema cuando el usuario abandona la empresa y se lleva el terminal junto con sus claves, aplicaciones e incluso información sensible.

Las soluciones a la amenaza

Para los usuarios particulares la mejor recomendación es la prudencia. Al igual que con el uso del ordenador personal, si se tienen ciertas precauciones en la instalación de programas y se desconfía de anexos y similares los riesgos disminuyen. Un antivirus adecuado, actualizado y si hace falta de pago seguramente debería resolver los problemas. Respecto a la confidencialidad, lo mejor es evitar enviar cualquier información que pueda ser sensible mientras estemos conectados a una red wifi y sobre todo nunca a través de aplicaciones de terceros.

Para el caso de las empresas la solución es más compleja. Puesto que no parece recomendable dejar la seguridad en el móvil en manos de cada uno de los empleados, lo que implementemos en este caso debería tratar de cubrir toda la cadena. Se me ocurre al menos:

  • Un control adecuado de los terminales utilizados: modelos, actualización de sistemas operativos y control de cada pieza de SW instalada.
  • Si los usuarios utilizan terminales propios (BYOD) el punto anterior será complicado. En este caso será imprescindible que las aplicaciones y la información corporativa quede lo más aislada posible del resto del sistema operativo del teléfono.
  • Una política clara y centralizada del uso de la seguridad en el móvil: uso de contraseñas, almacenamiento cifrado.
  • Asegurar que todas las comunicaciones están cifradas extremo a extremo
  • Una estricta política de uso de certificados personales
  • Una revisión del diseño de la seguridad de cualquier sistema de la empresa que permitan su acceso en movilidad

Y todo esto realizado de forma que permita a los usuarios seguir utilizando sus aplicaciones desde sus accesos en movilidad de forma cómoda. No hay que perder el punto de vista de que la seguridad debe ser lo más transparente posible. Mi opinión es que si se pone demasiada carga de seguridad sobre los hombros de los usuarios aparecerán problemas, molestias y a medio plazo rechazo al uso de estas soluciones.

Desde luego la forma de encajar todo el puzle no es sencilla ni tampoco única. Tendremos que pensar en soluciones que además puedan evolucionar con la propia tecnología, que permitan obtener todas las ventajas de las futuras soluciones de movilidad reduciendo los riesgos. Quizás lo óptimo, especialmente para grandes corporaciones sea una combinación entre soluciones “out of the box” con desarrollos a medida adaptados a sus propios sistemas.

Lo que parece seguro es que al igual que en la famosa leyenda china de la lanza y el escudo, a medida que las lanzas (amenazas) sean más afiladas, también mejorarán los escudos para defendernos de ellas.

Enlaces relacionados

Autor: Crescencio Lucas Herrera

Visita nuestra web para más información

Las opiniones vertidas por el autor son enteramente suyas y no siempre representan la opinión de GMV
The author’s views are entirely his own and may not reflect the views of GMV
Share

    Deja un comentario

    Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

      I accept the privacy policy Acepto la Política de Privacidad

    Basic Data-Protection information:

    Data-protection supervisor: GMV Innovating Solutions SL
    Purpose: Answer questions, respond to user complaints and recommendations, receive job applicants resumes and career information.
    Legitimation: Consent of data subject
    Addresses: Grupo GMV companies
    Rights: Access, rectify and cancel data plus other rights, as explained in additional information
    Additional information: You can check out the additional and detailed data-protection information on our website:Privacy Policy

    Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

    WP-SpamFree by Pole Position Marketing

    6.158 Total Views