Amenazas Dispositivos de Computación Móviles, Vulnerabilidades y Factores de Riesgo son Ubicuas

Los dispositivos de computación móviles (ej., laptops, tablets y teléfonos inteligentes) pueden causar serios daños a las organizaciones y a los dueños de los dispositivos, sus amigos y familias, porque los dispositivos móviles son menos seguros que los desktops y laptops. El reporte de Verizon del 2015 Data Breach Investigations Report¹ define que hay decenas de millones de dispositivos móviles. Y, de acuerdo a Statista², habrán 4.77 billones de usuarios de teléfonos móviles en el 2017 y 1.15 billones de tablets en uso en el 2016.³ A medida que el número de dispositivos de computación móvil aumente, también lo harán los problemas de seguridad móviles. Ya existen muchas y nuevas amenazas relacionados con los dispositivos móviles.

Este artículo discute los actores, amenazas, vulnerabilidades y riesgos asociados con dispositivos computacionales móviles y pone de manifiesto la omnipresencia de los problemas y los temas de seguridad y privacidad.

Actores

Los actores (también conocidos como vectores de amenazas) incluyen el dispositivo mismo, la aplicación (apps) en el dispositivo, sitios Web comprometidos, conexiones inalámbricas de datos, otros usuarios y organizaciones, la organización a la cual el usuario del dispositivo pertenece, y los proveedores de servicio.

Amenazas Dispositivos de Computación Móvil

Dispositivos móviles recientemente adquiridos pueden estar configurados de forma insegura. Los dispositivos pueden contener el sistema operativo original vulnerable (OS) que no ha sido actualizado para eliminar vulnerabilidades conocidas. Si un dispositivo no requiere algún tipo de control de acceso como ser un número de identificación personal (PIN) o huella digital, está propenso al uso no autorizado por cualquiera que tenga acceso a él. Hay muchos tipos de software malicioso (Malware) que puede dar a personas con malas intenciones la habilidad de obtener datos sensibles almacenados en un dispositivo. El proteger los datos puede ser un problema mayor si uno comete el error de cargar información sensible de la organización en él. Los usuarios necesitan estar conscientes de que ellos son responsables de proteger el dispositivo, previniendo manipulación física, ajustando las características específicas de seguridad, y evitar las cadenas de suministros que proporcionan dispositivos móviles comprometidos o inseguros.

Si el dispositivo móvil tiene acoplado un lector de tarjetas de crédito, este, también, puede ser comprometido usando la técnica de skimming.⁴ Un teléfono inteligente puede efectuar vigilancia utilizando su audio, cámara y capacidades de posicionamiento global (Global Positioning System – GPS), como también el grabar registro de llamadas, información de contactos y mensajes SMS (Short Message Service). Dispositivos computacionales móviles pueden ocasionar problemas financieros por que, si se ven comprometidos, pueden enviar mensajes SMS Premium, robar números de autenticación de transacciones, permitir extorsiones por medio de ransomware y efectuar llamadas costosas sin el conocimiento del dueño del dispositivo. Un dispositivo puede también ser secuestrado y convertido en un bot de servicio de negación de servicio distribuido (DDoS), causando que a las organizaciones les sea mas difícil para detectar y prevenir los intentos como DDoS.

Amenazas basadas en aplicaciones incluyen malware, spyware, aplicaciones vulnerables, aplicaciones comprometidas y filtración de datos/información debido a prácticas pobres de programación. Los tipos de ataques de aplicaciones incluyen:

• Inhabilitar o esquivar/burlar configuraciones de seguridad
• Desbloquear o modificar las funciones del dispositivo
• Aplicaciones obtenidas(gratis o compradas), pero que contienen código malicioso

Ejemplos de las capacidades del malware incluyen:

• Escuchas a llamadas telefónicas a medida que suceden
• Lectura secreta de texto SMS, captura registro de llamadas y Correos Electrónicos
• Escuchar los sonidos de los alrededores (dispositivo es usado como un micrófono remoto oculto)
• Visualizar la ubicación GPS del teléfono
• Hacer reenvío de todo correo electrónico a otro Inbox
• Control remoto de todas las funciones del teléfono vía SMS
• Aceptar o rechazar comunicaciones basadas en una lista predeterminada
• Evadir detección durante su operación

Un sitio Web comprometido puede ser un peligro para la información de todos. Puede ser la fuente de estafas por medio de phishing, descargas de malware (drive-by), y vulnerabilidades del navegador. Hotspots gratis de Wi-Fi pueden ofrecerles a los criminales los medios para obtener accesos bancarios e información de cuentas financieras. Estos sitios pueden ser utilizados para obtener datos personales sobre los dueños de los dispositivos, sus familias y amigos, y los lugares en que trabajan. Vulnerabilidades a evitar incluyen mantener las conexiones Wi-Fi habilitadas todo el tiempo, el no utilizar o desactivar el cortafuego del dispositivo, el navegar por sitios web no encriptados, no actualizar el software de seguridad y el no asegurar su Wi-Fi de la casa.

Comunicación de datos a través de una red personal o de la compañía también puede ser un medio de comunicación insegura. Los problemas de comunicación incluyen, video, audio, y datos que pueden ser obtenidos a través del aire debido a una red insegura. Hay un sin número de tipos de vulnerabilidades de la red incluyendo Wi-Fi sniffing, manipulación de los datos en tránsito, exposición de datos a través de emisión de radio frecuencia (RF), conexión a un servicio no confiable, bloqueo o inundación de la señal, y monitoreo de una geo ubicación/GPS. Todas estas amenazas deben ser evitadas.

Amenazas basadas en usuarios incluyen: ingeniería social, distribución de información clasificada ya sea en forma inadvertida (o intencional), robo y/o mal uso del dispositivo y servicios de aplicaciones, y personas internas maliciosas que roban dispositivos para su propio uso o para alguien más.

Ingeniería Social puede lograrse por:

• Phishing—Enmascararse como una entidad confiable
• Vishing—Engañar a la víctima para que llame a un número de teléfono y revele información sensitiva
• Smishing—Engañar a alguien vía mensajes para bajar malware a su dispositivo móvil
• Vulnerar Cuentas de Medios Sociales—Utilización maliciosa de nombres cortos de sitios Web (para describir un ejemplo)

La infraestructura de la red de su propia organización puede ser una amenaza. Utilizada maliciosamente, una red inalámbrica pueden representar una amenaza como ser:

• Proveer un medio de acceso no autorizado
• Permitir o promover la instalación de malware
• Permitir la pérdida de integridad de datos del sistema y bases de datos asociadas
• Distribución de aplicaciones comprometidas
• Actuar como fuente de codificación insegura
• Permitiendo escuchas, interceptación de datos, colección de voz/datos, descargas drive-by, rastreo (vía GPS) y seguimiento de la conducta

Un proveedor de servicio de Internet (ISP) puede también ser una amenaza a individuos y organizaciones. El proveedor de servicio de Internet (ISP) recoge y almacena ubicación del dispositivo; información sobre el dueño del dispositivo; conducta de uso de la aplicación; información sobre ruteo de correo electrónico; información sobre compra de música, películas, programas de TV, aplicaciones y libros; y reportes internos sensitivos. Toda esta información puede ser almacenada en la nube por años.

Otra información que puede ser mantenida en la nube por un largo tiempo incluye: fotos y videos; información de contacto personal; calendario de eventos; recordatorios y notas; configuración de los dispositivos; datos de aplicaciones; Adobe PDFs; libros añadidos a lista de compra; historial de llamadas; pantalla y organización de aplicaciones; mensajes de texto y correo electrónico; tonos de llamadas; configuración de sistemas de seguridad del hogar (datos de HomeKit⁵); información médica personal (Datos HealthKit⁶); y buzón de voz.

Vulnerabilidades

Vulnerabilidades en dispositivos computacionales móviles existen en los mismos dispositivos, en las conexiones inalámbricas, en las prácticas personales del usuario, periféricos de la infraestructura e inalámbrica de la organización (ej. Impresoras, teclados, mouse), los cuales contienen software, un sistema operativo (OS) y un dispositivo de almacenaje de datos.

Si no están aseguradas con encriptación, las redes inalámbricas usualmente pasan información sensitiva al descubierto la cual puede dañar a individuos y/o organizaciones. Datos sensitivos liberados sin querer no solo pueden afectar la reputación de la organización y la vida de los afectados, pero también pueden ser causa de una acción legal. Comunicaciones inalámbricas puede acarrear e instalar software mal intencionado (malware) en cualquier dispositivo computacional configurado para recibirlo. Este software mal intencionado (malware) puede causar corrupción de datos, filtración de datos, y la indisponibilidad de servicios y funcionalidades. La privacidad personal también puede verse afectada si el audio (ej., Bluetooth) y comunicación de video/ fotos (ej., dispositivo de cámara) son interceptados y utilizados en intenciones maliciosas. La protección inalámbrica provista por una organización solo trabaja si un usuario esta en el perímetro de la red de la organización donde existen controles de seguridad.

Una organización sin encriptación, informaciones de clientes y empleados almacenada en el dispositivo computacional puede ser puesta a disposición de otros sin querer y si alguien intercepta esta mientras esta en tránsito o si el dispositivo es robado (y controles de acceso no están instalados). No es difícil interceptar tráfico de comunicaciones inalámbricas porque existen herramientas gratuitas disponibles en la internet para ayudar a los hackers a hacer esto.

En esta era de la tecnología inalámbrica, muchos roles (ej., doctores, personal de soporte médico, personal de inventario de minoristas y mayoristas, personal de soporte de registro) dependen de dispositivos computacionales móviles para capturar y transmitir datas mas eficientemente. Los usuarios de estos dispositivos dependen de estos para su productividad y medios de vida. En muchos casos, la información es sensitiva para la organización y, si esta relacionada con empleados o clientes, puede ser personal y relacionada con la privacidad (ej., información personal identificable [PII]).

Si en la organización de uno no cuenta con un programa de encriptación inalámbrica (ej., red privada virtual [VPN]) implementada, entonces los dispositivos móviles podrán interactuar con correo de los dispositivos personales y obtener correspondencia sensitiva. La falta de una comunicación encriptada puede permitir que software malicioso (malware) pueda acceder a la red y propagar troyanos y virus a través de la organización. Mas serio es el hecho que puede permitir la intrusión en la empresa, que luego puede comprometer a la organización completa. Recuerde que una conexión VPN requiere autenticación—un control protector crítico—para permitir el acceso a la red.

Vulnerabilidades de Aplicaciones

Otros componentes vulnerables del ambiente de dispositivos computacionales móviles son las aplicaciones cargadas en estos. Cada aplicación puede contener una vulnerabilidad que es susceptible a ser explotada. Las aplicaciones en los dispositivos móviles pueden tener una variedad de vulnerabilidades incluyendo:

• Configuración incorrecta de permisos que permiten acceso a funciones controladas como ser la cámara o GPS
• Protocolos de comunicaciones internas expuestas que pasan mensajes internamente dentro del dispositivo a si mismo o a otras aplicaciones
• Funcionalidades potencialmente peligrosas que acceden los recursos o las informaciones personales del usuario a través de las llamadas de datos interna del programa o instrucciones codificadas
• Colusión de aplicaciones, donde dos o más aplicaciones se pasan informaciones para aumentar las capacidades de una o ambas aplicaciones
• Ofuscación, donde la funcionabilidad o capacidades de proceso están escondidas u oscurecidas del usuario
• Uso excesivo del consumo de aplicaciones corriendo continuamente en segundo plano, las que drenan la batería, por lo tanto reduciendo la disponibilidad del sistema
• Vulnerabilidades tradicionales del software como ser insuficiente edición de datos ingresados, explotación y pobres prácticas de programación del lenguaje de consultas estructurado (SQL)
• Debilidades de privacidad en las configuraciones que permiten el acceso a las informaciones sensitivas de las aplicaciones (ej., contactos, información del calendario, tareas del usuario, recordatorios personales, fotografías, acceso Bluetooth)

Riesgo

Los factores de riesgo más comunes que aplican al uso de dispositivos móviles son: virus computacionales, gusanos u otro software malicioso especifico para dispositivos computacionales personales; robo de datos sensitivos; exposición de información critica a través de sniffers inalámbricos; intrusos inalámbricos capturando correos electrónicos, direcciones de correo electrónico y datos adjuntos (si los resguardos de seguridad son insuficientes); pérdida, robo o daño del dispositivo; uso del dispositivo como un proxy para establecer una conexión virtual desde el atacante a una red interna; pérdida/fuga de datos debido a lo pequeño y portabilidad; habilitación de fraude por acceso remoto o copiado masivo de datos sensitivos; spam causando interrupción y subiendo los costos de servicio si el objetivo son los dispositivos móviles; y mensajes SMS malformados causando que los dispositivos se bloqueen.

Conclusión

Cada día, los vectores de ataque a los dispositivos móviles están constantemente sometidos a cambios dinámicos, y es difícil representar un juego completo de estas amenazas y vulnerabilidades. Con el desarrollo de dispositivos de computación móvil que pueden llevarse en el bolsillo o en un bolsón la responsabilidad de proteger esos dispositivos y los datos almacenados esta en ellos. Estando consiente es el primer paso en la lucha para proteger los datos.

Referencias

• Lookout, “What Is a Mobile Device Threat?”
• Mobile App Security Guide, infographic, http://autosend.io/mobile-app-security-guide/
• Wysopal, C.; “Mobile App Top 10 List,” Veracode, 13 December 2010, www.veracode.com/blog/2010/12/mobile-app-top-10-list
• European Union Agency for Network and Information Security, “Top 10 Smartphone Risks,” https://www.enisa.europa.eu/activities/Resilience-and-CIIP/critical-applications/smartphone-security-1/top-ten-risks?_ga=1.234877470.1254580284.1439215552
• Quirolgico, S.; J. Voas; T. Karygiannis; C. Michael; K. Scarfone; Vetting the Security of Mobile Applications, Special Publication 800-163, National Institute of Standards and Technology (NIST) USA, 2015, http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-163.pdf
• Althuser, J.; “7 Ways Hackers Can Use Wi-Fi Against You,” CSO, 9 November 2015, www.csoonline.com/article/3003220/mobile-security/7-ways-hackers-can-use-wi-fi-against-you.html
• Apperian, “Mobile App Security,” https://www.apperian.com/mobile-application-management/mobile-app-security/
• ISACA, Securing Mobile Devices, USA, 2010
• Milligan, P. M.; D. Hutcheson; “Business Risks and Security Assessment for Mobile Devices,” ISACA Journal, vol. 1, 2008
• Absolute, US Mobile Device Security Survey Report 2015, https://www.absolute.com/en/resources/whitepapers/mobile-device-security-survey-report-us

Endnotes

¹ Verizon, 2015 Data Breach Investigations Report, 15 April 2015, www.verizonenterprise.com/DBIR/2015/
² Statista, “Number of Mobile Phone Users Worldwide From 2013 to 2019 (in Billions),” 2016, www.statista.com/statistics/274774/forecast-of-mobile-phone-users-worldwide/
³ Statista, “Number of Tablet Users Worldwide From 2013 to 2019 (in Billions),” 2016, www.statista.com/statistics/377977/tablet-users-worldwide-forecast/
⁴ Skimming is the capturing of credit card information using a card reader that records and stores the user’s card information.
⁵ Apple, HomeKit, www.apple.com/ios/homekit/?cid=wwa-us-kwm-features
⁶ HealthKit, https://www.healthkit.com/