martes, 12 de julio de 2011

La seguridad de BlackBerry

Esta tabla compara la cuota de mercado en todo el mundo de los teléfonos inteligentes, en el primer trimestre de 2011 y 2010. La BlackBerry de Research in Motion ha perdido cuota, mientras que el iPhone y los Android se han vuelto más populares.
Fuente: Technology Review; Fuente: Gartner



BlackBerry se ha ganado el favor de los departamentos de TI en las empresas en parte a su fuerte seguridad, aunque el uso de los dispositivos rivales no es necesariamente más peligroso para los empleados.


Por Jessica Mintz

Antes de que el iPhone de Apple convirtiera los teléfonos inteligentes en codiciados dispositivos de consumo, la mayoría de empleados en las empresas poseían BlackBerrys. Los dispositivos no eran ni delgados ni atractivos, no contaban con cientos de miles de aplicaciones, y la navegación por Internet era torpe. Sin embargo, la empresas confiaban en Research in Motion, que comercializaba sus teléfonos BlackBerry como una forma segura de que los trabajadores móviles pudieran acceder a información delicada de la empresa.

Hoy día persiste esta percepción entre los ejecutivos de tecnología: una BlackBerry es más segura que un iPhone o un teléfono con software Android de Google. Sin embargo, la popularidad de los rivales ha llevado a muchas empresas a aflojar sus restricciones sobre qué dispositivos móviles pueden usar los empleados para el trabajo. Cuando los empleados piden usar sus iPhones y teléfonos Android, ¿ponen a la empresa en una situación de riesgo? Depende más de lo que la gente haga con sus teléfonos que de los teléfonos que utilicen.

Una de las ventajas tradicionales de la BlackBerry es que no sólo encripta el correo electrónico, sino también el tráfico web normal, que generalmente no suele recibir ese tipo de tratamiento. El software de servidor de RIM también ofrece a los administradores de tecnología un control preciso de cada una de las BlackBerrys que entrega la compañía. Scott Totzke, vicepresidente de seguridad de BlackBerry en RIM, afirma que existen 500 ajustes diferentes para bloquear los dispositivos. Por ejemplo, una empresa puede decidir que los empleados sean capaces e descargar sólo ciertas aplicaciones aprobadas, o ninguna en absoluto. Podrían conseguir autorización para acceder y publicar cosas en Facebook, sin que el sitio de red social acceda al e-mail de empresa a través de la BlackBerry.

El iPhone no ofrece este tipo de sofisticadas herramientas para administrar la configuración del dispositivo. Sin embargo, los departamentos de TI pueden administrar el correo electrónico para los dispositivos iPhone y Android con programas de terceros tales como el sistema de Microsoft Exchange.

Sin embargo, cuando hablamos del tipo de daños que el código malicioso puede causar en los teléfonos inteligentes, algunos expertos en seguridad dan al iPhone ventaja en cuanto a la seguridad (suponiendo que el dispositivo no esté "liberado", o modificado para poder saltarse algunas de las restricciones de Apple). Esto se debe en parte al proceso que Apple requiere de los desarrolladores de software si quieren crear aplicaciones para el iPhone. El método de Apple para la autenticación y la identificación de su código es más riguroso que el de RIM. (Google no tiene un proceso de selección inicial para el mercado de aplicaciones Android.)

Vincenzo Iozzo, consultor de seguridad independiente en Milán, Italia, dirigió un ataque a la BlackBerry durante la competición de hackers Pwn2Own de este año: él y dos compañeros realizaron el ataque a través de un agujero de seguridad en el código fuente abierto de su navegador de Internet. (Desde entonces, RIM ha tapado el agujero, que ya había sido tapado en los dispositivos de Apple y Android.) Afirma que la BlackBerry se ha beneficiado de la "seguridad a través de la oscuridad": existen herramientas y documentación que ayudan a los desarrolladores de software, tanto benignos como malignos, a crear programas y observar la forma en que se ejecutan en el iPhone o Android, aunque RIM no ha ofrecido la misma cercanía. "Desde el mundo exterior, [la BlackBerry] es más como una caja negra", afirma. Eso ha funcionado en beneficio de RIM (Iozzo todavía recomendaría primero las BlackBerrys, y en segundo lugar el iPhone, para aquellas empresas extremadamente preocupadas por los ataques a los teléfonos de los empleados). No obstante, añade: "La BlackBerry es más fácil de explotar una vez que se sabe cómo hacerlo".

Charlie Miller, consultor jefe de investigación en la firma de seguridad Accuvant Labs, está de acuerdo con esa evaluación. Señala que el iPhone y el Windows Phone 7 de Microsoft, a diferencia de la BlackBerry, emplean normas llamadas Address Space Layout Randomization y Data Execution Prevention. La primera hace más difícil que un intruso encuentre partes específicas del código de software o de los datos en un teléfono; la segunda evita que los procesadores de los teléfonos ejecuten datos proporcionados por el atacante.

Eric Maiwald, analista del grupo de tecnología de investigación Gartner, asegura que las empresas deben preocuparse menos por la seguridad de cualquier dispositivo en particular y más acerca de sus estrategias globales para hacer frente a una fuerza de trabajo que desea conectar sus teléfonos personales a la red corporativa. Por ejemplo, ¿sería buena idea que una empresa permitiese que los datos delicados fueran almacenados en el teléfono en sí, o deberían permanecer en el centro de datos, y acceder a ellos de forma remota?

No tener que preocuparse sobre qué dispositivos particulares comprar para los empleados hace que Lars Crotwell, vicepresidente de tecnología de la información en la empresa de servicios petroleros Basic Energy Services, pueda centrarse más en las necesidades específicas de TI de la empresa. Afirma que algunas de las características que dieron preferencia a la BlackBerrys entre los clientes corporativos, tales como la capacidad de borrar de forma remota los datos de los dispositivos que se han perdido o robado, ya están disponibles en los teléfonos de la competencia. Cree que RIM todavía podría ofrecer una mayor seguridad en general, pero incluso si lo hace, afirma que la utilidad marginal de esa seguridad adicional se ha reducido en los últimos años. Esa es una razón por la que actualmente permite a los empleados traer sus propios teléfonos inteligentes. "Sólo porque (la BlackBerry) sea más segura no significa que el iPhone o Android no puedan satisfacer nuestras necesidades. Después de cierto punto, ¿a quién le importa?" señala Crotwell. "Es lo suficientemente seguro para nuestro perfil de riesgo".

Copyright Technology Review 2011.

No hay comentarios:

Publicar un comentario