jueves, 27 de junio de 2013

Aparatos móviles y ciberdelincuencia: ¿Es su teléfono el eslabón más débil?

UniversiaKnowledge@Wharton. Están por todas partes: las personas se inclinan sobre los teclados de sus smartphones y tabletas en los cafés, aeropuertos, supermercados y hasta en las paradas de autobuses, aparentemente ajenas a cualquier cosa o a cualquiera alrededor suyo. La gente los utiliza para jugar, leer correos electrónicos, hacer compras o verificar el saldo bancario mientras se desplazan. Tal vez acceden incluso a la red de la empresa y bajan un documento o dos en su aparato móvil.
Pero a medida que los aparatos inalámbricos forman cada vez más parte de nuestro día a día, tanto en el trabajo como en casa, aumentan los riesgos para la seguridad. Esos aparatos no sólo sirven como punto de acceso para los ciberdelincuentes, también se pueden vulnerar con mayor facilidad que los computadores personales, ya que muchos consumidores no instalan antivirus en sus smartphones o tabletas y tampoco toman medidas simples de precaución, como activar la protección de la contraseña.
Según una investigación de Harris Interactive encargada por el CTIA [The Wireless Association], menos de la mitad de todos los propietarios de aparatos móviles usan contraseñas o números de identificación personal (PINs) en sus aparatos, un porcentaje mucho menor que los usuarios de computador. Entre los que hacen operaciones bancarias en aparatos móviles, solamente la mitad encripta los datos o usa algún tipo de software de seguridad. Además,menos de un tercio de los usuarios usa antivirus en sus aparatos móviles en comparación con un 91% en el portátil. Tal vez la siguiente información explique la razón de eso: un 45% de las personas no consideran la ciberseguridad en sus aparatos móviles como una amenaza similar a la de sus computadores, informa la investigación divulgada en mayo.
Los peligros, es evidente, son muchos. Según el CTIA, aplicaciones móviles maliciosas pueden grabar informaciones que los usuarios teclean en el aparato como, por ejemplo, el número de la cuenta bancaria y del PIN. Ellos pueden leer datos almacenados en un aparato móvil, como por ejemplo, correos electrónicos, mensajes de texto, adjuntos, número de la tarjeta de crédito, logins de usuarios y contraseñas de redes corporativas. El móvil puede inclusive grabar de forma secreta conversaciones a cortas distancias. Los datos que salen de un aparato móvil inalámbrico y se conectan a una red wi-fi pueden ser secuestrados en el aire en ataques man in the middle [cuando los datos son interceptados en medio del camino]. Los llamados malwares pueden transmitir esas informaciones a hackers incluso de otros países. "Pero, ¿quién se queda esas informaciones?", se pregunta Gerald Faulhaber, profesor emérito de Economía empresarial y Políticas públicas. "¿Cree que no tienen destino concreto?"
El consumidor tal vez no se preocupe por la seguridad de su aparato móvil porque, posiblemente, no lo vea como un pequeño computador. "Él piensa: 'Esto es sólo un teléfono, no es el computador donde hago mis impuestos'", dice Andrea Matwyshyn, profesora de Estudios jurídicos y de Ética en los negocios de Wharton. Sin embargo, si alguna vez esa persona visitó a través del móvil la página de impuestos para saber si llegó su devolución, ya creó con eso una grabación del nombre de usuario y de la contraseña. "El historial de la actividad del usuario en aquel teléfono es compartido con el servicio, y el propio aparato puede estar guardando un registro", dice ella.
Los riesgos se trasladan al lugar de trabajo a medida que más personas llevan sus aparatos a la oficina tanto para uso personal como profesional, un fenómeno conocido como BYOD, o "Bring Your Own Device" [traiga su propio aparato]. El trabajador podrá, sin querer, contaminar la red corporativa si uno o más de sus aparatos personales contienen un software malicioso. "La tendencia es que la mayor parte de las industrias adopten el BYOD", observa Matwyshyn. Pero, "todo eso añade una capa más de riesgo sobre la cual las empresas tendrán que pensar y paliar".
La portabilidad de los aparatos móviles hace más difícil el control por parte de las empresas. "Los aparatos móviles están [...] vinculados a las personas de una manera diferente al computador personal, porque se desplazan con las personas", observa Kevin Werbach, profesor de Estudios jurídicos y de Ética en los negocios de Wharton. "Es más difícil para el sector de TI de la empresa gestionar y controlar algo que sale del edificio todas las noches. La realidad, sin embargo, es que los trabajadores quieren usar su aparato móvil personal con las aplicaciones que descargaron, por lo tanto no tiene sentido bloquearlos completamente".
El problema deberá aumentar a medida que las personas empiecen a usar más sus aparatos móviles. Por primera vez, el número de smartphones producidos en el primer trimestre de este año fue mayor que los teléfonos con funciones limitadas y restringidas o sin conexión a Internet, informó la empresa de investigaciones IDC.
En 2015, un número mayor de americanos visitará internet a través de un aparato móvil y no del PC, según datos de la CTIA. En EEUU, un tercio de la población usa actualmente un smartphone. Ese número deberá aumentar hasta un 80% en 2017, según el CTIA de acuerdo a una investigación de Frost & Sullivan. La amenaza a la seguridad se extenderá, por ejemplo, a los coches conectados a Internet y aparatos médicos que envían datos personales a través de aparatos inalámbricos. "Todo aparato móvil es un riesgo en potencia para la seguridad", dice Werbach.

El riesgo en la billetera
La nueva tendencia de carteras móviles inaugura una nueva área de riesgo para el consumidor wireless. Con Google Wallet, el consumidor podrá usar smartphones equipados con chips de comunicación con campos próximos [NFC, near field communication] para comunicarse y pagar por las compras hechas por el sistema tap and pay [en que el usuario sólo tiene que pasar el móvil cerca del lector sin la necesidad de teclear dato alguno]. Las tarjetas de crédito están almacenadas en el aparato. ISIS, fundada por AT&T, Verizon Wireless y T-Mobile, ofrece una cartera móvil que trae también la funcionalidad del tap and go. Otras empresas que ofrecen carteras móviles: Square Wallet, LevelUp y Paydiant.
Los ataques a las carteras móviles ocurren principalmente a través de smartphones. Las tabletas son usadas sobre todo para el consumo de medios como videos, juegos y e-books y para visitar Internet. Los smartphones son usados con más frecuencia para hacer transacciones financieras móviles, para verificar el correo electrónico, enviar SMS y hacer llamadas de voz. De esa manera, la amenaza a esos aparatos se debe a la manera en que son utilizados por el consumidor o por el empleado. Pero las tabletas tal vez sean un blanco más fácil para los criminales, ya que un 73% de ellos se conectan a Internet exclusivamente a través de redes Wi-fi, frente a un 12% de los smartphones, según datos de la investigación de la CTIA.

Un ambiente complejo
Antes de que los smartphones y las tabletas despegaran entre los consumidores, las operadoras de telecomunicaciones móviles controlaban todos los aspectos del teclado original de diez números de los móviles, según explica un informe de la CTIA. Ellos utilizaban sistemas operativos cerrados; no había ninguna aplicación, ni tienda de aplicaciones; los aparatos tenían una capacidad de procesamiento limitada; la red y el contenido existían en un "jardín amurallado", y la velocidad de los datos era lenta.
Hoy, smartphones, tabletas y otros aparatos inalámbricos utilizan sistemas abiertos y cerrados, las tiendas de aplicaciones ofrecen más de un millón de aplicaciones móviles y los aparatos tienen una capacidad de procesamiento espectacular, la resolución es mejor, las pantallas son mayores y el acceso a Internet es total. Al mismo tiempo, las operadoras están invirtiendo miles de millones de dólares para acelerar las redes inalámbricas para que soporten un tráfico mayor de datos.
El resultado es que consumidores y empleados pueden desempeñar tareas mucho más complicadas en sus aparatos, y a un ritmo más veloz que antes. En un ambiente BYOD, los equipos de TI de las empresas tienen que lidiar con varios aparatos por empleado, en lugar de un computador de sobremesa, un portátil y un teléfono. Las empresas están habituadas a ofrecer seguridad para ordenadores que utilizan los sistemas operativos Windows o Mac, pero hoy tienen que lidiar también con iOS, Android, Windows Phone, BlackBerry, Symbian y otros. Los gestores de los sistemas pueden verificar si un software ha sido bajado en un computador de la empresa, pero es difícil hacer lo mismo con las aplicaciones móviles.
"Los aparatos móviles añaden un nuevo nivel de complejidad a la seguridad del ciberespacio", destaca Werbach. "Los usuarios de smartphones hacen descargas de numerosas aplicaciones de fuentes más variadas que las utilizadas para descargar en el PC, donde la mayor parte de las actividades pasa por el navegador de Internet".
Incluso los portátiles corporativos pueden protegerse más fácilmente que los smartphones y tabletas. El equipo de TI de la empresa no sólo instala el antivirus en los aparatos, configura las contraseñas y añade otras precauciones, esos portátiles también están la mayor parte del tiempo desconectados cuando las personas están desplazándose, observa Matwyshyn. Los usuarios los conectan nuevamente cuando llegan a su destino. Pero "en el caso de un aparato móvil, la idea es que el usuario esté disponible y accesible a todos los que quieran contactarlo", dice ella. "Eso expone al usuario del aparato móvil a riesgos adicionales de seguridad".
Ni incluso los militares escaparon de la trampa de la seguridad móvil. En un informe de marzo, el inspector general del Departamento de Defensa de EEUU constató que el ejército americano no disponía de un programa eficaz de seguridad del ciberespacio para sus aparatos comerciales. El director de informaciones del ejército no sólo falló al no "monitorizar debidamente" esos aparatos, sino también "desconocía" que había 14.000 aparatos en uso, según el informe. Además, la oficina del Inspector General descubrió que los datos no podían ser borrados de forma remota si el aparato se perdía, era robado o sufría daños.
Además, los aparatos del ejército no fueron configurados para requerir contraseña, dejando esa tarea al usuario. El resultado fue que algunos aparatos no fueron protegidos con contraseña, entre otros problemas señalados. La oficina del Inspector General informó que el director de informaciones del ejército no puso en práctica una "política clara y amplia" de protección de esos aparatos móviles después de concluir "equivocadamente" que ellos no estaban conectándose a las redes del ejército y no estaban almacenando informaciones confidenciales. En consecuencia, "esas redes quedaron más vulnerables a los ataques a la seguridad del ciberespacio y a la fuga de datos confidenciales", decía el informe.

Paso a paso
Estados Unidos está tomando algunas medidas para proteger su infraestructura crítica. En febrero, el presidente Obama suscribió un decreto que enseñaba a las agencias a crear patrones de ciberseguridad para las empresas que trabajan con los activos más importantes del país, como la red de energía eléctrica, para repeler posibles ataques. El Gobierno compartirá más informaciones sobre ciberataques de manera oportuna para que las empresas afectadas puedan protegerse mejor. Pero el decreto excluye de forma específica los "productos comerciales de tecnología de la información o servicios de consumo de la tecnología de la información", dejando a Google, Microsoft, Facebook, Twitter y otros libres de un escrutinio más cuidadoso. "No me gustó mucho la idea", dice Faulhaber. "Son esas las empresas que hacen funcionar los sistemas operativos". Android de Google, por ejemplo, estaba presente en un 75% de los smartphones del mundo en el primer trimestre de este año, según investigación de IDC de mayo.
Las empresas pueden lidiar con las amenazas para la ciberseguridad a través de políticas de gestión para aparatos móviles, dice John Marinho, vicepresidente de ciberseguridad y tecnología de la CTIA. Esas políticas incluirían la utilización de redes privadas virtuales, o VPNs, los datos en tráfico serían encriptados y todos los aparatos exigirían el uso de contraseñas. Pero los departamentos de TI no están plenamente al corriente de lo que hacen los empleados. Una investigación de la CTIA hecha en mayo mostró que un 57% de los empleados usan su aparato personal para visitar datos de la empresa, pero la mayor parte de los profesionales de TI cree que menos del 25% lo hacen. La protección de los aparatos móviles es un "desafío al que todas las empresas se enfrentan", dice Matwyshyn.
Otras formas de atenuar los riesgos consisten en introducir una "política de permiso de uso" e informar a los empleados sobre las consecuencias de usar sus aparatos sin prestar atención a la seguridad, añade Matwyshyn. Las empresas deberían monitorizar a los empleados, de manera que su acceso a la red sea autorizado y los datos obtenidos estén en conformidad con el estatus de alguien de su posición. "El sistema debe estructurarse de manera que permita que cada empleado tenga acceso al volumen de información que necesita, y no más", dice ella. "Se trata de un principio conocido como 'privilegio mínimo'". La lección aquí es la siguiente: no dé a los empleados credenciales de acceso que sean muy amplias.
Si el empleado recibiera de la empresa un teléfono o una tableta, el aparato sería más seguro, porque el departamento de TI monitorizaría su utilización. Él podría utilizar, por ejemplo, un comando remoto para borrar cualquier dato y retirar el aparato si fuera necesario, añade Matwyshyn. En realidad, sin embargo, "el empleado prefiere tener un aparato propio, porque le gusta la flexibilidad de poder visitar su perfil en Facebook" sin ser monitorizado.
Según Marinho, la buena noticia es que, actualmente, EE.UU. tiene uno de los menores índices de infección por malware del mundo, menos del 2%. Aunque ese índice deba subir, aún está muy lejos de lo que ocurre en China y en Rusia, donde las brechas de seguridad afectan a más del 40% de los smartphones. Mientras, la industria wireless de EEUU invierte fuertemente en la protección de las redes y crea con eso una trayectoria de ciberseguridad, dice.
Pero no hay sistema que sea inviolable. Basta un link frágil para que los cibercriminales violen el sistema, observa Matwyshyn. Las mismas informaciones personales sobre un determinado consumidor podrían estar almacenadas en el banco de datos de un minorista y en los servidores de una agencia del Gobierno, así como en el propio aparato. Eso es todo cuanto un hacker necesita para traspasar el lugar menos protegido, como es el caso del smartphone. Proteger el aparato móvil de las personas es el equivalente, "en el siglo XX, a cerrar la puerta por la noche".

autor

UniversiaKnowledge@Wharton

No hay comentarios:

Publicar un comentario