Somos consumidores de información, vivimos y compartimos nuestras vidas en línea. Habitamos un mundo en el que la demanda de acceso a la información en plataformas móviles crece a un ritmo acelerado: queremos nuestro correo electrónico  en cualquier momento, ver el perfil de nuestros amigos en Facebook, saber dónde está el café más cercano para poder “tweetear” nuestros pensamientos diarios y queremos estar al tanto de lo que ocurre en el mundo. Los teléfonos inteligentes, conocidos en inglés como smartphones, permiten este nivel de conectividad y se han convertido en herramientas esenciales en nuestra vida diaria y en los negocios.

Los smartphones están cambiando el ambiente de los negocios, conforme las empresas se mueven hacia operaciones globales se han vuelto indispensables en muchos casos. Los dispositivos móviles ofrecen a las organizaciones la habilidad de mantener conectados a sus empleados a toda hora, permitiéndoles desarrollar sus tareas en cualquier lugar, sin importar si están en casa, en la oficina o viajando.

Cuando una compañía favorece el uso de teléfonos inteligentes por parte de sus empleados, debe afrontar muchas amenazas que son similares a las que enfrenta por el uso de estaciones de trabajo o computadoras portátiles, entre ellas están el malware, virus, explotación de vulnerabilidades e intercepción de datos; lo que puede llevar al robo de información sensible para la organización. Así pues, las empresas que opten por el uso de dispositivos móviles tendrán que estar conscientes del riesgo asociado y tomar medidas para minimizarlo.

.

Descripción de los riesgos

Los teléfonos inteligentes proveen un tipo de conectividad y movilidad que los convierte en plataformas de cómputo móvil con funcionalidad similar a la de una laptop, por lo que se enfrentan a los mismos riesgos. De hecho, los hackers están desarrollando malware muy sofisticado para dispositivos móviles y buscan constantemente nuevas formas para atacarlos. Estos ataques a menudo son exitosos debido al pequeño tamaño de las pantallas, lo que hace difícil verificar la integridad de las ligas y de los sitios Web desplegados, además de que también suele haber poca conciencia de los usuarios acerca de las amenazas y el malware que posibilitan las fugas de información vía los teléfonos inteligentes.

.

Riesgo Descripción
Fuga de información Un teléfono robado o extraviado sin protección en la memoria puede permitir que un tercero tenga acceso a los datos almacenados en el dispositivo
Procesos incorrectos para poner un aparato fuera de servicio Un teléfono descartado o transferido a un tercero sin antes remover la información sensible puede permitir que un tercero tenga acceso a dicha información
Divulgación no intencional de información La mayoría de las aplicaciones permite configurar el nivel de privacidad, pero muchos usuarios no saben, o no recuerdan,  que se transmiten datos y que hay que revisar los controles de privacidad para controlar la transmisión
Phishing Un atacante puede colectar contraseñas, números de tarjeta de crédito y cosas semejantes mediante aplicaciones o mensajes falsos
Spyware El softwareespía puede permitir el acceso a información almacenada en el teléfono.Nota: El spyware incluye cualquier software que solicita y abusa de peticiones de acceso o cambio de privilegios. No incluye software específico de vigilancia
Ataques de network spoofing Un atacante puede desplegar puntos de acceso inalámbrico falsos para que los usuarios se conecten a ellos y a partir de eso desplieguen otro tipo de ataque
Vigilancia Es factible espiar y vigilar a un usuario en particular mediante su teléfono
Dialerware Un atacante puede realizar fraudes mediante malware instalado en un teléfono para hacer uso fraudulento de tarifas SMS y llamadas telefónicas
Malware financiero Malware específicamente diseñado para robar datos de tarjetas de crédito y de cuentas bancarias en línea o para modificar transacciones bancarias o de comercio electrónico
Congestión de redes Ataques de negación de servicio para evitar que los usuarios hagan uso de la red

.

El impacto en la seguridad de la red

No importa si son proporcionados por la empresa o de uso personal, los teléfonos son dispositivos que fácilmente se mueven dentro y fuera de la red corporativa, atravesando los firewalls internos y externos, y pueden conectarse por WiFi o incluso evitar la red mediante conexiones celulares. Esto significa que los usuarios pueden descargar malware de sitios Web mediante sus conexiones a redes 3G/4G y luego dispersarlos en la red corporativa al emplear la WiFi.

Por otro lado, los teléfonos suelen tener grandes cantidades de memoria que suponen una amenaza de fuga de datos al permitir la transferencia de datos al celular desde una computadora.

Es muy difícil para los departamentos de TI controlar lo que los usuarios hacen con sus teléfonos inteligentes y cómo esos dispositivos exponen información del negocio a las amenazas de seguridad. Aún en los casos en los que los celulares son proporcionados por el propio departamento de TI, cualquier dispositivo que pueda evitar las medidas de seguridad es falible y está sujeto a los mismos riesgos.

.

Mejores prácticas para administrar teléfonos inteligentes

En ambientes de alta seguridad, como los bancos o algunas agencias gubernamentales, se exige el uso controlado de teléfonos inteligentes, aunque esto será cada vez más difícil para éstas y otras organizaciones conforme el mercado de consumo siga creciendo y sea un motor para la adopción de estos aparatos: hoy en día en cualquier oficina podemos ver Blackberrys, iPhones y teléfonos con Android.

Así pues, a continuación listo algunas prácticas a tener en cuenta para administrar teléfonos inteligentes en una organización:

  1. Actualice su política de seguridad para incluir el tema de los teléfonos inteligentes y para definir planes de concientización que provean información que ayude a un uso seguro.
  2. Defina con claridad qué dispositivos están permitidos, sin importar si serán proporcionados por la empresa o no.
  3. Puntualice la naturaleza de los servicios que se podrán utilizar en los dispositivos móviles, tomando en cuenta la arquitectura de TI existente.
  4. Identifique la manera en que la gente emplea los teléfonos inteligentes, considerando tanto la cultura corporativa, los factores humanos y cómo la ejecución no determinística de procesos a través del uso de dispositivos móviles puede llevar a riesgos no predecibles.
  5. Integre los dispositivos que la empresa proporciona en un programa de administración de activos.
  6. Describa el tipo de autenticación y cifrado que debe emplearse en los dispositivos.
  7. Defina cómo debe almacenarse y transmitirse la información de manera segura mediante el uso de tráfico cifrado, el empleo de PIN (número de identificación personal, por sus siglas en inglés) y contraseñas seguras.
  8. Defina qué tareas pueden realizar qué empleados y el tipo de aplicaciones permitidas.
  9. Desactive aplicaciones que no son necesarias y establezca una política para restringir la instalación de software no autorizado en los dispositivos móviles.
  10. Las contraseñas para sitios Web deben resguardarse en llaveros digitales para prevenir su almacenamiento en el cache de los navegadores Web.
  11. Instale software de seguridad, incluyendo firewalls y antivirus, en los teléfonos inteligentes.
  12. Si no se requieren para uso corporativo, desactive características como Bluetooth, WiFi y GPS.
  13. Incluya los dispositivos móviles en la política corporativa de respaldos.
  14. Despliegue capacidades remotas de borrado a través de un sistema central de administración que le permita deshabilitar dispositivos robados o extraviados.
  15. Utilice cifrado WPA2, o mejor, para las redes WiFi.
  16. Asegúrese de que las computadoras que se sincronizan con dispositivos móviles tengan programas de firewall y antivirus actualizados.
  17. Proporcione entrenamiento a los usuarios para que sepan cómo evitar ataques de phishing por SMS (conocidos como ataques de smishing).
  18. Establezca mecanismos de acceso cifrado con clientes de VPN que utilicen SSL o IPSec.
  19. Incluya los teléfonos inteligentes en el programa de seguridad de dispositivos finales para prevenir la fuga de información por copia de archivos vía USB.
  20. Asegúrese de que los dispositivos móviles están contemplados en el programa de administración de parches y actualizaciones.

Conclusiones

La innovación tecnológica ha allanado el camino para la asimilación de los teléfonos inteligentes en el lugar de trabajo. Estos dispositivos han actuado como un catalizador para mejorar la eficiencia, productividad y disponibilidad de las operaciones de negocios y, si bien muchas empresas han optado por utilizar esta tecnología, a menudo no han considerado los riesgos del negocio o las implicaciones normativas que se relacionan con estos dispositivos.

La pérdida, robo o corrupción de información sensible o confidencial, la contaminación con malware que puede afectar no sólo a un teléfono sino a toda una red corporativa, y la manera en que los empleados usan estos dispositivos son sólo algunos de los riesgos a tomar en cuenta cuando se emplea esta tecnología. Adicionalmente a la normatividad y sistemas de gobierno corporativo y de TI que ya existen, los riesgos y los controles asociados a ellos, en su caso, deben ser evaluados para asegurar que los activos de información de la empresa se mantengan disponibles y protegidos frente al uso de teléfonos inteligentes.

Las empresas que están considerando el uso de dispositivos móviles de cómputo tendrán que calcular los beneficios que esta tecnología ofrece y los riesgos adicionales que conlleva. Una vez que los beneficios y los riesgos han sido evaluados, el negocio debe emplear su normatividad y sus sistemas de gobierno corporativo para asegurar que los cambios en los procesos y en las políticas son entendidos, implementados y que se aplican los niveles adecuados de seguridad para prevenir la pérdida de datos.

.

[email protected]

Traducción: Héctor Acevedo Juárez