Gran parte de lo que hacemos todos los días gira alrededor de nuestro teléfono; desde la búsqueda de información, lectura de noticias conforme estas se producen, uso generalizado del correo y WhatsApp para estar en comunicación con los demás, así como el acceso a diferentes aplicaciones para consultar nuestras finanzas, comprar bienes, llegar por la mejor vía a nuestro destino o para tomar y publicar fotos y videos en nuestra red social favorita. Todo, todo gira alrededor de un smartphone y hay que tener en cuenta la seguridad para dispositivos móviles.
Y hoy resulta que este dispositivo tan funcional se ha vuelto igualmente vulnerable a ataques o a la instalación de aplicaciones de las que no tenemos conocimiento. Lo que supimos recientemente del Spyware Pegasus y de otras amenazas como Ransomware, Troyanos, gusanos, etc. con diferentes nombres mantienen vigente el tema.
¿Cómo saber si mi teléfono sigue estando bajo mi total control?, ¿Puedo considerarme lo suficientemente invisible para creer que no seré blanco de una amenaza?, la realidad es que ya muy pocas personas creen que no son susceptibles de sufrir en algún momento un ataque por código malicioso.
¿Qué recomiendan las mejores prácticas en seguridad para dispositivos móviles?
1) Revise todos los aplicativos que tiene instalados en el teléfono. Si es necesario haga una búsqueda en una máquina separada para saber qué hace un aplicativo en particular del que usted no tenga conocimiento.
2) Hay que estar alerta a las autorizaciones que solicita un aplicativo determinado ¿lo que me pide hace sentido para la aplicación que manejo?, p.ej. Waze necesita saber su posición para darle la ruta a su destino, entonces esto sí es necesario, ¿Qué hay de otras aplicaciones?, ¿por qué una aplicación necesita tener acceso a mi cámara y micrófono?, ¿por qué otra aplicación podría requerir acceso a mis datos personales?, ¿para qué requiere el aplicativo acceso a mi lista de contactos?
3) Esté alerta a cualquier comportamiento anormal de su teléfono: ¿la pila dura menos de lo normal?, ¿debe cargar su teléfono más de una vez al día aun cuando no le da un uso intensivo?, ¿la batería se sobrecalienta?, todo esto puede ser indicativo de actividad no autorizada.
4) Esté alerta para detectar ventanas de navegador que se abran sin invocarlas, anuncios o disparos súbitos en el consumo de datos.
5) Si sospecha que el teléfono ya está comprometido, apáguelo y haga una limpieza total. Utilice su respaldo.
6) Mantenga el dispositivo actualizado. Una gran cantidad de los ataques más devastadores inician en equipos que no están corriendo versiones actualizadas de su sistema operativo. No lo deje para después. Actualice por la noche.
7) Haga uso de aplicativos que buscan vulnerabilidades en el sistema operativo de su móvil como Lookout y PlanB. Ambos disponibles para plataformas Apple y Android.
¿Qué hay que hacer entonces para estar razonablemente protegido?
Si tenemos las mismas precauciones que ya tenemos con una PC, estamos avanzando:
1) Utilice una buena contraseña, como en cualquier plataforma que combine mayúsculas, minúsculas, números, caracteres especiales, de ser posible, utilice otras funcionalidades como la autenticación biométrica que igualmente se solicita cuando quiere instalar una nueva aplicación. Bloquee su teléfono siempre que sea posible.
2) No abra correo basura, ni mensajes basura, sobre todo si no sabemos con certeza quién es el que nos envía ese mensaje.
Los mensajes anónimos proliferan en nuestro medio, nadie regala viajes gratuitos, ese gancho es más viejo que toda la historia de TI.
3) Evite contestar llamadas de números no identificados, si se trata de una llamada importante le volverán a buscar por teléfono, le dejarán mensaje o le tratarán de contactar por algún medio alterno como el correo electrónico o mensajes SMS.
4) No instale cualquier aplicación si no está informado en principio de que alguien más ya la tiene y que su experiencia es buena.
a. Por la forma en que está escrito el IOS en los teléfonos Apple es más difícil bajar algo no confiable, pero se puede, sobre todo si el teléfono ya fue crackeado (jailbreaked)
b. En el caso de las plataformas Android, tenga especial cuidado, el nivel de interacción que se puede tener con el sistema operativo puede crear agujeros que hagan menos controlable lo que se instala en ellos y así asegurar la seguridad para dispositivos móviles.
5) No dé clics en los enlaces que vienen en correos y mensajes SMS de fuentes que no pueda identificar o que no estén autorizadas, para tener un primer nivel de certeza leamos el dominio desde la diagonal hacia atrás.
No es lo mismo: www.microsoft.com.russianhacks.ru/ <- malicioso
Porque el sitio al que se está accediendo es en realidad a russianhacks.ru
Que: 12341415.update.office.microsoft.com/ <- inofensivo
Este es un servidor específico del dominio de Microsoft.com
6) Tenga extremo cuidado con fuentes que tienen ligas abreviadas como TinyURL y Bitly, hoy esto funciona muy bien en redes sociales, pero hay una inmensa oportunidad de que un hacker entrampe a un usuario incauto.
a. Sin dar clic (pase el mouse) sobre la liga de enlace, en la parte inferior de su pantalla saldrá el URL al que está dirigido, aplique el criterio expuesto en el punto anterior.
b. Utilice las extensiones para su navegador como unshorten.it para Firefox y Chrome o Swift Preview para Chrome
7) Habilite en su navegador la función “Do not track” para restringir que un portal sustraiga información sobre usted. Aunque no siempre hay garantía de que eso no ocurra es poner un nivel más de protección que varios websites sí respetan.
8) Utilice un Antivirus para su teléfono móvil y/o utilerías de protección, muchas de ellas disponibles en la Play Store o en App Store según el equipo que utilice. Aún plataformas como Blackberry (diseñado para empresas con especial preocupación en la seguridad como el sector financiero) o Windows Phone tienen algunas utilerías en sus tiendas que pueden protegerlo. No utilice tiendas de terceros cuando se tope con una.
9) Utilice su intuición, casi siempre acertará.Aplique el principio de “si parece pato, camina como pato y grazna como pato, entonces es un pato”, si algo parece malicioso, lo más probable es que tenga razón. No abra el contenido y apóyese con su proveedor para que le ayude a hacer una investigación efectiva.
10) Trate de minimizar el uso de puntos de acceso Wifi públicos, sobre todo cuando va a transferir dinero o enviar datos personales. Toda esa información puede ser interceptada.
11) Si su teléfono es de uso corporativo, permita que se integre a las aplicaciones que utilizan la Gestión de Dispositivos Móviles MDM (Mobile Device Management) para monitorear la salud y la seguridad para dispositivos móviles.
a. Protegiendo al Dispositivo: Y que pueden borrar remotamente la información del teléfono si llega a extraviarse o ser robado.
b. Protegiendo los Datos: haciendo que la información corporativa no pueda transferirse a otras aplicaciones en el teléfono o en la red a la que está conectado.
c. Asegurando la gestión de Apps: para evitar que las aplicaciones dentro del teléfono puedan ser comprometidas.
Para finalizar, le comparto algunos interesantes datos de Karspersky sobre dispositivos móviles:
Los troyanos constituyen alrededor del 95% del malware existente para teléfonos inteligentes. Cerca del 98% del malware que ataca las aplicaciones bancarias está dirigido a dispositivos basados en Android. No es de sorprenderse cuando se sabe que el 80% de los smartphones a nivel mundial utilizan este sistema operativo.
En la medida en que los usuarios repliquen sus hábitos de protección del mundo de las computadoras hacia sus dispositivos móviles, los ataques serán cada vez más controlables y su impacto decrecerá. Pero el camino a ese escenario no es tan inmediato y todavía seguiremos oyendo por un tiempo de amenazas que hagan más visible que los usuarios son responsables de proteger sus dispositivos móviles, más aún, porque generalmente esos dispositivos son propiedad del usuario y están fuera del control de la mayoría de las corporaciones.
Deseas conocer más sobre seguridad y ciberseguridad contáctanos, con gusto te apoyaremos.
Esteban San Román
Profesional de Seguridad de la información
CISSP, CISA, CRISC, CEH, ITIL
Te invitamos a escuchar nuestro podcast “La importancia de la experiencia en un curso de entrenamiento de ciberseguridad” por Esteban San Román en spotify.