Upload
jeancarlosvilcamonroy
View
217
Download
0
Embed Size (px)
DESCRIPTION
Seguridad en Dispositivos Móviles
Citation preview
7/21/2019 Seguridad en Dispositivos Móviles
http://slidepdf.com/reader/full/seguridad-en-dispositivos-moviles-56d98b90e8c76 1/15
SEGURIDAD EN DISPOSITIVOS
MÓVILESLa seguridad en dispositivos móviles se ha convertido en un asunto muy
importante debido al incremento de "ataques" recibidos y a las consecuencias que estos
tienen. Los ataques vienen incentivados por la popularización de los dispositivos móviles,
el aumento de información personal y confidencial que almacenan y las operaciones
realizadas a través de ellos, como por ejemplo las bancarias.
Los dispositivos móviles están formados por un conjunto de componentes de
hardare capaces de soportar una gran variedad de tecnolog!as inalámbricas #$%,
&%'$, (ifi, )luetooth, etc.*, donde destaca uno o varios procesadores de altas
prestaciones que permiten ejecutar un sistema operativo muy complejo y un gran n+mero
de aplicaciones que requieren una gran capacidad de cálculo. 'odo ello incrementa
significativamente las distintas vulnerabilidades a las que están epuestos este tipo de
dispositivos.
&n hardare más potente implica que pueden ser tratados más datos
normalmente personales*, tanto los que se almacenan en la memoria de los dispositivos
móviles como los que se reciben por los diferentes sensores que estos incorporan. -demás, el hecho de soportar una gran variedad de tecnolog!as inalámbricas abre más
v!as de ataque.
1.- LA PROBLEMÁTICA DE LA SEGURIDAD
1.1. Conceptos básicos de se!"id#d
uando hablamos de seguridad, eiste una nomenclatura imprescindible
para identificar el grado de protección que estamos utilizando. $i tomamos como
ejemplo los diferentes pasos que se efect+an durante una llamada telefónica sobre
una red inalámbrica, podemos identificar los cuatro conceptos clave de seguridad
de la información/
0 Con$idenci#%id#d/ ha de ser posible que nadie pueda captar nuestra
llamada y enterarse de lo que decimos.
7/21/2019 Seguridad en Dispositivos Móviles
http://slidepdf.com/reader/full/seguridad-en-dispositivos-moviles-56d98b90e8c76 2/15
& A!tentic#ci'n( solo los usuarios con un teléfono de la red, es decir,
pertenecientes a la compa1!a, pueden utilizar la red.
0 Inte"id#d( es necesario que la información, de voz o datos, que viaje por
la red inalámbrica no se pueda alterar sin que se detecte.
0 )o "ep!dio/ debe ser imposible que un usuario que ha utilizado la red
pueda negarlo2 es decir, se debe garantizar que haya pruebas que
demuestren que un usuario ha hecho una determinada llamada.
3ay que destacar que la propiedad de autenticación es quizá la más
importante de las que acabamos de mencionar, ya que sirve de poco conseguir
confidencialidad e integridad si resulta que el receptor de la información no es
quien nosotros pensamos.
4stos cuatro conceptos básicos de seguridad de la información que
acabamos de definir son la base de la totalidad de los requisitos de seguridad que
se pueden necesitar, tanto si se trata de comunicaciones inalámbricas como de
información en general.
1.*. C#p#s de se!"id#d en dispositi+os ,'+i%es
5ara poder entender la importancia de la seguridad en los dispositivos
móviles hay que conocer las capacidades de estos dispositivos y cómo se ha
llegado a ellas. 5rincipalmente, los dispositivos móviles han vivido una importante
revolución en cuanto a las aplicaciones que pueden ejecutar. 4sta revolución ha
estado marcada por tres motivos/
6* &n hardare potente, con muchos sensores.
7* &n sistema operativo complejo que facilita un $896 sencillo y potente
para los desarrolladores.
:* &n mercado de aplicaciones completamente integrado en el sistema y
muy intuitivo, lo que facilita las transacciones tanto a los usuarios como a
los desarrolladores.
8ebido a estas nuevas funcionalidades que ofrecen los sistemas operativos
para móviles y a las aplicaciones que se han creado sobre ellos, los dispositivos
móviles acaban almacenando gran cantidad de datos, generalmente
7/21/2019 Seguridad en Dispositivos Móviles
http://slidepdf.com/reader/full/seguridad-en-dispositivos-moviles-56d98b90e8c76 3/15
confidenciales. ;a no +nicamente guardamos los n+meros de teléfono de nuestros
contactos, el registro de llamadas o los $%$, sino que también almacenamos una
gran cantidad de información personal, como pueden ser cuentas bancarias,
documentos o imágenes.
4ste aumento de la información personal almacenada provoca que más
personas puedan estar interesadas en obtenerla. -demás, la complejidad actual
de los sistemas operativos para móviles ha incrementado los agujeros de
seguridad epuestos. 5or lo tanto, cuando utilizamos dispositivos móviles, es
recomendable seguir unas prácticas de seguridad, que serán parecidas a las
utilizadas en los ordenadores.
5ara poder analizar la seguridad de los dispositivos móviles de manera
eficiente, se ha organizado este módulo en cuatro apartados/ la comunicacióninalámbrica, el sistema operativo, la aplicación y el usuario. ada apartado
contendrá una peque1a introducción, una breve descripción tanto de los
principales ataques como de los principales mecanismos de prevención y un caso
de estudio.
*.- APLICACIO) DE SEGURIDAD E) IOS A)DROID
$i pensamos fr!amente, nuestros smartphones y tablets van a atesorar información
de carácter personal2 guardaremos contactos, tendremos las fotos que tomamos,instalaremos el cliente de 'itter y <aceboo=, usaremos aplicaciones de geolocalización
o, incluso, llegaremos a leer nuestro correo electrónico.
>?ue significa eso@ La respuesta es simple, creo que antes de ponernos a instalar
aplicaciones, deber!amos invertir un poco de tiempo en la seguridad de nuestros
dispositivos móviles.
5ues s!, aunque pueda ser lo +ltimo que se nos pase por la cabeza y haya alguien que
pueda pensar Aeso ya lo haré más tardeB, la seguridad en dispositivos móviles deber!a ser
una de nuestras tareas prioritarias2 un must que no deber!amos posponer porque, el d!a
menos pensado, esta inversión de tiempo nos sacará de alg+n apuro.
/ po" d'nde pode,os e,pe0#"
-l contar con un smartphone o una Tablet debemos pensar en aspectos como/
7/21/2019 Seguridad en Dispositivos Móviles
http://slidepdf.com/reader/full/seguridad-en-dispositivos-moviles-56d98b90e8c76 4/15
ontrolar el acceso a tu dispositivo
Cealizar copias de seguridad para respaldar tus datos
ontrolar en remoto el dispositivo en caso de robo o pérdida
Do instalar aplicaciones a lo loco
ontrolar los datos que compartes
Los parches de seguridad y las actualizaciones son importantes
Cont"o%#" e% #cceso # t! dispositi+o
'al y como comentábamos al inicio, nuestros dispositivos móviles guardan datos
de carácter personal2 ah! están nuestros $%$, nuestras fotos, nuestros correos
electrónicos, nuestras conversaciones de (hats-pp o LineE 4s fundamental que
intentemos preservar esta información fuera del alcance de terceros2 de hecho, si
hacemos compras de aplicaciones, alguien podr!a provocar una AhecatombeB si se
pone a comprar, cual proceso, canciones o aplicaciones desde nuestro terminal
sin contar con las medidas adecuadas.
7/21/2019 Seguridad en Dispositivos Móviles
http://slidepdf.com/reader/full/seguridad-en-dispositivos-moviles-56d98b90e8c76 5/15
>; qué opciones tenemos a nuestra disposición@ 'eniendo en cuenta que Ano hacer nadaB
no es una opción, dependiendo de la plataforma que estemos usando tendremos unas
opciones u otras. La más simple, y disponible tanto en iOS como en And"oid, es bloquear
el terminal mediante una contrase1a. 4n el caso de iOS lo encontraremos en los
A-justesB2 concretamente en la opción A#eneralB y, dentro de ella, A)loqueo con códigoB.4n el caso de And"oid la encontraremos dentro de A-justesB y, una vez ah!, dentro del
bloque de A$eguridadB.
And"oid nos ofrece otras opciones adicionales2 hay terminales en los que
encontraremos opciones de reconocimiento facial, usar una contrase1a alfanumérica y un
patrón visual, es decir, dibujar sobre la pantalla del terminal unas l!neas que unen una
serie de puntos.
4n el caso de iOS, si dispones de un iP2one 3s, el botón principal incluye unsensor de huellas dactilares llamado 'ouchF8* que puedes usar para desbloquear tu
terminal de una manera muy cómoda y también segura*.
Re#%i0#" copi#s de se!"id#d p#"# "esp#%d#" t!s d#tos
7/21/2019 Seguridad en Dispositivos Móviles
http://slidepdf.com/reader/full/seguridad-en-dispositivos-moviles-56d98b90e8c76 6/15
$i hay algo que he visto en demasiadas ocasiones es que alguien se acuerde
del backup demasiado tarde2 es decir, cuando ha perdido datos y se ha dado cuenta que
no los puede recuperar. Fnvertir algo de tiempo en realizar copias de seguridad del
contenido de nuestro smartphone o nuestra tablet nos puede sacar de más de un apuro
en caso de aver!a o de perdida del dispositivo, minimizando la probabilidad de perder
información.
/ 4!5 opciones tene,os # n!est"o #%c#nce Los usuarios de iOS, aunque
muchos no lo usen, lo tienen muy fácil gracias al servicio de iC%o!d que lo
encontraremos, dentro de -justes, en iloud y, una vez dentro, en A-lmacenamiento y
copiaB*. on este servicio de sincronización activo, podremos realizar una copia de
seguridad automática cada vez que tengamos nuestro dispositivo iG$ en carga y
conectado a una red (iH<i2 un proceso transparente por el que tendremos a buen recaudo
la configuración de nuestro dispositivo, las fotograf!as, nuestros mensajes o las
aplicaciones que tenemos instaladas.
4n el caso de And"oid, los usuarios tenemos que buscarnos alguna v!a para
hacerlo porque #oogle no nos pone las cosas tan fáciles. 4n -ndroid eiste un
backup básico que s! que está incluido entre las opciones del sistema2 si accedemos a los
A-justesB del dispositivo, si accedemos a la sección denominada A5ersonalB, dentro de
ésta, veremos una opción denominada A5rivacidadB en la que veremos la copia de ajustes
que se realizan dentro de nuestra cuenta de #oogle. $i activamos esta opción, podremos
realizar una copia de las configuraciones de redes (iH<i, favoritos y datos de algunas
aplicaciones.
7/21/2019 Seguridad en Dispositivos Móviles
http://slidepdf.com/reader/full/seguridad-en-dispositivos-moviles-56d98b90e8c76 7/15
5or otro lado, si sincronizamos nuestros contactos con los de #oogle, también
tendremos un respaldo de estos en la nube y, si usamos #oogle alendar, también
tendremos ah! las citas de nuestra agenda. ; si buscamos opciones de copias de
seguridad más profundas en -ndroid, no nos quedará otro remedio que recurrir
a aplicaciones de terceros.
<inalmente, creo que es interesante dedicar unas l!neas a las $oto"#$6#s2 para
realizar copias de nuestras fotos de una manera muy cómoda tenemos much!simas
opciones y servicios como 8ropbo, $=y8rive nos pueden facilitar mucho las cosas.
Cont"o%#" en "e,oto e% dispositi+o en c#so de "obo o p5"did#
Gtra de las ventajas de los usuarios de iOS e iC%o!d es que este servicio también
ofrece un control remoto de los dispositivos. #racias a iloud, los usuarios pueden
geolocalizar sus dispositivos, bloquearlos en remoto, borrar su contenido o hacer saltar
una alarma si éste se etrav!a o nos lo roban.
7/21/2019 Seguridad en Dispositivos Móviles
http://slidepdf.com/reader/full/seguridad-en-dispositivos-moviles-56d98b90e8c76 8/15
3asta el mes de agosto del 7I6:, los usuarios de -ndroid carec!amos de este tipo
de opciones y ten!amos que recurrir a aplicaciones de terceros como por ejemplo 5rey*.
#oogle por fin puso fin a esta carencia y lanzó And"oid De+ice M#n#e" que, hasta hace
unos d!as, estaba disponible solamente como aplicación eb pero ahora también está en
forma de app -ndroid por si tenemos varios dispositivos a controlar y vinculados a una
misma cuenta de #oogle*.
on -ndroid 8evice %anager podremos controlar en remoto nuestro terminal para
ubicar su posición en caso de pérdida o robo, también podremos emitir una alerta sonora
en el terminal o borrar su contenido en remoto. 5or defecto, este servicio no está activado
7/21/2019 Seguridad en Dispositivos Móviles
http://slidepdf.com/reader/full/seguridad-en-dispositivos-moviles-56d98b90e8c76 9/15
y tendremos que acceder a los A-justes de #oogleB del terminal y localizar la opción de
A-dministrador de dispositivosB.
)o inst#%#" #p%ic#ciones # %o %oco
iOS es un ecosistema controlado y, en general, apenas nos vamos a encontrar
con malware porque -pple revisa las aplicaciones antes que sean publicadas. -+n as!, es
importante revisar las cosas que instalamos para evitar que nosotros nos convirtamos en
el producto de una app gratuita que termine apropiándose de los datos que generamos.
8e todas formas, aunque iG$ sea un ecosistema controlado, en el momento que
optamos por el Jailbrea= dejará de serlo y estaremos Alanzándonos al vac!oB confiando
ciegamente en desarrolladores que no conocemos y que no tienen por qué declararlo todo
sobre sus aplicaciones.
4n el ecosistema And"oid las cosas son algo distintas y, en mi opinión, debemos
etremar las precauciones. 4s cierto que eisten antivirus que nos pueden ayudar a
luchar contra el malware pero, en mi opinión, e% ,e7o" #nti+i"!s es e% sentido co,8n.
7/21/2019 Seguridad en Dispositivos Móviles
http://slidepdf.com/reader/full/seguridad-en-dispositivos-moviles-56d98b90e8c76 10/15
-ntes de instalar una aplicación, los usuarios deber!an revisar varios aspectos
antes de darle al famoso botón de Aaceptar e instalarB. 5ara empezar, es importante que
revisemos los comentarios de otros usuarios para AsondearB qué opinan otros usuarios
que se hayan descargado la app, también es fundamental que revisemos los permisos
para sopesar si los permisos que pide son adecuados para la funcionalidad que ofrece la
aplicación.
>'iene sentido que un juego requiera acceso a nuestros $%$ o nuestros correos
electrónicos@ Los permisos AecesivosB no son una buena se1al y son un indicio de que,
realmente, nosotros somos el producto. 5recisamente, los permisos ecesivos son un
indicio de malware y son algo que tenemos que revisar muy bien.
4l market oficial de #oogle es #oogle 5lay2 sin embargo, también eiste la
posibilidad de instalar aplicaciones fuera de este circuito oficial. $i tenemos activada la
opción para instalar aplicaciones de AGr!genes desconocidosB podremos instalar directamente paquetes ap= pero eso implica un gran riesgo si no tenemos control de las
cosas que instalamos.
Cont"o%#" %os d#tos 4!e co,p#"tes
7/21/2019 Seguridad en Dispositivos Móviles
http://slidepdf.com/reader/full/seguridad-en-dispositivos-moviles-56d98b90e8c76 11/15
8entro de la Aemoción inicialB de usar un nuevo dispositivo, a veces solemos pasar
por alto algunos ajustes iniciales y nos dedicamos a pulsar ArepetidamenteB el botón de
AsiguienteB. $in embargo, creo que vale la pena pararse a pensar algunos detalles básicos
sobre privacidad, la información que compartimos o las Apuertas que dejamos abiertasB/
$i no estamos usando el )luetooth, >para qué dejarlo activo@ -demás de ahorrar
bater!a, también bajaremos la probabilidad de que intenten enviarnos ficheros,
enlaces o cualquier cosa que no deseemos.
'ampoco es necesario tener encendido siempre el #5$ o compartir nuestra
ubicación con las aplicaciones que usamos. 4fectivamente, la eperiencia que nos
pueden ofrecer algunas aplicaciones mejora si compartimos nuestra ubicación
pero, honestamente, >vale la pena compartir esos datos@
'anto #oogle con -ndroid como -pple con iG$ recopilan datos estad!sticos del
uso que hacemos de nuestros dispositivos, >por qué compartir esta información@
Los p#"c2es de se!"id#d %#s #ct!#%i0#ciones son i,po"t#ntes
-unque tengamos que dedicar algo de tiempo y suponga la descarga de datos,
debemos tomarnos muy en serio las actualizaciones. ?ue una aplicación se actualice no
siempre implica que incluya nuevas funcionalidades o un redise1o2 también se incluyen
parches y ajustes que arreglan problemas de seguridad o vulnerabilidades detectadas que
podr!an ser aprovechadas por un tercero, con no muy buenas intenciones, para robar
datos o lanzar alg+n ataque de malware.
7/21/2019 Seguridad en Dispositivos Móviles
http://slidepdf.com/reader/full/seguridad-en-dispositivos-moviles-56d98b90e8c76 12/15
-lgo similar ocurre con las actualizaciones de sistema operativo2 aunque sea un
proceso que requiere tiempo, es un proceso necesario para evitar cualquier problema
futuro.
9.- Ap%ic#ci'n de Se!"id#d en :indo;s P2one
4n el caso de (indos 5hone, para bloquear nuestro dispositivo con una
contrase1a, lo +nico que tendremos que hacer es acceder a las opciones de
configuración, localizar 5antalla de )loqueo y activar la opción ontrase1a además deintroducir la contrase1a que queramos usar para desbloquear el dispositivo*.
Gtro aspecto importante a tener en cuenta son las copias de seguridad, un detalle que a
veces se deja en un segundo plano a pesar de su gran importancia la salvaguarda de
nuestros datos personales*. 5ara configurar las copias de seguridad automáticas en
(indos 5hone, tendremos que acceder a la lista de aplicaciones y, una vez dentro, a
onfiguración y ah! localizar opia de seguridad. $i activamos esta opción,
mantendremos en la nube una copia de respaldo de los datos denuestro smartphone para
prevenir cualquier tipo de pérdida de datos.
(indos 5hone lleva integrado de manera nativa a Gne8rive, el sistema de
almacenamiento en la nube de %icrosoft. 4sta integración, entre otras cosas, nos
permitirá activar la subida automática de fotos y tendremos siempre un respaldo en la
nube de las fotograf!as que tomemos.
7/21/2019 Seguridad en Dispositivos Móviles
http://slidepdf.com/reader/full/seguridad-en-dispositivos-moviles-56d98b90e8c76 13/15
5ara evitar sustos en caso de pérdida o robo de nuestro smartphone puede ser
interesante activar el localizador de nuestro dispositivo. 5ara hacerlo, tendremos que
acceder a la página de (indos 5hone, ingresar en la zona privada con nuestras
credenciales de nuestra cuenta de %icrosoft y, una vez dentro, acceder a A4ncuentra mi
teléfonoB.
-ctivando esta opción, cuando entremos a la página eb de (indos 5hone con
nuestras credenciales de usuario tendremos acceso a un mapa en el que se ubicará
nuestro dispositivo y sabremos dónde está en todo momento.
omo puedes comprobar, con muy poco esfuerzo y sin invertir demasiado tiempo, es
posible mejorar la seguridad de tu dispositivo (indos 5hone y poner a salvo tus datos
personales.
<.- Reco,end#ciones =in#%es P"áctic#s de se!"id#d
omo hemos visto los dispositivos móviles ya deben ser tratados como un
ordenador en cuanto a la seguridad se refiere, puesto que han heredado muchas de sus
caracter!sticas.
• Acti+#" e% cont"o% de #cceso inici#%. 4ste acceso puede ser mediante el código
5FD o usuario y contrase1a.
• Con$i!"#" e% b%o4!eo #!to,ático. 8espués de un tiempo de inactividad es
conveniente que el dispositivo se bloquee.
• Acti+#" #!tentic#ci'n p#"# desb%o4!e#". 4sta autenticación para desbloquear el
dispositivo puede ser más simple y rápida que la inicial, como reconociendo un
patrón dibujado en la pantalla.
• Cont"o%#" %#s #p%ic#ciones 4!e se inst#%#n. $e deben tratar con precaución las
aplicaciones que se instalen en el sistema, intentando bajarlas de fuentes deconfianza y con una reputación positiva. 'ambién hay que reH visar los permisos
que estas aplicaciones requieren para su funcionamiento en caso de que el
sistema operativo limite las acciones de las aplicaciones por medio de permisos*.
• M#ntene" todo e% so$t;#"e #ct!#%i0#do. on el fin de corregir lo mejor posible los
problemas de seguridad, es importante mantener tanto las aplicaciones como el
7/21/2019 Seguridad en Dispositivos Móviles
http://slidepdf.com/reader/full/seguridad-en-dispositivos-moviles-56d98b90e8c76 14/15
sistema operativo actualizados. -demás, si es posible, hay que configurarlos para
que realicen la actualización automáticamente.
• Re#%i0#" copi#s de se!"id#d. 4s muy importante que periódicamente se realicen
copias de la información importante que se almacena en el dispositivo. -demás,
los datos copiados tendr!an que encontrarse fuera del dispositivo, por ejemplo en
la eb.
• Ci$"#" %# in$o",#ci'n de%ic#d#. 4ste cifrado puede realizarse tanto utilizando los
servicios que ofrece el sistema operativo como mediante aplicaciones de terceros.
• Monito"i0#" e% !so de "ec!"sos. $e pueden detectar anomal!as realizando un
control de la utilización de los recursos del dispositivo móvil por parte de las
aplicaciones. 4sto incluye revisión de la factura telefónica para detectar posibles
usos fraudulentos.
• Des2#bi%it#" %os siste,#s de co,!nic#ci'n c!#ndo no se !ti%icen . -demás de
reducir el consumo energético, deshabilitar los sistemas de comunicación cuando
no se utilizan puede evitar ataques. Los sistemas de comunicación +nicamente se
deben utilizar en redes de confianza.
• Pe",iti" cont"o% "e,oto. 4n caso de robo, es importante tener una aplicación en
el dispositivo móvil que permita controlarlo remotamente. -s!, se puede localizar el
dispositivo, recuperar sus datos almacenados o borrar los datos confidenciales
para que no sean comprometidos. 'ambién se puede tener una aplicación que
borre los datos automáticamente después de varios intentos de acceso fallidos.
• Cont#ct#" con e% p"o+eedo" de se"+icios en c#so de p5"did#. 4n caso de
pérdida del dispositivo, lo primero que hay que hacer es informar al proveedor de
servicios para que efect+e el bloqueo del dispositivo.
• E%i,in#" %# in$o",#ci'n con$idenci#% #ntes de desec2#" e% dispositi+o . -l
deshacerse del dispositivo, no sabemos en qué manos puede caer, por lo tanto esimportante eliminar toda la información que contiene.
• Tene" sentido co,8n. $e deben seguir las mismas precauciones que se tienen
con los ordenadores cuando tratamos con archivos adjuntos a correos
electrónicos, enlaces desde $%$ y, en general, navegación por Fnternet.
7/21/2019 Seguridad en Dispositivos Móviles
http://slidepdf.com/reader/full/seguridad-en-dispositivos-moviles-56d98b90e8c76 15/15