Seguridad en Dispositivos Móviles

7/21/2019 Seguridad en Dispositivos Móviles

http://slidepdf.com/reader/full/seguridad-en-dispositivos-moviles-56d98b90e8c76 1/15

SEGURIDAD EN DISPOSITIVOS

MÓVILESLa seguridad en dispositivos móviles se ha convertido en un asunto muy

importante debido al incremento de "ataques" recibidos y a las consecuencias que estos

tienen. Los ataques vienen incentivados por la popularización de los dispositivos móviles,

el aumento de información personal y confidencial que almacenan y las operaciones

realizadas a través de ellos, como por ejemplo las bancarias.

Los dispositivos móviles están formados por un conjunto de componentes de

hardare capaces de soportar una gran variedad de tecnolog!as inalámbricas #$%,

&%'$, (ifi, )luetooth, etc.*, donde destaca uno o varios procesadores de altas

prestaciones que permiten ejecutar un sistema operativo muy complejo y un gran n+mero

de aplicaciones que requieren una gran capacidad de cálculo. 'odo ello incrementa

significativamente las distintas vulnerabilidades a las que están epuestos este tipo de

dispositivos.

&n hardare más potente implica que pueden ser tratados más datos

normalmente personales*, tanto los que se almacenan en la memoria de los dispositivos

móviles como los que se reciben por los diferentes sensores que estos incorporan. -demás, el hecho de soportar una gran variedad de tecnolog!as inalámbricas abre más

v!as de ataque.

1.- LA PROBLEMÁTICA DE LA SEGURIDAD

1.1. Conceptos básicos de se!"id#d

uando hablamos de seguridad, eiste una nomenclatura imprescindible

para identificar el grado de protección que estamos utilizando. $i tomamos como

ejemplo los diferentes pasos que se efect+an durante una llamada telefónica sobre

una red inalámbrica, podemos identificar los cuatro conceptos clave de seguridad

de la información/

0 Con$idenci#%id#d/ ha de ser posible que nadie pueda captar nuestra

llamada y enterarse de lo que decimos.



& A!tentic#ci'n( solo los usuarios con un teléfono de la red, es decir,

pertenecientes a la compa1!a, pueden utilizar la red.

0 Inte"id#d( es necesario que la información, de voz o datos, que viaje por

la red inalámbrica no se pueda alterar sin que se detecte.

0 )o "ep!dio/ debe ser imposible que un usuario que ha utilizado la red

pueda negarlo2 es decir, se debe garantizar que haya pruebas que

demuestren que un usuario ha hecho una determinada llamada.

3ay que destacar que la propiedad de autenticación es quizá la más

importante de las que acabamos de mencionar, ya que sirve de poco conseguir

confidencialidad e integridad si resulta que el receptor de la información no es

quien nosotros pensamos.

4stos cuatro conceptos básicos de seguridad de la información que

acabamos de definir son la base de la totalidad de los requisitos de seguridad que

se pueden necesitar, tanto si se trata de comunicaciones inalámbricas como de

información en general.

1.*. C#p#s de se!"id#d en dispositi+os ,'+i%es

5ara poder entender la importancia de la seguridad en los dispositivos

móviles hay que conocer las capacidades de estos dispositivos y cómo se ha

llegado a ellas. 5rincipalmente, los dispositivos móviles han vivido una importante

revolución en cuanto a las aplicaciones que pueden ejecutar. 4sta revolución ha

estado marcada por tres motivos/

6* &n hardare potente, con muchos sensores.

7* &n sistema operativo complejo que facilita un $896 sencillo y potente

para los desarrolladores.

:* &n mercado de aplicaciones completamente integrado en el sistema y

muy intuitivo, lo que facilita las transacciones tanto a los usuarios como a

los desarrolladores.

8ebido a estas nuevas funcionalidades que ofrecen los sistemas operativos

para móviles y a las aplicaciones que se han creado sobre ellos, los dispositivos

móviles acaban almacenando gran cantidad de datos, generalmente



confidenciales. ;a no +nicamente guardamos los n+meros de teléfono de nuestros

contactos, el registro de llamadas o los $%$, sino que también almacenamos una

gran cantidad de información personal, como pueden ser cuentas bancarias,

documentos o imágenes.

4ste aumento de la información personal almacenada provoca que más

personas puedan estar interesadas en obtenerla. -demás, la complejidad actual

de los sistemas operativos para móviles ha incrementado los agujeros de

seguridad epuestos. 5or lo tanto, cuando utilizamos dispositivos móviles, es

recomendable seguir unas prácticas de seguridad, que serán parecidas a las

utilizadas en los ordenadores.

5ara poder analizar la seguridad de los dispositivos móviles de manera

eficiente, se ha organizado este módulo en cuatro apartados/ la comunicacióninalámbrica, el sistema operativo, la aplicación y el usuario. ada apartado

contendrá una peque1a introducción, una breve descripción tanto de los

principales ataques como de los principales mecanismos de prevención y un caso

de estudio.

*.- APLICACIO) DE SEGURIDAD E) IOS A)DROID

$i pensamos fr!amente, nuestros smartphones y tablets van a atesorar información

de carácter personal2 guardaremos contactos, tendremos las fotos que tomamos,instalaremos el cliente de 'itter y <aceboo=, usaremos aplicaciones de geolocalización

o, incluso, llegaremos a leer nuestro correo electrónico.

>?ue significa eso@ La respuesta es simple, creo que antes de ponernos a instalar

aplicaciones, deber!amos invertir un poco de tiempo en la seguridad de nuestros

dispositivos móviles.

5ues s!, aunque pueda ser lo +ltimo que se nos pase por la cabeza y haya alguien que

pueda pensar Aeso ya lo haré más tardeB, la seguridad en dispositivos móviles deber!a ser

una de nuestras tareas prioritarias2 un must que no deber!amos posponer porque, el d!a

menos pensado, esta inversión de tiempo nos sacará de alg+n apuro.

/ po" d'nde pode,os e,pe0#"

-l contar con un smartphone o una Tablet debemos pensar en aspectos como/



ontrolar el acceso a tu dispositivo

Cealizar copias de seguridad para respaldar tus datos

ontrolar en remoto el dispositivo en caso de robo o pérdida

Do instalar aplicaciones a lo loco

ontrolar los datos que compartes

Los parches de seguridad y las actualizaciones son importantes

Cont"o%#" e% #cceso # t! dispositi+o

'al y como comentábamos al inicio, nuestros dispositivos móviles guardan datos

de carácter personal2 ah! están nuestros $%$, nuestras fotos, nuestros correos

electrónicos, nuestras conversaciones de (hats-pp o LineE 4s fundamental que

intentemos preservar esta información fuera del alcance de terceros2 de hecho, si

hacemos compras de aplicaciones, alguien podr!a provocar una AhecatombeB si se

pone a comprar, cual proceso, canciones o aplicaciones desde nuestro terminal

sin contar con las medidas adecuadas.



>; qué opciones tenemos a nuestra disposición@ 'eniendo en cuenta que Ano hacer nadaB

no es una opción, dependiendo de la plataforma que estemos usando tendremos unas

opciones u otras. La más simple, y disponible tanto en iOS como en And"oid, es bloquear

el terminal mediante una contrase1a. 4n el caso de iOS lo encontraremos en los

A-justesB2 concretamente en la opción A#eneralB y, dentro de ella, A)loqueo con códigoB.4n el caso de And"oid la encontraremos dentro de A-justesB y, una vez ah!, dentro del

bloque de A$eguridadB.

And"oid nos ofrece otras opciones adicionales2 hay terminales en los que

encontraremos opciones de reconocimiento facial, usar una contrase1a alfanumérica y un

patrón visual, es decir, dibujar sobre la pantalla del terminal unas l!neas que unen una

serie de puntos.

4n el caso de iOS, si dispones de un iP2one 3s, el botón principal incluye unsensor de huellas dactilares llamado 'ouchF8* que puedes usar para desbloquear tu

terminal de una manera muy cómoda y también segura*.

Re#%i0#" copi#s de se!"id#d p#"# "esp#%d#" t!s d#tos



$i hay algo que he visto en demasiadas ocasiones es que alguien se acuerde

del backup demasiado tarde2 es decir, cuando ha perdido datos y se ha dado cuenta que

no los puede recuperar. Fnvertir algo de tiempo en realizar copias de seguridad del

contenido de nuestro smartphone o nuestra tablet nos puede sacar de más de un apuro

en caso de aver!a o de perdida del dispositivo, minimizando la probabilidad de perder

información.

/ 4!5 opciones tene,os # n!est"o #%c#nce Los usuarios de iOS, aunque

muchos no lo usen, lo tienen muy fácil gracias al servicio de iC%o!d que lo

encontraremos, dentro de -justes, en iloud y, una vez dentro, en A-lmacenamiento y

copiaB*. on este servicio de sincronización activo, podremos realizar una copia de

seguridad automática cada vez que tengamos nuestro dispositivo iG$ en carga y

conectado a una red (iH<i2 un proceso transparente por el que tendremos a buen recaudo

la configuración de nuestro dispositivo, las fotograf!as, nuestros mensajes o las

aplicaciones que tenemos instaladas.

4n el caso de And"oid, los usuarios tenemos que buscarnos alguna v!a para

hacerlo porque #oogle no nos pone las cosas tan fáciles. 4n -ndroid eiste un

backup básico que s! que está incluido entre las opciones del sistema2 si accedemos a los

A-justesB del dispositivo, si accedemos a la sección denominada A5ersonalB, dentro de

ésta, veremos una opción denominada A5rivacidadB en la que veremos la copia de ajustes

que se realizan dentro de nuestra cuenta de #oogle. $i activamos esta opción, podremos

realizar una copia de las configuraciones de redes (iH<i, favoritos y datos de algunas

aplicaciones.



5or otro lado, si sincronizamos nuestros contactos con los de #oogle, también

tendremos un respaldo de estos en la nube y, si usamos #oogle alendar, también

tendremos ah! las citas de nuestra agenda. ; si buscamos opciones de copias de

seguridad más profundas en -ndroid, no nos quedará otro remedio que recurrir

a aplicaciones de terceros.

<inalmente, creo que es interesante dedicar unas l!neas a las $oto"#$6#s2 para

realizar copias de nuestras fotos de una manera muy cómoda tenemos much!simas

opciones y servicios como 8ropbo, $=y8rive nos pueden facilitar mucho las cosas.

Cont"o%#" en "e,oto e% dispositi+o en c#so de "obo o p5"did#

Gtra de las ventajas de los usuarios de iOS e iC%o!d es que este servicio también

ofrece un control remoto de los dispositivos. #racias a iloud, los usuarios pueden

geolocalizar sus dispositivos, bloquearlos en remoto, borrar su contenido o hacer saltar

una alarma si éste se etrav!a o nos lo roban.

http://alt1040.com/2013/11/copias-seguridad-android

http://alt1040.com/2013/11/herramientas-sincronizar-fotos-smartphone




http://alt1040.com/2013/11/copias-seguridad-android



3asta el mes de agosto del 7I6:, los usuarios de -ndroid carec!amos de este tipo

de opciones y ten!amos que recurrir a aplicaciones de terceros como por ejemplo 5rey*.

#oogle por fin puso fin a esta carencia y lanzó And"oid De+ice M#n#e" que, hasta hace

unos d!as, estaba disponible solamente como aplicación eb pero ahora también está en

forma de app -ndroid por si tenemos varios dispositivos a controlar y vinculados a una

misma cuenta de #oogle*.

on -ndroid 8evice %anager podremos controlar en remoto nuestro terminal para

ubicar su posición en caso de pérdida o robo, también podremos emitir una alerta sonora

en el terminal o borrar su contenido en remoto. 5or defecto, este servicio no está activado

http://bitelia.com/2013/08/alternativas-a-android-device-manager

http://bitelia.com/2013/08/android-device-manager-disponible


http://alt1040.com/2013/12/android-device-manager-app


http://bitelia.com/2013/08/alternativas-a-android-device-manager





y tendremos que acceder a los A-justes de #oogleB del terminal y localizar la opción de

A-dministrador de dispositivosB.

)o inst#%#" #p%ic#ciones # %o %oco

iOS es un ecosistema controlado y, en general, apenas nos vamos a encontrar

con malware porque -pple revisa las aplicaciones antes que sean publicadas. -+n as!, es

importante revisar las cosas que instalamos para evitar que nosotros nos convirtamos en

el producto de una app gratuita que termine apropiándose de los datos que generamos.

8e todas formas, aunque iG$ sea un ecosistema controlado, en el momento que

optamos por el Jailbrea= dejará de serlo y estaremos Alanzándonos al vac!oB confiando

ciegamente en desarrolladores que no conocemos y que no tienen por qué declararlo todo

sobre sus aplicaciones.

4n el ecosistema And"oid las cosas son algo distintas y, en mi opinión, debemos

etremar las precauciones. 4s cierto que eisten antivirus que nos pueden ayudar a

luchar contra el malware pero, en mi opinión, e% ,e7o" #nti+i"!s es e% sentido co,8n.

http://appleweblog.com/2013/12/instalar-jailbreak-ios-7

http://appleweblog.com/2013/12/instalar-jailbreak-ios-7



-ntes de instalar una aplicación, los usuarios deber!an revisar varios aspectos

antes de darle al famoso botón de Aaceptar e instalarB. 5ara empezar, es importante que

revisemos los comentarios de otros usuarios para AsondearB qué opinan otros usuarios

que se hayan descargado la app, también es fundamental que revisemos los permisos

para sopesar si los permisos que pide son adecuados para la funcionalidad que ofrece la

aplicación.

>'iene sentido que un juego requiera acceso a nuestros $%$ o nuestros correos

electrónicos@ Los permisos AecesivosB no son una buena se1al y son un indicio de que,

realmente, nosotros somos el producto. 5recisamente, los permisos ecesivos son un

indicio de malware y son algo que tenemos que revisar muy bien.

4l market oficial de #oogle es #oogle 5lay2 sin embargo, también eiste la

posibilidad de instalar aplicaciones fuera de este circuito oficial. $i tenemos activada la

opción para instalar aplicaciones de AGr!genes desconocidosB podremos instalar directamente paquetes ap= pero eso implica un gran riesgo si no tenemos control de las

cosas que instalamos.

Cont"o%#" %os d#tos 4!e co,p#"tes



8entro de la Aemoción inicialB de usar un nuevo dispositivo, a veces solemos pasar

por alto algunos ajustes iniciales y nos dedicamos a pulsar ArepetidamenteB el botón de

AsiguienteB. $in embargo, creo que vale la pena pararse a pensar algunos detalles básicos

sobre privacidad, la información que compartimos o las Apuertas que dejamos abiertasB/

$i no estamos usando el )luetooth, >para qué dejarlo activo@ -demás de ahorrar

bater!a, también bajaremos la probabilidad de que intenten enviarnos ficheros,

enlaces o cualquier cosa que no deseemos.

'ampoco es necesario tener encendido siempre el #5$ o compartir nuestra

ubicación con las aplicaciones que usamos. 4fectivamente, la eperiencia que nos

pueden ofrecer algunas aplicaciones mejora si compartimos nuestra ubicación

pero, honestamente, >vale la pena compartir esos datos@

'anto #oogle con -ndroid como -pple con iG$ recopilan datos estad!sticos del

uso que hacemos de nuestros dispositivos, >por qué compartir esta información@

Los p#"c2es de se!"id#d %#s #ct!#%i0#ciones son i,po"t#ntes

-unque tengamos que dedicar algo de tiempo y suponga la descarga de datos,

debemos tomarnos muy en serio las actualizaciones. ?ue una aplicación se actualice no

siempre implica que incluya nuevas funcionalidades o un redise1o2 también se incluyen

parches y ajustes que arreglan problemas de seguridad o vulnerabilidades detectadas que

podr!an ser aprovechadas por un tercero, con no muy buenas intenciones, para robar

datos o lanzar alg+n ataque de malware.



-lgo similar ocurre con las actualizaciones de sistema operativo2 aunque sea un

proceso que requiere tiempo, es un proceso necesario para evitar cualquier problema

futuro.

9.- Ap%ic#ci'n de Se!"id#d en :indo;s P2one

4n el caso de (indos 5hone, para bloquear nuestro dispositivo con una

contrase1a, lo +nico que tendremos que hacer es acceder a las opciones de

configuración, localizar 5antalla de )loqueo y activar la opción ontrase1a además deintroducir la contrase1a que queramos usar para desbloquear el dispositivo*.

Gtro aspecto importante a tener en cuenta son las copias de seguridad, un detalle que a

veces se deja en un segundo plano a pesar de su gran importancia la salvaguarda de

nuestros datos personales*. 5ara configurar las copias de seguridad automáticas en

(indos 5hone, tendremos que acceder a la lista de aplicaciones y, una vez dentro, a

onfiguración y ah! localizar opia de seguridad. $i activamos esta opción,

mantendremos en la nube una copia de respaldo de los datos denuestro smartphone para

prevenir cualquier tipo de pérdida de datos.

(indos 5hone lleva integrado de manera nativa a Gne8rive, el sistema de

almacenamiento en la nube de %icrosoft. 4sta integración, entre otras cosas, nos

permitirá activar la subida automática de fotos y tendremos siempre un respaldo en la

nube de las fotograf!as que tomemos.

http://www.windowsphone.com/es-es/how-to/wp8/basics/back-up-my-stuff

http://www.windowsphone.com/es-es/how-to/wp8/basics/back-up-my-stuff



5ara evitar sustos en caso de pérdida o robo de nuestro smartphone puede ser

interesante activar el localizador de nuestro dispositivo. 5ara hacerlo, tendremos que

acceder a la página de (indos 5hone, ingresar en la zona privada con nuestras

credenciales de nuestra cuenta de %icrosoft y, una vez dentro, acceder a A4ncuentra mi

teléfonoB.

-ctivando esta opción, cuando entremos a la página eb de (indos 5hone con

nuestras credenciales de usuario tendremos acceso a un mapa en el que se ubicará

nuestro dispositivo y sabremos dónde está en todo momento.

omo puedes comprobar, con muy poco esfuerzo y sin invertir demasiado tiempo, es

posible mejorar la seguridad de tu dispositivo (indos 5hone y poner a salvo tus datos

personales.

<.- Reco,end#ciones =in#%es P"áctic#s de se!"id#d

omo hemos visto los dispositivos móviles ya deben ser tratados como un

ordenador en cuanto a la seguridad se refiere, puesto que han heredado muchas de sus

caracter!sticas.

• Acti+#" e% cont"o% de #cceso inici#%. 4ste acceso puede ser mediante el código

5FD o usuario y contrase1a.

• Con$i!"#" e% b%o4!eo #!to,ático. 8espués de un tiempo de inactividad es

conveniente que el dispositivo se bloquee.

• Acti+#" #!tentic#ci'n p#"# desb%o4!e#". 4sta autenticación para desbloquear el

dispositivo puede ser más simple y rápida que la inicial, como reconociendo un

patrón dibujado en la pantalla.

• Cont"o%#" %#s #p%ic#ciones 4!e se inst#%#n. $e deben tratar con precaución las

aplicaciones que se instalen en el sistema, intentando bajarlas de fuentes deconfianza y con una reputación positiva. 'ambién hay que reH visar los permisos

que estas aplicaciones requieren para su funcionamiento en caso de que el

sistema operativo limite las acciones de las aplicaciones por medio de permisos*.

• M#ntene" todo e% so$t;#"e #ct!#%i0#do. on el fin de corregir lo mejor posible los

problemas de seguridad, es importante mantener tanto las aplicaciones como el

http://www.windowsphone.com/es-es

http://www.windowsphone.com/es-es



sistema operativo actualizados. -demás, si es posible, hay que configurarlos para

que realicen la actualización automáticamente.

• Re#%i0#" copi#s de se!"id#d. 4s muy importante que periódicamente se realicen

copias de la información importante que se almacena en el dispositivo. -demás,

los datos copiados tendr!an que encontrarse fuera del dispositivo, por ejemplo en

la eb.

• Ci$"#" %# in$o",#ci'n de%ic#d#. 4ste cifrado puede realizarse tanto utilizando los

servicios que ofrece el sistema operativo como mediante aplicaciones de terceros.

• Monito"i0#" e% !so de "ec!"sos. $e pueden detectar anomal!as realizando un

control de la utilización de los recursos del dispositivo móvil por parte de las

aplicaciones. 4sto incluye revisión de la factura telefónica para detectar posibles

usos fraudulentos.

• Des2#bi%it#" %os siste,#s de co,!nic#ci'n c!#ndo no se !ti%icen . -demás de

reducir el consumo energético, deshabilitar los sistemas de comunicación cuando

no se utilizan puede evitar ataques. Los sistemas de comunicación +nicamente se

deben utilizar en redes de confianza.

• Pe",iti" cont"o% "e,oto. 4n caso de robo, es importante tener una aplicación en

el dispositivo móvil que permita controlarlo remotamente. -s!, se puede localizar el

dispositivo, recuperar sus datos almacenados o borrar los datos confidenciales

para que no sean comprometidos. 'ambién se puede tener una aplicación que

borre los datos automáticamente después de varios intentos de acceso fallidos.

• Cont#ct#" con e% p"o+eedo" de se"+icios en c#so de p5"did#. 4n caso de

pérdida del dispositivo, lo primero que hay que hacer es informar al proveedor de

servicios para que efect+e el bloqueo del dispositivo.

• E%i,in#" %# in$o",#ci'n con$idenci#% #ntes de desec2#" e% dispositi+o . -l

deshacerse del dispositivo, no sabemos en qué manos puede caer, por lo tanto esimportante eliminar toda la información que contiene.

• Tene" sentido co,8n. $e deben seguir las mismas precauciones que se tienen

con los ordenadores cuando tratamos con archivos adjuntos a correos

electrónicos, enlaces desde $%$ y, en general, navegación por Fnternet.



Documents

Seguridad en Dispositivos Móviles