Cómo garantizar la ciberseguridad en dispositivos corporativos

La movilidad corporativa ha abierto todo un mundo de posibilidades para expandir el alcance de la organización, la inmediatez como arma y la colaboración como aliado para el negocio. Pero esto supone, sin duda, un enorme riesgo para la seguridad, pues otorga acceso a redes corporativas y bases de datos con información confidencial desde dispositivos potencialmente inseguros.

Sin ir más lejos, el pasado mes de marzo, expertos de Google localizaron 18 vulnerabilidades en algunos móviles Android que daban acceso a los terminales a través de un procesador dedicado. Ya en mayo, Apple corregía 3 nuevos exploits de día cero asociados al motor del navegador del dispositivo.

Estos ejemplos demuestran que los cibercriminales cada día descubren nuevas maneras de llevar a cabo sus ataques y que es esencial una política sólida para proteger los dispositivos que se conectan cada día a la empresa.

Amenazas más frecuentes en dispositivos móviles

A continuación, se detallan algunas de las principales amenazas de seguridad para los dispositivos móviles:

• Phishing. En los ordenadores, el phishing se propaga normalmente a través de mensajes falsos con adjuntos o enlaces maliciosos. En el mundo móvil, sin embargo, la mayoría de los intentos de phishing provienen de redes sociales, mensajes de texto o aplicaciones. Una variante es el smishing, que consiste en el robo de credenciales de un usuario cuando accede a un enlace malicioso recibido vía SMS.
• Malware y ransomware. El malware móvil más común son aplicaciones maliciosas creadas para dañar, interrumpir u obtener acceso ilegítimo a un dispositivo. Entre los tipos de malware, el ransomware destaca como la variante más común. Los costes son mayores cada año.
• Rooting y jailbreaking. Como ya mencionamos, el jailbreaking y el rooting son métodos que permiten al usuario obtener acceso de administrador de su dispositivo móvil para descargar aplicaciones maliciosas o para incrementar los permisos de las aplicaciones.
• Ataques Man-in-the-Middle. Interceptan el tráfico de una red para obtener datos confidenciales en tránsito o modificar la información que se transmite. Los dispositivos móviles son particularmente vulnerables a estos ataques, pues a diferencia del tráfico web (que utiliza un protocolo de cifrado SSL/TLS), las aplicaciones móviles pueden transferir datos sensibles sin cifrado.
• Spyware. Es un tipo de malware que monitoriza las actividades del usuario y da acceso a datos como la ubicación del dispositivo, el historial del navegador, las llamadas telefónicas, fotos y vídeos, etc. con objeto de llevar a cabo robos de identidad, fraudes financieros, etc.
• Aplicaciones y sitios web maliciosos: son programas infectados de malware que ataca en el momento de ingresar en una página web o al descargar una aplicación.
• Redes wifi no seguras. Cuando se utilizan redes wifi públicas o no seguras, aumenta el riesgo de que el tráfico saliente o entrante al dispositivo móvil sea interceptado y su información comprometida.

8 aspectos clave a tener en cuenta…

Las empresas deben aplicar todas las medidas necesarias para poder identificar los ataques de forma temprana y generar respuestas adecuadas para limitar su impacto. A continuación, se muestran ocho aspectos clave a tener en cuenta para prevenir y/o neutralizar los riesgos de seguridad de los dispositivos móviles. Son éstos:

• Seguridad de aplicaciones y endpoints. Los sistemas MAM (Mobile Application Management) y MDM (Mobile Device Management) permiten auditar y gestionar el software que utilizan los dispositivos móviles, y aplicar los criterios que la empresa requiere. Por su parte, las soluciones CASB (Cloud Access Security Broker) protegen la seguridad de las aplicaciones cloud, enlazando con las instalaciones y redes corporativas, aplicando normativas de seguridad y gestionando el uso de los recursos en la nube.
• Controles de acceso según el usuario y según el dispositivo. Los sistemas de gestión de usuarios e identidades (IAM, por sus siglas en inglés) permiten regular los privilegios de los usuarios sobre su información. Esto es, si puede añadir, modificar, borrar o copiar datos desde el terminal móvil.
• Elementos de seguridad avanzada como antivirus, redes privadas virtuales (VPN), gateways, firewalls, IPS, etc. ayudarán a reforzar la seguridad de los dispositivos. Los gateways, por ejemplo, permiten establecer conexiones de red seguras entre dos dispositivos o entre un dispositivo e Internet, garantizando que la conexión cumple con las políticas de ciberseguridad de la empresa, con independencia de la ubicación y del tipo de dispositivo utilizado.
• Seguridad del correo electrónico. El correo electrónico es una de las principales herramientas que utilizan los ciberdelincuentes. Por ello, mantener una política de seguridad rigurosa en el correo electrónico corporativo es primordial. Esto incluye la activación de capacidades de protección avanzadas que detectan y resuelven amenazas y protegen la información confidencial mediante cifrado, evitando con ello la pérdida de datos.
• Gestión de permisos de aplicaciones móviles. Los permisos que se le otorgan a las aplicaciones móviles determinan su nivel de funcionalidad. Sin embargo, otorgarle permisos a una aplicación con vulnerabilidades puede dar acceso a los ciberdelincuentes a datos confidenciales dentro del dispositivo.
• Conexiones cifradas. Las empresas pueden extender su red corporativa para que sea accesible al usuario desde cualquier lugar utilizando redes privadas virtuales (VPN), que permiten cifrar la conexión de los dispositivos con cualquier red (incluyendo redes wifi públicas). Los sistemas de autenticación multi-factor (MFA) son en la actualidad el método más efectivo para reforzar la seguridad.
• Gestión de contraseñas: La política de la organización puede y debe obligar a los empleados a cambiar las contraseñas con regularidad y utilizar combinaciones robustas que como mínimo intercalen letras, símbolos y signos de puntuación. Una opción distinta o adicional a las contraseñas es la configuración del bloqueo de pantalla con la huella dactilar o reconocimiento facial del usuario del dispositivo, de forma que sólo éste puede acceder a su contenido.

Estas acciones ya suponen un gran avance en la protección de los dispositivos propios y de la empresa contra los ciberataques y el malware. Sin embargo, también debería complementarse con una arquitectura de TI completa que controle de forma centralizada las distintas soluciones de seguridad.

… y 5 consejos para una correcta estrategia de Mobile Security

La gestión segura de dispositivos móviles puede marcar la diferencia a la hora de determinar los riesgos que asume la organización. He aquí 5 consejos para consolidar con éxito una red corporativa eficiente pero segura.

1. Establecer una política de seguridad móvil clara y completa que establezca las pautas a seguir en el uso de dispositivos móviles. Estas políticas de seguridad deberán incluir elementos como configuraciones obligatorias, formas de uso o medidas contra robos filtraciones de datos, así como coordinar los sistemas de supervisión y control remoto de los dispositivos.
2. Actualizar regularmente el sistema operativo y las aplicaciones móviles. Los sistemas operativos móviles, así como las aplicaciones móviles, son constantemente revisados por sus creadores para corregir vulnerabilidades de seguridad y optimizar su funcionamiento. Por ello, contar con versiones obsoletas implica exponerse a ciberataques que podrían poner en riesgo las operaciones de la empresa.
3. Backup regular y borrado remoto de datos. Es imprescindible configurar todos los dispositivos móviles para que realicen copias de seguridad que puedan almacenarse en las instalaciones o la nube. Lo ideal es que también se configure el borrado remoto de datos, que permite eliminar cualquier dato del dispositivo aunque no se tenga acceso directo al mismo.
4. Evitar la instalación de programas directamente en los dispositivos. El malware afecta a diario a cientos de miles de móviles, y una de las vías principales se da a través de la instalación de aplicaciones. Lo ideal es migrar las aplicaciones a un entorno web (o en la nube) que elimine la necesidad de instalar y reinstalar software en los terminales.
5. Formar a los empleados en ciberseguridad y amenazas de seguridad. Cuando se trata de utilizar dispositivos que pertenecen a la empresa, es importante invertir tiempo y recursos en la concienciación sobre ciberseguridad. Por ejemplo, no hacer clic en enlaces sospechosos, no descargar contenidos de fuentes no fiables, usar contraseñas complejas, hacer backup, usar antivirus… Y, por supuesto, la formación debe llegar hasta el nivel de dirección, incluyendo la formación de especialistas en ciberseguridad móvil.

En conclusión

Como podemos ver, gestionar la seguridad de los dispositivos móviles para su uso en las redes corporativas implica una seria reflexión por parte de las organizaciones y un reto titánico para los departamentos de TI. Es necesario tener conciencia de ello e instrumentar medidas para disminuir los riesgos.

En resumen, debemos ser conscientes de que tener dispositivos en movilidad con acceso a los datos requiere de una seguridad extra. Una seguridad que nos permitirá acudir a soluciones que deberían ser casi obligatorias, fáciles de implementar y que garantizan una seguridad adecuada tanto para la red como para cada uno de sus elementos.