Seguridad informática: por qué es necesaria una lista de aplicaciones móviles autorizadas

0
3

Recientemente han surgido otros problemas de seguridad de las aplicaciones móviles, como un nuevo descubrimiento de la empresa de seguridad móvil Zimperium, que no sólo roba datos en el smartphone, sino que puede controlar silenciosamente el micrófono y la cámara, así como eliminar secretamente las aplicaciones de seguridad.

El departamento de TI, en su mayor parte, se ha vuelto bastante experto en el control de las aplicaciones en los dispositivos propiedad de la empresa, pero las salvaguardias de las aplicaciones que se añaden después de haber sido liberadas a los empleados son más débiles de lo que deberían ser. Cuando se trata de dispositivos BYOD, que son propiedad de empleados y proveedores, los administradores de TI y de seguridad deben ser mucho más duros.

La mayoría requiere una variedad de aplicaciones empresariales (más o menos) seguras para la funcionalidad, así como aplicaciones de seguridad críticas para la protección. Ahí es donde las cosas se ponen un poco difíciles. ¿Hasta dónde pueden y deben llegar los informáticos y los responsables de seguridad para proteger los datos, las redes y los dispositivos de la empresa?

Por un lado, el dispositivo es propiedad del empleado/proveedor, que aparentemente tiene derecho a descargar la aplicación que quiera. Pero, ¿tiene este derecho un límite cuando amenaza la seguridad de la empresa? ¿Es suficiente la partición de los sistemas de la empresa? (Ya sabe la respuesta: no, por supuesto que no es suficiente). Una vez que un malware se hace con el control del dispositivo, normalmente puede acceder a todo o casi todo, como en el caso de la última amenaza detectada por Zimperium.

«A diferencia de otras campañas de spyware que suelen aprovechar las vulnerabilidades de los dispositivos, esta campaña, conocida como PhoneSpy, se esconde a la vista en los dispositivos Android de las víctimas, haciéndose pasar por aplicaciones legítimas de streaming o de clase de yoga. En realidad, el software espía, una vez instalado en el dispositivo, hurga sigilosamente en los datos del dispositivo de la víctima, incluidas las credenciales de acceso, los mensajes, la ubicación precisa y las imágenes. PhoneSpy también es capaz de desinstalar cualquier aplicación, incluidas las de seguridad para móviles», dice un informe de TechCrunch.

«Los investigadores de la firma de seguridad móvil Zimperium, que descubrieron PhoneSpy dentro de 23 aplicaciones, dicen que el software espía también puede acceder a la cámara de la víctima para tomar fotos y grabar vídeo en tiempo real, y advirtieron que todo esto podría ser utilizado para el chantaje y el espionaje personal y corporativo. Lo hace, por cierto, sin que la víctima lo sepa, y Zimperium señala que, a menos que alguien esté vigilando su tráfico web, PhoneSpy es difícil de detectar».

Esta última parte del informe tiene elementos positivos y alarmantes. Empecemos con la frase «a menos que alguien esté vigilando su tráfico web». Se trata de una práctica más que recomendable y, sin embargo, muy pocos lo hacen incluso con sus teléfonos corporativos, y mucho menos con los dispositivos BYOD.

La peor parte de PhoneSpy es su capacidad para eliminar subrepticiamente las aplicaciones de seguridad, lo que elimina la mayoría de los programas de seguridad móvil de las empresas. Por supuesto, la verdadera pregunta es por qué Google tiene un control de seguridad tan débil para sus aplicaciones (sí, el sistema de Apple es igual de malo). Pero no todas las aplicaciones vienen a través de Google Play, y PhoneSpy es una de ellas. Se difunde a través de las redes sociales y otros entornos y el usuario tiene que aceptar descargarlo.

Este tipo de problemas de seguridad es una de las razones por las que Apple ha adoptado una postura pública contra la carga lateral de aplicaciones fuera de su App Store. Aplicaciones que han prosperado en Android durante años.

Esta es la realidad con la que tienen que lidiar las TI de las empresas, y desde luego los CISO de las empresas. Una solución sería exigir a los informáticos que, al menos, aprueben cualquier aplicación que no esté en una lista corporativa ampliamente distribuida. Pero eso no significa que los administradores deban juzgar las aplicaciones personales de los empleados, ya sea un juego, una aplicación para hacer ejercicio o algo más «atrevido». Hay que seguir centrándose en lo que es peligroso. Y, como muestra PhoneSpy, hay muchos peligros ahí fuera.

Redacción CambioDigital OnLine – CWI.it

Artículo anteriorLa ciberseguridad ya no es solo un riesgo tecnológico, sino de negocio
Artículo siguienteCómo el ransomware dirige la economía sumergida