Mis cuatro verdades (hasta ahora) con respecto a la seguridad móvil

Empecé a trabajar en Zimperium a finales de enero de este año en el departamento de comunicaciones de marketing y bueno… estoy ocupado.

Cada día es algo nuevo. Lunes: problema del sistema operativo. Martes: descarga del malware “Joker”. Miércoles: los teléfonos podrían piratearse con un solo mensaje de texto. Jueves: estafas de phishing en aumento. Viernes: el parche del sistema operativo corrige la falla de jailbreak. Sábado – este blog.

Como el «chico nuevo» (en términos relativos), he determinado que hay cuatro verdades (hasta ahora) cuando se trata de seguridad móvil:

Un punto final es un punto final es un punto final.

Protegemos nuestras computadoras con antivirus, firewalls, VPN, anti-spyware y todas las «soluciones anti-X» que podemos encontrar. Sin embargo, no hacemos lo mismo con nuestros dispositivos móviles, aunque Los dispositivos móviles siempre están con nosotros y contienen prácticamente la misma información que nuestras computadoras portátiles y de escritorio. Los piratas informáticos lo saben, por lo que el dispositivo móvil es un blanco fácil. De acuerdo con nuestro Informe sobre el estado de la seguridad móvil empresarial para el primer semestre de 2019ya no se trata de si los terminales móviles de una empresa están en riesgo o cuándo, ya lo están.

Tu dispositivo móvil es como un «mundo en colisión» y a los malos les encanta.

Tu vida laboral se encuentra con tu vida social en tu teléfono. Justo al lado de sus aplicaciones de viajes se encuentran las aplicaciones de correo electrónico, recursos humanos y CRM de su empresa, que se encuentran justo al lado de su aplicación bancaria y aplicaciones de redes sociales. «Haré un seguimiento de la solicitud de ese cliente justo después de configurar mi alineación en mi aplicación de fútbol de fantasía y pagar la hipoteca».

Ahora es más fácil que nunca para los malos hackear información. Los malos están babeando ante la perspectiva de aprender sobre una posible fusión de la empresa, acceder a sus registros bancarios y tarjeta de crédito, obtener directorios de la empresa, planes de negocios y finanzas, y encontrar la información de su cuenta de viaje.

Los malos son independientes de las marcas y encontrarán la manera.

Los sistemas operativos móviles Android e iOS tienen fortalezas y debilidades cuando se trata de proteger los dispositivos. Android tiene un entorno de aplicaciones de terceros más abierto en comparación con iOS y no sorprende que las aplicaciones maliciosas basadas en Android predominen más que las aplicaciones basadas en iOS.

La mayoría de los compromisos de iOS ocurren a través de ataques a la red. Si bien esto es un claro guiño a la práctica de Apple de examinar aplicaciones y desarrolladores, así como a su prohibición de tiendas de aplicaciones de terceros, esto muy bien puede cambiar, una consecuencia no deseada de la reciente Sentencia de la Corte Suprema de los Estados Unidos.

La realidad es que los malos son persistentes y encontrarán la manera. Muchas veces se dirigen a sus víctimas en función de quiénes son, dónde trabajan, en qué industria trabajan y dónde y cuándo se encuentran. Atacarán su dispositivo y la red que usa (o cree que usa). Usarán ataques de phishing y aplicaciones maliciosas para comprometer su dispositivo móvil.

Somos co-conspiradores no intencionales en nuestro propio ataque.

El hecho es que ayudamos a los malos. Hacemos. Tomamos malas decisiones. Por ejemplo, según nuestro último informe de seguridad móvil, los proveedores de sistemas operativos móviles crearon parches para 440 vulnerabilidades de seguridad (un aumento del 30 % con respecto al primer semestre de 2018), la mayoría de las cuales eran críticas. Sin embargo, no siempre actualizamos rápidamente nuestros teléfonos: el 60% de los dispositivos Android tenían más de cinco versiones detrás de la última versión; 28% para iOS.

Algunos de nosotros hacemos jailbreak o rooteamos nuestros dispositivos, lo que permite personalizar los teléfonos y descargar aplicaciones gratuitas de tiendas de terceros. Si lo hace, abre la puerta para que las aplicaciones maliciosas lleguen a los teléfonos.

La mayoría de nosotros tenemos nuestros teléfonos configurados para iniciar sesión automáticamente en redes WiFi en lugares en los que ya hemos estado. Desafortunadamente, los piratas informáticos pueden «engañar» a nuestros teléfonos para que inicien sesión en redes similares a las que poseen.

Como puedes ver, cada una de estas decisiones nos hace más vulnerables a un ataque.

un empleado Un ataque

Y aquí está la parte aterradora para las empresas. Todo lo que necesita es un empleado. Un empleado a ser víctima de un ataque. Piensa en eso y luego piensa en esto:

• ¿Cuántos empleados tienes?
• ¿A qué datos/información de la empresa acceden sus empleados desde sus teléfonos?
• ¿Sus empleados revisan el correo electrónico de la empresa? ¿Envían mensajes de texto a colegas, clientes, socios?
• ¿Cuántos empleados tienen dispositivos móviles que llevan consigo fuera del entorno relativamente seguro de su oficina? ¿A los restaurantes? ¿Compras? ¿El aeropuerto? ¿Ferias? ¿Hogar?

Volviendo a mi primer punto. Gastamos miles de millones para proteger las computadoras y portátiles de la empresa. Pero, ¿qué pasa con nuestros dispositivos móviles? Los dispositivos móviles son ahora la plataforma de facto para la productividad en los negocios.

Hoy en día, los dispositivos informáticos tradicionales (p. ej., servidores, equipos de escritorio y portátiles) en los que las empresas han centrado sus esfuerzos de seguridad y cumplimiento representan solo el 40 por ciento de los puntos finales relevantes. El 60 por ciento restante de los dispositivos empresariales son móviles.

Para mí es evidente y urgente que todas las organizaciones, grandes y pequeñas, necesitan invertir en defensa contra amenazas móviles. Y esto viene del chico nuevo.