Tres razones por las que el cifrado podría estar perjudicando la seguridad móvil

A raíz de las revelaciones de Edward Snowden sobre la vigilancia masiva por parte del gobierno de EE. UU. en 2013, las empresas de tecnología han hecho un gran esfuerzo para convencer a sus clientes de que apoyan una privacidad sólida mediante la incorporación de políticas de cifrado.

Las aplicaciones de mensajería populares como Signal, WhatsApp y Telegram han agregado protocolos de encriptación de extremo a extremo, lo que significa que solo sus usuarios pueden ver las comunicaciones. Los iPhone de Apple ahora tienen contraseñas más largas y complejas vinculadas al cifrado subyacente, lo que las hace más difíciles de hackear.

Pero el cifrado aún no garantiza una seguridad inquebrantable y, con suficientes recursos, puede pasarse por alto. toma el violación de la CIA yoast wmimik, donde WikiLeaks publicó documentos sobre las herramientas que la CIA ha desarrollado para hackear teléfonos inteligentes y otros dispositivos conectados a Internet. Al apuntar a estos dispositivos, la CIA está según se informa capaz de eludir las comunicaciones cifradas en aplicaciones populares como Signal y WhatsApp, lo que demuestra que un ciberdelincuente podría hacer lo mismo fácilmente. Aquí hay tres razones por las que el cifrado no es suficiente para proteger los dispositivos móviles:

1. El cifrado no es infalible: El cifrado por sí solo no puede evitar que un pirata informático determinado penetre en un dispositivo móvil; es solo la primera capa de tecnología que deben eludir para alcanzar su objetivo. Por ejemplo, Telegram promocionó su función de «Chat secreto» como una forma para que los usuarios envíen mensajes cifrados de extremo a extremo. Pero al simular un ataque que se originó en una vulnerabilidad del lado de la aplicación/cliente que obtiene permisos adicionales al ejecutar un kernel o una vulnerabilidad de root, Zimperium pudo descubrir Chats secretos escritos en texto plano en la memoria del proceso. No tan seguro después de todo.
2. Mensajes mezclados: Si bien el cifrado apareció en los titulares durante la Disputa entre Apple y el FBI, grandes empresas como Facebook y Google han tenido problemas para implementar políticas de encriptación sólidas sin afectar sus objetivos comerciales. Facebook recibió una reacción violenta de los consumidores después de anunciar que su aplicación Messenger ofrecerá encriptación como una opción opcional porque convertirla en una función predeterminada interrumpiría los nuevos componentes de aprendizaje automático de la aplicación. Google también lanzó una aplicación de mensajería llamada Allo que ofrecía encriptación como una función opcional. Si bien ambas compañías ofrecen encriptación como una opción de seguridad, depende de los usuarios activar la función dentro de la aplicación para mayor privacidad.
3. No creas el bombo: Si bien el cifrado es un componente crítico de la seguridad, no es suficiente para proteger los dispositivos móviles. A medida que las empresas continúan desarrollando nuevas tecnologías, se exponen nuevos riesgos y los ciberdelincuentes se vuelven aún más sofisticados. Sin mencionar que los datos en vivo, o el tipo de información con la que los usuarios interactúan directamente, nunca se cifran y son un objetivo fácil para los atacantes. A menos que los usuarios detecten este tipo de amenaza a través de intrusiones en su dispositivo, red o aplicaciones, entonces son susceptibles a los ataques.
   

No se debe confiar en el cifrado como el enfoque de seguridad integral y final. Es hora de dejar de obsesionarse con el cifrado como la «tecnología de referencia» y, en su lugar, implementar una plataforma Mobile Threat Defense para proteger a los empleados, socios y clientes de la próxima generación de amenazas.

Lea la versión completa de este artículo en CTIA Show Dailies de Wireless Week aquí (pág. 8).