El malware que vendrá en 2011 (II): riesgos y amenazas en los smartphones

En la anterior entrega del malware que vendrá en 2011 vimos las que probablemente serán las amenazas informáticas más importantes. Hoy vamos a prestar especial atención a los principales riesgos y amenazas que nos encontraremos en nuestros smartphones durante el próximo año.

Para ello nos vamos a basar en el último informe presentado por la Agencia Europea de Seguridad de la Información y de Redes, ENISA, donde se han identificado los principales riesgos de seguridad y las oportunidades que ofrece el uso de los smartphones tanto para particulares como para las empresas e instituciones públicas.

No hay duda de que los teléfonos inteligentes se han convertido en potentes instrumentos ubicuos que nos ayudan en nuestras tareas cotidianas a la vez que nos mantienen comunicados. Sin embargo, su alta integración en nuestras vidas hace que los riesgos asociados a su uso estén incrementando progresivamente su importancia con respecto a otro tipo de dispositivos.

Riesgos y amenazas más importantes


Según ENISA, los riesgos de seguridad más importantes son los siguientes:

  • Fuga de datos: un teléfono robado o perdido con la memoria sin protección permite a un atacante acceder fácilmente a los datos del mismo.

  • Phishing: un atacante recopila las credenciales de usuario (por ejemplo, contraseñas, números de tarjeta de crédito, etc.) con aplicaciones falsas o mensajes que parecen ser genuinos (SMS o correos electrónicos principalmente).

  • Mala limpieza de datos: producida a la hora de ceder, vender o deshacerse de un terminal, permitiendo al comprador acceder a nuestros datos personales.

  • Divulgación de datos no intencionada: la mayoría de las aplicaciones tienen unas opciones de privacidad que es necesario configurar, pero las dificultades encontradas por los usuarios para encontrarlas y modificarlas hacen que en muchos casos no se haga correctamente, transmitiendo información privada a las redes públicas sin darse cuenta.

  • Seguridad en las redes sociales: compartir datos en nuestras redes sociales puede ser peligroso en determinadas ocasiones. La falsa sensación de seguridad puede hacernos bajar la guardia ante ataques distribuidos a través de estas redes. Además, diversos fallos de seguridad en algunas aplicaciones permiten que, por ejemplo, los datos de posición del GPS queden almacenados en la información EXIF de las imágenes y vídeos subidos a la red, permitiendo a un atacante conocer dónde se tomaron las fotos, sus movimientos e incluso la dirección de su domicilio.

  • Spyware: la descarga de software de dudosa procedencia puede hacer que en el teléfono se instale software espía que permita a un atacante acceder o deducir datos personales, así como seguirnos el rastro en nuestras actividades por la Red.

  • Ataques de suplantación de identidad: un atacante despliega un punto de acceso a una red Wi-Fi (hotspot) sin protección, con la intención de que los usuarios se conecten a él. Desde allí intercepta los paquetes de datos del confiado usuario para robar información, o instalar malware en el móvil con el que efectuar posteriores ataques.

  • Vigilancia: espiar las actividades y desplazamientos físicos de una persona utilizando una aplicación instalada en su teléfono con acceso a datos de GPS o de localización por celda.

  • Diallerware: robar el dinero del usuario por medio de software malicioso que se oculta tras servicios Premium de llamadas o mensajería.

  • Congestión y manipulación de la red: sobrecarga de los recursos de la red que impiden a los usuarios utilizar sus teléfonos o les conducen a acceder a través de hotspots controlados por los atacantes.

Recomendaciones de seguridad


Para evitar los problemas anteriores o minimizar sus efectos, es recomendable, además de aplicar el sentido común, seguir las siguientes indicaciones:

  • Bloqueo automático: configurar el teléfono de tal forma que se bloquee automáticamente después de algunos minutos sin uso.

  • Consulta y verificación de la reputación de las aplicaciones: antes de instalar o utilizar nuevas aplicaciones hay que revisar su procedencia y su reputación. No hay que instalar nunca ningún software en el dispositivo a menos que la fuente sea de confianza o que sepamos y podamos asumir los riesgos que corremos.

  • Antivirus: instalar algún antivirus compatible con nuestro terminal y ejecutarlo periódicamente para comprobar la integridad del software del móvil

  • Preparación para reciclado: antes de la eliminación, venta o reciclaje de los teléfonos hay que limpiar todos los datos personales, incluidos los multimedia, así como la configuración del teléfono inteligente.

  • Prestar atención a las redes Wi-Fi a las que nos conectamos: los puntos de acceso públicos a estas redes pueden resultar el coto de caza ideal para atacantes en busca de terminales desprotegidos o de usuarios confiados.

  • Confidencialidad: cifrar la memoria del smartphone y de los medios extraíbles. No almacenar los datos sensibles a nivel local.

  • Backup periódico: realizar copias de seguridad frecuentes de los datos importantes aprovechando las capacidades de sincronización en la nube que ofrecen la mayoría de los terminales.

Otras amenazas que despegarán en 2011


Durante el próximo año asistiremos a la aparición de nuevos riesgos derivados de funcionalidades avanzadas que utilizan el contexto físico del usuario, como la realidad aumentada y el software emocional. Las aplicaciones que se adaptan y anticipan al entorno del usuario necesitan recopilar múltiples informaciones personales, en ocasiones privadas y que desearíamos mantener ocultas.

Sin embargo, estos datos privados en la mayoría de las ocasiones quedarán registrados de uno u otro modo en el teléfono, así como en los sitios web que procesan las aplicaciones involucradas. Por ello, en caso de pérdida del terminal o de robo de las credenciales de usuario, estas informaciones privadas podrán ser vistas y analizadas por terceras personas. De igual modo sucederá con las aplicaciones sanitarias que utilicen monitorización biométrica.

Como vemos hay que ser cuidadosos con la información que almacenamos en nuestros móviles y con el uso que hacemos de ellos. Si bien aún no se ha producido una verdadera explosión de malware para estos dispositivos, algunos informes como el que vimos en la anterior entrega indican que 2011 probablemente será un punto de inflexión para la seguridad de los smartphones y las redes móviles, así como el punto de partida para el despliegue de nuevas amenazas dirigidas a otras plataformas con acceso a Internet, como por ejemplo los tablets.

Más información | ENISA
Descarga informe | Smartphones information security risk opportunities and recommendations.pdf
Foto | © PhotoXpress.com, reproducida con autorización

Portada de Xataka Móvil