jueves, 24 de mayo de 2012

Vías de infección para dispositivos móviles, prevención y mitigación


Logotipo de CERT-Movil
Los dispositivos móviles se ven afectados por malware específico y, por ello, se hace un repaso sobre las formas por las que este tipo de dispositivos se pueden infectar, los efectos que pueden ocasionar y cómo prevenirlos y mitigarlos.
Según varios informes de compañías de seguridad como ESET, Sophos, Viruslist, McAfee o Symantec, se pone en relieve un aumento considerable del malware para dispositivos móviles.
Esto es debido, en parte, al aumento del uso de dispositivos móviles con acceso a Internet, circunstancia que, unida a un desconocimiento de los riesgos que tiene el uso inadecuado de estos dispositivos, hace que la posibilidad de contagio por malware sea alta, como se ha demostrado con la aparición de botnets para smatphones  (se abre en nueva ventana).
Por otro lado, tendencias como el «BYOD» (Bring Your Own Device o trae tu propio dispositivo), que se está imponiendo en las empresas, hace que la compartición del uso del dispositivo con fines empresariales y particulares, puede ocasionar que el problema de las infecciones repercuta negativamente en la empresa provocando un cambio en sus políticas de seguridad, de forma que puedan convivir en el mismo dispositivo el uso privado y profesional. De hecho, ya se está desarrollando software que trata de solucionar esta problemática, como es el caso del instituto Fraunhofer, para la tecnología de la seguridad de la información con Bizztrust  (se abre en nueva ventana), y el de la empresa Cisco con Cisco’s Highly Secure BYOD Solutions  (se abre en nueva ventana).
Independientemente de la adopción de este tipo de soluciones, es necesario conocer las vías de contagio que usa el malware en los dispositivos móviles, con el fin de ser capaces de prevenir esa infección. También, es importante minimizar los efectos del contagio, en caso de llegarse a producir.

Vías de contagio

Actualmente, las vías de contagio más comunes en los dispositivos móviles son:
  • Vulnerabilidades. Provocadas por un desarrollo inadecuado del software, en cuanto a nivel de seguridad y pruebas. Las vulnerabilidades pueden estar presentes en los sistemas operativos y en las aplicaciones que se instalan. Para solucionarlas, hay que instalar las actualizaciones de seguridad que los desarrolladores de software publican cuando los fallos son detectados y corregidos, tanto para el sistema operativo como para las aplicaciones instaladas. En el caso de algunos smartphones, puede ser un verdadero problema, ya que las actualizaciones del sistema operativo no siempre están disponibles cuando las publica el desarrollador del sistema, sino que es el proveedor del servicio de telefonía (operador) quién decide cuando sus usuarios disponen de la actualización.
  • Ficheros. Recibidos a través de Bluetooth, correo electrónico, mensajería instantánea, redes sociales o descargados de Internet. Para prevenir esta vía de contagio, solo hay que descargar o aceptar ficheros de sitios de total confianza o de otros dispositivos conocidos. Estos ficheros pueden ser de varios tipos:
    • ejecutables (.IPA para sistema operativo IOS, .APK para Android, .AXL y .COD para Blackberry y .jar para los que soporten Java)
    • documentos ofimáticos (.PDF, .DOC, .XLS,...)
    • multimedia (.AVI, .MPEG, .MOV...)
  • Navegación web. Se han detectado algunos casos de infección al navegar en alguna página web manipulada para que detecte nuestro sistema, busque alguna vulnerabilidad y, utilizándola, nos infecte con el malware ("Drive-By-Download"). Para mitigar esta amenaza, se deben usar navegadores o programas que analicen las páginas web antes de cargarlas. Además, se debe navegar solo por sitios de confianza y ser muy cautos con los enlaces recibidos vía SMS/MMS, mail, redes sociales y mensajería instantánea, ya que podrían llevarnos a una página web fraudulenta.
  • Aplicaciones maliciosas. Hay aplicaciones que realmente son malware "disfrazado". Este tipo de aplicaciones, normalmente, están en mercados o tiendas "alternativas" aunque, en algunos casos, se han encontrado aplicaciones maliciosas en los canales oficiales de distribución. La forma de prevenir esta infección es descargar aplicaciones solo de los sitios oficiales, y además buscar información sobre la misma en foros y páginas especializadas ya que, de lo contrario, sólo tendremos la confianza que nos ofrezca el desarrollador de la aplicación.
Aunque estas son las vías más habituales, también hay que tener en cuenta otros riesgos importantes como las capacidad de comunicación vía Wi-Fi de estos equipos, unido al crecimiento de puntos de acceso Wi-Fi gratuitos, que los hacen víctimas potenciales del robo de información mediante el espiado de la red (sniffing). Para evitarlo, no hay que usar estos servicios Wi-Fi para acceder a sitios web en los que se requiera introducir información personal o confidencial. También hay que asegurarse de que en caso de usar este tipo de conexiones, las páginas a las que accedemos dispongan de cifrado en las comunicaciones (HTTPS).
Otro factor a tener en cuenta en la seguridad de este tipo de dispositivos, es la eliminación de ciertas protecciones que hay en los sistemas operativos, mediante el «Jailbreak» o el «rooteado». Mediante el primero se consigue que el sistema operativo IOS (Apple) pueda instalar aplicaciones que no están firmadas, y por tanto, que no están en la tienda de Apple (Applestore). Esto supone una reducción en la seguridad del dispositivo debido a que solamente las aplicaciones de la tienda oficial se han verificado y aportan un nivel de confianza alto. En el caso de los dispositivos Android, el sistema puede instalar aplicaciones firmadas (configuración por defecto) o se puede configurar para poder instalar cualquier aplicación, aunque no sea de confianza. El proceso de "rooteado" consiste en poder darle a una aplicación permisos "especiales", lo que implica mayor riesgo en la operativa que pueda llevar a cabo esta aplicación. Estas acciones incrementan la posibilidad de instalación de un software malicioso en un equipo, ya que disminuyen el nivel de seguridad del sistema. Por ese motivo se desaconsejan totalmente cuando el terminal va a ser utilizado para uso en la empresa.

Mitigación de la infección

Una vez que el dispositivo ha sido infectado, y se ha detectado, hay que llevar a cabo una serie de acciones para reducir los efectos perjudiciales que podrían llegar a surgir. Estas acciones, están relacionadas con las funcionalidades del malware para este tipo de dispositivos y con el uso que se haga del mismo, ya que no es igual que sea un “Smartphone” para uso personal que el utilizado para el trabajo. En función del malware que nos haya afectado, tendríamos estos posibles efectos y medidas a adoptar:
  • Robo de datos de contactos. Es necesario avisar a nuestros contactos e indicarles que es posible que reciban alguna comunicación "extraña", incluso en nuestro nombre. El malware podría acceder a nuestros contactos y redirigirles alguna notificación para transmitir más malware o redirigirlos a sitios web fraudulentos.
  • Robo de contraseñas. Será necesario el cambio de nuestra contraseña de los servicios que se haya usado desde este dispositivo, ya que podrían haber sido robadas. Con el robo de credenciales se podrá suplantar la identidad en el servicio en cuestión. Además, en caso de tener la misma contraseña en varios servicios (¡mala práctica en el uso de contraseñas!), habría que cambiarla en todos aquellos en los que se use, incluso en los que no se ha accedido desde ese dispositivo, ya que a partir de unos servicios como correo o mensajería se pueden deducir otros que sí se usan como por ejemplo, las redes sociales. También hay que considerar el uso de un gestor de contraseñas  (se abre en nueva ventana).
  • Robo de datos bancarios. La única forma de mitigar esta acción es informar a nuestro banco de lo sucedido, modificar las credenciales bancarias, y hacer un seguimiento exhaustivo de los movimientos de nuestras cuentas y tarjetas. Por otro lado, y en caso de que hayan usado ya esas credenciales con fines fraudulentos, es necesario realizar una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado o en un juzgado.
  • Robo de información empresarial. En el caso de que el dispositivo móvil se utilice con fines profesionales, el malware podría robar información relativa a la empresa. La forma de mitigar esta acción es comunicárselo a la empresa para que tome las medidas necesarias como: cambio de contraseñas, aviso a clientes/proveedores/colaboradores. Una medida de prevención adecuada sería utilizar un software de codificación o cifrado  (se abre en nueva ventana) de información.

Recomendaciones a seguir

Para el uso de dispositivos móviles, especialmente cuando se compartan en el ámbito privado y en el empresarial, se deberán seguir las siguientes recomendaciones de forma genérica:
  • Instalar un software antimalware  (se abre en nueva ventana)
  • Mantener actualizado el sistema y las aplicaciones
  • Precaución con la descarga y recepción de archivos
  • Precaución con las conexiones no seguras (Wi-Fi y Bluetooth)
  • Precaución al navegar por Internet, y sobre todo con los enlaces de correos, mensajes SMS o en redes sociales
  • No eliminar las protecciones del sistema
  • Cumplir con la directiva de contraseñas y usar un gestor  (se abre en nueva ventana) para las mismas
  • Acceder a la red empresarial a través de redes privadas o VPN
  • Utilizar el cifrado  (se abre en nueva ventana) de datos
  • Establecer un protocolo de actuación en caso de robo o pérdida del dispositivo

Fuente INTECO