Aseguramiento de Información en Dispositivos Móviles

En los últimos años, el desarrollo de los dispositivos y comunicaciones móviles junto con las tecnologías inalámbricas ha revolucionado la forma de trabajar y comunicarse. El uso creciente de estas tecnologías sitúa a los dispositivos móviles como uno de los objetivos principales para los atacantes.

C2user recomienda:

La pantalla de bloqueo es el principal mecanismo de defensa frente al acceso físico no autorizado al dispositivo móvil por parte de un potencial atacante.

Los dispositivos móviles modernos resultan muy atractivos para su sustracción o robo debido tanto a su valor económico (del propio hardware), como al valor asociado a la información sensible y personal que almacenan. Por este motivo, la pantalla debe estar protegida por un código de acceso y permanecer bloqueada el mayor tiempo posible. Asimismo, se recomienda limitar la funcionalidad disponible en la pantalla de bloqueo para un tercero que no conoce el código de acceso.

Código de acceso o huella dactilar digital

Se recomienda proteger el dispositivo móvil mediante un código de acceso asociado a la pantalla de bloqueo. Aunque este código será solicitado al usuario en múltiples ocasiones a lo largo del día, es necesario seleccionar un código de acceso robusto, de al menos seis (6) u ocho (8) dígitos, y preferiblemente combinando letras y números.
Con el objetivo de encontrar el equilibrio adecuado entre seguridad y funcionalidad, teniendo en cuenta que el usuario tiene que desbloquear su dispositivo móvil decenas de veces al día para hacer uso del mismo, se recomienda configurar la funcionalidad de desbloqueo mediante una huella dactilar digital (en aquellos dispositivos que disponen de estas capacidades y cuentan con un sensor de huella) complementado por un código de acceso robusto.

Esta funcionalidad permite al dispositivo móvil disponer de un mecanismo de protección y que su utilización sea lo más confortable para el usuario.
Poner pantallazo de un celular y huella

Comunicaciones a través de USB

Debido a que una de las limitaciones actuales de los dispositivos móviles es la capacidad y duración de la batería, debiendo los usuarios cargar en ocasiones sus dispositivos móviles a mitad del día y con cierta urgencia, los atacantes han empleado esta funcionalidad dual de las conexiones o comunicaciones USB para comprometer los dispositivos móviles a través de la conexión de datos, haciéndose pasar por una estación de carga en lugares públicos, ataque conocido como juice jacking.

Se recomienda por tanto no conectar el dispositivo móvil a puertos USB desconocidos y no aceptar ninguna relación de confianza a través de USB si no se tiene constancia de estar conectando el dispositivo móvil a un ordenador de confianza.

Para evitar la instalación de apps a través de USB, se recomienda (en función de la plataforma móvil) no habilitar las capacidades de depuración mediante USB del dispositivo móvil, disponibles específicamente para los desarrolladores de apps, y no dejar el dispositivo móvil desatendido sin bloquear.

Actualización del sistema operativo y de las aplicaciones

La última versión tanto del sistema operativo como de las apps soluciona vulnerabilidades públicamente conocidas y, por tanto, reduce significativamente la exposición del dispositivo frente a ataques.
Se recomienda disponer de un sistema operativo siempre actualizado en el dispositivo móvil. Asimismo, se recomienda disponer siempre de la última actualización de todas las apps instaladas en el dispositivo móvil.

Existen herramientas ofensivas para la explotación de vulnerabilidades en los dispositivos móviles que tienen capacidad para comprometer el dispositivo con tan solo abrir un mensaje de texto (SMS) o multimedia (MMS), o visitar un enlace web (sin necesidad de descargar o ejecutar ningún fichero) al aprovecharse de las debilidades en el navegador web o en el sistema operativo. Ya que en ocasiones las herramientas ofensivas disponen de 0-days (exploits para vulnerabilidades desconocidas que no han sido parcheadas), es aconsejable que el usuario sea muy prudente a la hora de abrir mensajes o enlaces web no solicitados, desconocidos o extraños.

Cifrado del dispositivo móvil

Una característica crítica en la protección de los datos y la información almacenada localmente por el dispositivo móvil es el cifrado de su memoria interna, empleada como unidad de almacenamiento principal, así como de cualquier otra unidad de almacenamiento externa, como por ejemplo una tarjeta SD (Secure Digital).
Se recomienda hacer uso de las capacidades nativas de cifrado del dispositivo móvil, con el objetivo de proteger todos los datos e información asociadas al usuario u organización almacenados en el mismo.

Algunos dispositivos móviles como iOS activan de manera automática las capacidades de cifrado una vez se establece un código de acceso, escenario indicado por el texto “La protección de datos está activada.”, mientras que otros como Android requieren activar los mecanismos de cifrado intencionadamente.

Recuerde:
  1. Utilice contraseñas seguras: use diferentes contraseñas para diferentes programas y dispositivos No elija opciones que permitan que su dispositivo recuerde sus contraseñas.
  2. Mantenga el software actualizado. Instale actualizaciones para aplicaciones y el sistema operativo de su dispositivo tan pronto como estén disponibles. Mantener actualizado el software de su dispositivo móvil evita que los atacantes puedan aprovechar las vulnerabilidades conocidas.
  3. Deshabilite la conectividad remota. Algunos dispositivos móviles están equipados con conexión inalámbrica tecnologías, como Bluetooth, que pueden conectarse a otros dispositivos. Deshabilite estas características cuando no están en uso.
  4. Ten cuidado con lo que publicas y cuándo. Espera a publicar fotos de viajes y eventos para que la gente no sabe donde encontrarte. Publicar dónde se encuentra también les recuerda a los demás que su la casa está vacía.
  5. Proteja su dispositivo móvil. Para evitar robos y accesos no autorizados, nunca deje su dispositivo móvil desatendido en un lugar público y bloquee su dispositivo cuando no esté en uso.
  6. Conozca sus aplicaciones. Asegúrese de revisar y comprender los detalles de una aplicación antes descargarlo e instalarlo. Tenga en cuenta que las aplicaciones pueden solicitar acceso a su ubicación e información personal. Elimine cualquier aplicación que no use regularmente para aumentar su seguridad.