Durmiendo con el enemigo (en el smartphone) / Por: Gabriel Marcos Marketing Specialist Data Center & Security Global Crossing Colombia

Cuántas formas existen, hoy en día, para nombrar un teléfono? Si existe más de una, es porque los teléfonos ya no son lo que eran: son mucho más!

El término “smartphone” (teléfono inteligente) se utiliza en general para denominar a los teléfonos móviles que tienen capacidad de ejecutar distintas aplicaciones y conectarse a distintas redes, como por ejemplo Internet.

Lo cierto es que un smartphone se parece mucho más a una computadora personal portátil que permite hacer y recibir llamadas telefónicas, que a la imagen tradicional que todos tenemos de un teléfono; de hecho, uno de los factores más importantes para tomar la decisión de qué smartphone comprar es el sistema operativo que soporta, ya que esto permitirá luego acceder a determinadas aplicaciones, entre otras características.

Quisiera compartir algunas estadísticas para demostrar qué tan alta es la penetración de los smartphones en la vida cotidiana, para que esto nos lleve a entender por qué resultan un objetivo tan atractivo para cierto tipo de atacantes:

• Según el INDEC, a Julio de 2011 hay 53,6 millones de teléfonos celulares en servicio en Argentina; es decir, 1.34 por habitante (leyó bien: hay más teléfonos que habitantes!)
• Si esto le llama la atención, todavía hay más: la penetración de teléfonos móviles en Uruguay ya había alcanzado cifras de este orden… en 2008!
• Según IDC, en 2009 se vendía 1 smartphone cada 15 teléfonos móviles regulares en toda la región; en 2011, la relación será de 1 a 5, y en 2014, 1 de cada 2 teléfonos móviles vendidos serán inteligentes.
• En Colombia, los teléfonos celulares son la principal forma de interacción con otros… sí, aún por encima del contacto personal (91% vs. 86%).
• También en Colombia, en hay en promedio 3 teléfono móviles en cada hogar.
• Según un estudio realizado por la empresa Trusteer, los usuarios de teléfonos móviles son 3 veces más propensos a sufrir ataques de phishing que los usuarios de equipos de escritorio.
• El año pasado, un virus afectó 1.000.000 de celulares en China; si bien la cifra parece baja frente al total de la población, se estima que el ataque generó U$S 300.000 por día en costos de servicio para los infectados por los SMS enviados por el virus.

En definitiva, los Smartphones son un objetivo de ataque atractivo por su masividad y amplitud de posibilidades, pero esto es sólo el inicio: tengamos en cuenta que hoy en día los smartphones son también un componente básico de la vida corporativa y en particular de los niveles directivos, es decir que ya no es necesario franquear complejas barreras de entrada para acceder a información confidencial, sino que ésta se encuentra en movimiento y fuera de las instalaciones de la empresa.

Adicionalmente, cada vez más utilizamos los teléfonos móviles para acceder a la información de nuestras cuentas bancarias y realizar otras operaciones que involucran movimiento de dinero como las transferencias o el pago de servicios.

Hace tiempo que el hacking pasó de ser una actividad de aprendizaje inocente para transformarse en una vía de cometer delitos, por lo tanto aquellos dominios de la informática y las tecnologías digitales donde se tenga acceso a dinero o a información que pueda convertirse en dinero representan potenciales objetivos de ataque, y los smartphones encajan perfectamente en este perfil.

Existen todo tipo de ataques para los smartphones: desde aplicaciones que desgastan rápidamente la batería o que directamente pueden dejarlo sin servicio (incluso con nombres muy creativos como el “SMS de la muerte”), técnicas de ataque específicamente diseñadas para teléfonos móviles como el smishing, ataques multi-plataforma como el phishing y el SPAM, ataques específicos que aprovechan vulnerabilidades del sistema operativo, virus, programas zombies y aplicaciones dañinas en general (malware), e incluso técnicas de amenazas compuestas que aprovechan la infección en un equipo de escritorio para vulnerar la que se encuentra en el teléfono móvil… hacer una lista completa demandaría demasiado tiempo y espacio y probablemente se encontraría desactualizada para el momento que la finalizara: lo importante es comprobar que existen muchas y variadas alternativas para vulnerar la seguridad de un smartphone y engañar a su propietario.

Por suerte, no estamos totalmente indefensos ante este tipo de amenazas, y existen algunas recomendaciones que sería prudente seguir para disminuir nuestra exposición al riesgo ante este tipo de ataques, como por ejemplo:

• Nunca mantenga abiertas las conexiones a redes en su teléfono cuando no las está utilizado, especialmente las que permiten acceso a tecnologías Bluetooth y WI-FI.
• Proteja siempre su equipo con contraseña; para un hacker experimentado puede no representar un reto mayor, pero no es posible saber de antemano quién tendrá acceso a su teléfono en una situación de delito.
• En el ámbito corporativo, la seguridad comienza antes del teléfono: la clasificación de la información permitirá determinar bajo qué políticas se permitirá el acceso desde el smartphone a qué tipo de información; descargar el informe confidencial sobre la evolución financiera del negocio en el teléfono móvil quizás no sea una buena idea.
• Otras políticas para la empresa podrían incluir la encriptación de datos y el uso de software de protección como antivirus.
• Nunca utilice software ilegal y verifique siempre el origen y la autenticidad de las aplicaciones antes de descargarlas en su teléfono! Se han detectado virus para smartphones que anunciaban como desarrollador a un famoso cantante POP…

Desde mi punto de vista, el hacking es una actividad regulada por el principio del retorno de la inversión y de un cuidadoso análisis de costo – beneficio: por lo tanto, es necesario tener en cuenta que en general mientras más difícil sea acceder a su información, menos probable será que un atacante le dedique tiempo.