Hasta ahora aunque todavía no se pueden comparar los peligros de los puestos de usuario (código malicioso, client-side exploits, fugas de información, etc.) o su, a veces interminable, día a día (políticas de seguridad, gestión de parches, etc.) con los dispositivos móviles. O mejor dicho, no se podía.
Es más, ya no sólo nos tenemos que preocupar de que casi todos nuestros empleados tengan un dispositivo con el que acceden al correo electrónico, al listado de empleados, a nuestras VPN o a nuestras aplicaciones internas, sino que ahora, además, todo lo que habíamos aprendido y casi todas las herramientas de seguridad que teníamos implementadas no se llevan muy bien con estos dispositivos.
El verdadero boom del uso de una forma más eficiente y racional de los móviles en entornos empresariales vino primero con los dispositivos BlackBerry, que rápidamente fueron adoptados por casi todas las grandes y medianas empresas y donde, poco a poco, se fueron adaptando a las necesidades del mundo empresarial. Necesidades obviadas por la mayor parte de los grandes fabricantes de sistemas operativos móviles hasta el momento hasta el día de hoy donde es bastante habitual encontrarnos con empleados o directivos que quieren usar un iPad con 3G para sus viajes y presentaciones o la introducción paulatina de dispositivos basados en el iOS de Apple o en Android de Google.
Uno de los principales problemas de estos dispositivos de reciente aparición en la empresa es que su mercado objetivo no es el mundo empresarial, sino el usuario final doméstico, con lo que vamos a disponer de muchas características útiles desde este último punto de vista (cámara de fotos, videollamada, redes sociales, juegos, etc.) aunque pocas orientadas a la seguridad en el entorno empresarial; pero a la vez, estos dispositivos son realmente computadoras funcionales, que necesitan de todos los cuidados necesarios y las medidas de seguridad oportunas si son utilizados en el entorno empresarial.
Cuestiones que ahora nos parecen básicas en los portátiles, como por ejemplo el cifrado de disco, se pueden convertir en pesadillas de gestionar para algunos fabricantes de móviles; aunque existan aplicaciones que puedan realizar esa tarea, seguramente no permitirán una gestión remota, una recuperación en caso de desastre o pérdida de las claves de cifrado, o simplemente no estará sincronizado con nuestro Directorio Activo o cualquier otro tipo de gestión centralizada de capacidades.
El código malicioso es otro ejemplo muy representativo. El uso de antivirus en dispositivos móviles no es una práctica muy extendida pero ya se empiezan a ver algunos troyanos dedicados al robo de credenciales (como iKee para iPhone por ejemplo) o las recientes presentaciones que hay disponibles de cómo crear un código malicioso e incluso un rootkit para dispositivos Android. Otras plataformas como Symbian o Windows Mobile ya tienen varios gusanos y otros tipos de código malicioso desde hace años que, aunque muchas veces son simples y requieren de la colaboración del usuario, sus efectos pueden ser devastadores.
Además de los problemas de seguridad clásicos, los dispositivos móviles generan unos problemas de gestión enormes. Necesitamos que las herramientas que tenemos para la correcta gestión de parches, la aplicación de nuestra política de seguridad o incluso la monitorización de todos nuestros dispositivos en nuestra infraestructura SIEM, puedan controlar de forma remota estos dispositivos, puesto que además de la información confidencial que pueden contener, son una puerta clara de entrada a nuestra organización.
Pero no todo es negativo, ya que, podemos contar con muchas características muy interesantes para la gestión de estos dispositivos que son claramente mejoras que rara vez encontraremos en otros dispositivos: como por ejemplo la geolocalización, la conectividad real 24×7 por GSM/GPRS/3G, o el ‘whitelisting’ de aplicaciones que sólo deja ejecutar las que están firmadas digitalmente, ayudando a evitar la instalación de código malicioso.
En este momento una labor muy importante es la de la concienciación. Muchas de las personas no ven los dispositivos móviles como ordenadores, e instalan todo tipo de aplicaciones (gratuitas, originales o piratas), abren cualquier archivo que se les envíe por correo, acceden a los enlaces que les llegan, enchufan el móvil a cualquier ordenador para cargar su batería, se conectan a cualquier red inalámbrica que encuentran, e incluso no actualizan el sistema operativo del dispositivo. ¿Les suena de algo?
Es muy probable que en los próximos meses contemplemos cómo la mayoría de los fabricantes de sistemas operativos móviles (Microsoft, Nokia, RIM, Apple, Google) adquieren todo tipo de empresas relacionadas con la seguridad y la gestión de estos dispositivos de forma corporativa, puesto que ya, por fin, han puesto su punto de mira sobre los usuarios profesionales. Ellos ya se han dado cuenta de los futuros riesgos de estos dispositivos, pero, ¿y su empresa?
David Barroso, Director S21sec e-crime
