En España hay más líneas móviles que habitantes. Según datos de la CNMC de principios de año, hay operativos casi 54 millones de móviles, mientras que la población es de 46 millones de habitantes. El truco es que el 13% de los españoles tiene al menos dos números.
La omnipresencia del smartphone es total. Prácticamente no lo dejamos ni para dormir. Hoy hacemos de todo a través del móvil: contestar al e-mail, trabajar a través de aplicaciones empresariales adaptadas para este formato, ver películas, escuchar música, realizar transferencias bancarias, pagar la compra en el supermercado, comunicar con amigos y extraños a través de las redes sociales…
En muchas ocasiones, el móvil que llevamos en el bolsillo es más potente y está mejor provisto que el sobremesa que tenemos en la oficina. El mundo es definitivamente móvil y por eso la ciberdelincuencia también está desplazando su punto de mira y se está especializando en ataques dirigidos al smartphone. Según datos de la industria, en el primer trimestre, el número de troyanos bancarios móviles en el mundo se había elevado un 58% con respecto al mismo periodo de 2018.
El afán de lucro es lo primero
Como en el mundo del PC, la principal motivación de los malos en el entorno móvil sigue siendo la económica. “Los ataques a los que hoy en día está expuesto un móvil no distan mucho de los que sufre cualquier usuario en su PC. La principal motivación sigue siendo conseguir dinero del usuario a través de dos líneas primordiales: troyanos bancarios, que además pueden llegar a utilizar el móvil para reenviar el código de doble factor de autenticación que recibimos a través de SMS; y, por otro lado, ransomware que ataca directamente a la información almacenada en el terminal, como fotos, vídeos, etc., cifrando dicha información a la espera de que el usuario pague un rescate para recuperarla”, explica Emilio Castellote, analista de IDC.
Este experto también comenta que últimamente se están detectando ataques a móviles que consisten en la duplicación de la tarjeta SIM tras la captura de algunos datos confidenciales. En este caso, los ciberdelincuentes se mueven porque el móvil es la herramienta que hace posible el doble factor de autenticación (por ejemplo, recibiendo el código con el que validamos una compra en la web de varios cientos de euros).
De esta manera, los delincuentes pueden tener acceso a operaciones bancarias, cambios de contraseña en las redes sociales o en servicios de nube donde los usuarios (y también las empresas) guardan su información más preciada.
En las empresas se busca el daño reputacional
Las compañías deben definir un estrategia clara de ciberseguridad. En el caso de ataques dirigidos a empresas, los hackers muchas veces no buscan la obtención de datos de manera directa, pero sí el daño de la reputación pública de la compañía o el bloqueo de infraestructuras, sites o servidores.
Es en este punto donde se enmarcan los ataques de denegación de servicio (DDoS), que persiguen la saturación de un servicio por un exceso de peticiones al servidor, y que el año pasado supusieron nada menos que el 44% de los ataques que sufrieron las compañías en España, mientras que en el mundo totalizaron casi tres millones de ataques.
También mantienen una tendencia alcista los ataques de ciberespionaje a través del móvil. Emilio Castellote, de IDC, recuerda que las herramientas de monitorización y seguimiento comercializadas en el mercado para realizar el seguimiento de las comunicaciones del terminal ponen de manifiesto la relativa facilidad que este tipo de acciones tienen ahora mismo.
José Luis Paletti, ingeniero preventa de Panda Security, recuerda que el aumento de la potencia de proceso de los móviles está haciendo que también se conviertan en víctimas de crytojacking, un ataque que los criminales lanzan para “secuestrar” parte de la capacidad de proceso del teléfono y dedicarla a labores de minería de criptomonedas, y todo sin que el dueño del terminal ni siquiera lo perciba.
Además, el ingeniero también destaca que se están haciendo habituales los puntos de acceso Wi-Fi falsos o de “gemelo maligno”. En este caso, los ciberdelincuentes utilizan el mismo SSID (parámetro que identifica a la red inalámbrica) que el punto de acceso original para que el usuario se conecte erróneamente a ellos y así poder robarle la información.
El phishing sigue siendo el rey
En todo caso, y como ocurre en el mundo PC, conviene recordar que los ataques de phishing siguen siendo los que mayor impacto tienen entre los usuarios de dispositivos móviles. El envío de correos que portan un link fraudulento es la vía más usada por los delincuentes para obtener contraseñas y accesos a servicios de las víctimas. Precisamente, uno de los accesos más codiciados últimamente es el de las aplicaciones de gestión de contraseñas que almacenan en un mismo repositorio todos los passwords del usuario.
También están ganando peso los ataques de phishing a través de SMS. Este tipo de mensajería se utiliza cada vez más en un contexto empresarial como un canal seguro para la autenticación de dos factores o la recuperación de contraseñas. Así que no es de extrañar que haya crecido el interés de los hackers por explotar las vulnerabilidades de este canal.
Tanto los usuarios como las empresas no aseguran su parque móvil. No están educados para instalar las actualizaciones nada más llega el aviso, sino que se posponiendo y, en la mayoría de las ocasiones, no se hace nunca
Si nos fijamos en ataques concretos, una de las vulnerabilidades más sonadas de los últimos meses ha sido la de WhatsApp, a través de la cual los hackers podían infectar teléfonos móviles con un potente spyware a través de la función de llamada de la propia aplicación, incluso si el destinatario no respondía a la misma. “La vulnerabilidad fue utilizada en un intento de infección al teléfono de un abogado de Londres el pasado 12 de mayo y podría llegar a extrapolarse a millones de usuarios si no actualizan la app a su última versión”, advierte José Luis Paletti, de Panda. En concreto, el abogado había estado involucrado en denuncias contra la empresa israelí de software de vigilancia NSO Group por participar supuestamente en el hackeo de móviles a disidentes políticos y periodistas.
Variedad de sistemas operativos
Uno de los grandes problemas del mundo móvil cuando hablamos de seguridad tiene que ver con las muchas versiones que hay en el mercado de Android, el sistema operativo que llevan nueve de cada diez teléfonos inteligentes en todo el mundo. Según los últimos datos de Statcounter, referentes al mes de mayo, Android 9 Pie, la distribución más actual, sólo está en el 14% de los dispositivos, mientras que 8.1 Oreo se encuentra instalada en el 19%; 8.0 Oreo está en el 15% Android; y 7 Nougat, en el 10% de los terminales. 
Además, Android 6 Marshmallow y Android 5 Lollipop siguen estando instalados en casi un 30% del parque móvil (de smartphones y tabletas) mundial a pesar de que son versiones que llegaron al mercado hace tiempo y que no incorporan los parches de seguridad más actuales. Esta dispersión se debe a que los fabricantes de teléfonos tardan mucho en hacer que las últimas versiones lleguen a los terminales porque han de configurar primero su capa de personalización del sistema, optimizarla y securizarla.
En la actualidad, los principales vectores de ataques hacia dispositivos móviles son las aplicaciones, vulnerabilidades, ataques de red, y por supuesto el phishing. Bien es cierto que el mayor ecosistema de Android no facilita que su seguridad sea mejor que los dispositivos basados en IOS, pero estos también se han visto afectados por ataques. Ambos son vulnerables a SMS phishing, existen vulnerabilidades en ambos entornos (523 vulnerabilidades en Android en 2018 frente a las 161 descubiertas en IOS), aplicaciones infectadas o afectadas por vulnerabilidades como el reciente caso del Whatsapp y por supuesto, también están expuestos a ataques de red mediante técnicas de Man-in-the-Midle, además con mayor facilidad para llevarlos a cabo en IOS que en los dispositivos Android cuando se utiliza Safari como navegador.
Otro problema está en las tiendas de aplicaciones. Aunque tanto Google como Apple pasan filtros periódicos a los millones de apps que ofrecen a través de Google Play y el App Store, la seguridad no es absoluta.
Una iniciativa interesante de seguridad en móviles de uso profesional es la Samsung con la plataforma Knox. En esencia, Knox, cuya primera versión se presentó en 2013, protege hardware, software y los datos confidenciales del usuario gracias a un contenedor cifrado donde se ejecutan las aplicaciones y se almacenan los datos. Además, este fabricante dispone de las medidas necesarias para garantizar la seguridad en todos los frentes: fabricación (claves de hardware únicas por dispositivo y accesible solo por TrustZone), arranque (verifica la integridad de los componentes y bloquea el contenedor si ve peligro) y ejecución (evita el acceso no autorizado al kernel o la modificación del código, y permite que los datos confidenciales sigan cifrados incluso después del encendido).
El descuido de los usuarios
Las empresas tienden a invertir millones de euros en soluciones de seguridad como Firewalls, IPS/IDS, soluciones de protección de endpoints, incluso contratan servicios de monitorización y correlación mediante potentes herramientas SIEM, pero en muchos casos dejan la seguridad de los dispositivos móviles en manos de los usuarios.
Estos dispositivos, disponen de acceso en muchos casos a información sensible para la compañía a través de correo electrónico o herramientas como salesforce, y no tenemos visibilidad sobre las aplicaciones instaladas y cuales podrían o bien ser maliciosas o bien incumplir la política de nuestra empresa, tampoco tenemos información sobre las vulnerabilidades del sistema operativo y de las aplicaciones instaladas y a qué redes Wifi se conectan nuestros usuarios.
Como recuerda José Luis Paletti, de Panda, “no estamos educados para instalar las actualizaciones nada más nos llega el aviso, sino que lo vamos posponiendo y, por desgracia, en la mayoría de las ocasiones acabamos por no hacerlo nunca”.
Es recomendable mantener el software y las aplicaciones actualizados y que los usuarios particulares revisen bien los remitentes de los e-mails, la valoración y comentarios de las aplicaciones en Google Play o App Store y las URL de las páginas que visitan
El móvil está sustituyendo poco a poco al PC en las tareas más cotidianas del día a día, pero los niveles de seguridad aplicados a dichos terminales son más bien bajos en comparación con el uso de aplicaciones antimalware en el PC. También juega contra el usuario su falta de precaución en muchos casos. Y es que muchas aplicaciones dejan claro en sus términos de uso a qué datos van a acceder y qué van a hacer con ellos, por lo que en ocasiones no se puede hablar de apps maliciosas, sino de un uso inadecuado de las mismas por parte del usuario.
Además, está el caso de los usuarios que acuden a tiendas paralelas porque prometen apps gratis, pero que al final comprometen la seguridad del aparato y de los datos. Emilio Castellote recomienda por eso utilizar siempre las tiendas oficiales. En definitiva, el analista de IDC recomienda aplicar el sentido común y que el usuario “se lo piense dos veces antes de abrir e-mails de desconocidos o pinchar en links de dudosa procedencia”.
La formación de los empleados es clave
Desde Panda recomiendan mantener el software y las aplicaciones actualizados y que los usuarios particulares revisen bien los remitentes de los e-mails, la valoración y comentarios de las aplicaciones en Google Play o App Store y las URL de las páginas que visitan.
En las empresas, los departamentos informáticos están consolidando las distintas plataformas tecnológicas para tener un mayor control del dato y de su ciclo de vida, independientemente de dónde se encuentre y cómo se acceda al mismo. Además, los expertos recomiendan a las compañías que formen en aspectos de ciberseguridad a sus empleados, para que, cuando menos, sepan llevar a cabo una navegación segura. También desde el fabricante aconsejan incorporar herramientas de protección de la red corporativa y de los endpoints o puestos cliente, bien sean PC o smartphones.
Por otro lado, aparecen las soluciones MDM/EMM que aportan capacidades de gestión sobre los dispositivos basadas en la aplicación de políticas, pero recordemos que no son soluciones que puedan proteger los dispositivos frente a los principales vectores de ataques. Además, las políticas BYOD están fomentando que los usuarios tengan libertad para poder instalar aplicaciones en sus dispositivos. En definitiva, la formación a los empleados debe ser una prioridad, por su bien y por el bien de las empresas en que trabajan.
Imágenes | iStock.com/Ali Kerem Yücel / apichon_tee / JHVEPhoto / BeeBright
