“¿Estás seguro de que tu aplicación que lee desde WhatsApp
tus mensajes en voz alta lo hace solo para ti?”
La inclusión de los teléfonos móviles y los smartphones como herramientas cotidianas de productividad en las empresas ha marcado un hito en la innovación y en la forma en la que muchas de las actividades operativas son concebidas. Asimismo, esta innovación ha causado la entrada del vector de seguridad orientado a estos dispositivos, siendo, dentro del ámbito empresarial actual, los más vulnerables y accesibles tanto por la falta de medidas específicas de protección como por el grado de robustez de las propias plataformas.
“En Q4 2015 McAfee identificó España como el cuarto país con más incidentes de seguridad en telefonía móvil”
El auge de las aplicaciones móviles o Apps, tanto de desarrollo propio de las empresas como de terceros, ha posibilitado que el acceso a la información, que de otra forma debería de ser privada, se realice de forma abierta y cada vez más, alejada del borde de la red, normalmente protegido por las últimas tecnologías de los Next-Generation Firewalls (NGFW).
En la mayoría de las ocasiones, las empresas no son conscientes de la dispersión de su información a través de las redes de telefonía móvil. Herramientas cotidianas como el correo electrónico son desplegadas en dispositivos sin ningún tipo de control por parte de los departamentos de seguridad e IT internos. Por si fuera poco, la gestión de los dispositivos móviles se complica, aún más, cuando incluimos las nuevas políticas de BYOD (Bring Your Own Device) a los entornos de trabajo.
La gestión del parque de ordenadores, así como los recursos y configuraciones asociados a los mismos, se consigue a través del plataformado y control automatizado de las mismas, su evolución a escritorios virtuales y terminales “dummy” que hacen más sencillo el control de las aplicaciones utilizadas y del uso de las mismas. Sin embargo, todo se complica cuando un empleado decide utilizar su propio terminal para realizar su trabajo, haciéndose imprescindible preparar el terminal (PC-MAC) para su inclusión dentro de la compañía, cubriendo unos estándares de seguridad. Aterradoramente, con los terminales móviles, este tipo de medidas no se llevan a cabo, siendo el usuario final el responsable de su gestión, configuración, securización y accesos.
Las suites de software de control
Durante el 2015 y 2016 la industria se ha movilizado para cubrir este nicho tanto en materia de seguridad como en materia de organización y control, tratando de interferir de forma razonable en el uso que se da a los recursos móviles. Esta movilización ha dado como resultado distintas suites de software de control de los terminales entre los que merece la pena destacar:
- Mobile Device Management (MDM): Enfocado básicamente en la seguridad del dispositivo, aprovisionamiento y control del mismo generando inventarios, reportes y listas.
- Mobile Application Management (MAM): MAM se enfoca en la seguridad orientada a roles, gestionando las aplicaciones en función del rol asignado por los administradores.
- Mobile Content/Email Management (MCEM): Gestión de los contenidos a través de la telefonía móvil almacenamiento y correo electrónico.
Al margen de los esfuerzos por la estandarización del parque de dispositivos “Smart” y la gestión de su seguridad, la industria ha avanzado en la línea de la protección de los dispositivos móviles para dar cobertura al vector inseguridad dentro de la movilidad dentro de la empresa.
Así lo indica Gartner en su Magic Quadrant, que muestra la alta evolución de los diferentes fabricantes a la hora de evolucionar las plataformas de control de dispositivos Smart.
Los esfuerzos por el MDM no son los únicos que se realizan desde los diferentes fabricantes para el control del tráfico malicioso dentro de nuestros dispositivos Smart, revelando una evolución dentro del 2016 de las plataformas de NGFW para el análisis del trafico especifico de estas plataformas, desarrollando aplicaciones MGS (Mobile Guard Security) permitiendo el análisis en tiempo real del tráfico generado por estos dispositivos y analizando las aplicaciones y los patrones de procesamiento y actividades dentro de Sandboxes específicas para cada plataforma.
Por concluir, la telefonía basada en dispositivos Smart, añadió un alto grado de libertad en muchas áreas de actividad presentes en casi todos los sectores, facilitando su trabajo con unas ventajas de movilidad nunca antes alcanzadas. Esta movilidad, adoptada a pasos agigantados por todos los implicados, también ha generado una dependencia de esta tecnología, y creado un nicho de inseguridad del que muchas veces no somos conscientes. Aplicaciones fraudulentas, mensajes de Smishing (o SMS Phishing), robo de datos y credenciales de correos electrónicos, spam, y muchas más amenazas de mayor sofisticación que los entornos IT tendrán que enfrentar inevitablemente. Podemos especular que, en los próximos meses, estas plataformas de seguridad volverán a ser noticia.