banner

Seguridad en la Empresa: La Amenaza de los smartphones (I)

INDICE
| PARTE II

La popularización de los teléfonos móviles inteligentes (smartphone) con acceso a Internet se esta convirtiendo en una seria amenaza para la seguridad de la información en las empresas. Un teléfono de estas características facilita enormemente la capacidad de "sustraer" información sensible con un riesgo mínimo para el "ladrón".
Recordatorío: Amenaza en "Seguridad de la Información" se entiende según [ISO/IEC 13335-1:2004]: causa potencial de un incidente no deseado, el cual puede causar el daño a un sistema o la organización. [Serie ISO 27000]

Si nos detenemos un segundo y analizamos las características típicas de un smartphone, veremos enseguida que puede llegar a suponer una seria amenaza para la seguridad de la información en prácticamente cualquier empresa. 

Estaremos de acuerdo que las características típicas de un smartphone son:

  1. Conexión directa a Internet a alta velocidad > 3Mbps - 3G / HSDPA / LTE
  2. Almacenamiento de información en tarjetas de memoria SD y memoria interna (capacidad de 8GB / 16GB o incluso 32GB)
  3. Cámara de fotos de alta calidad hasta 8Mpx.
  4. Conectividad por bluetooth o wireless.
  5. Conexión USB para acceder al teléfono móvil, que se puede utilizar para acceder a la memoria del teléfono, sincronizar datos, compartir la conexión de Internet, etc.
  6. Microfono, capacidad para grabar voz.
En esta primera entrega, vamos a exponer diferentes casos de uso "maliciosos" donde cada una de las capacidades y características del smartphone juegan un papel importante. En la segunda parte, abordaremos la problemática y trataremos de proponer algunas contramedidas para minimizar y controlar estas amenazas.

¿Los smartphone son una Amenaza?


La conexión a Internet del teléfono móvil por si misma no supone una amenaza a priori, pero ¿qué ocurre si compartimos la conexión de Internet de nuestro móvil para acceder desde el equipo corporativo?.

Para compartir la conexión de Internet del teléfono móvil existen varias posibilidades, como por ejemplo la utilización del puerto USB o la conexión inalámbrica (wifi). Existe pues una amenaza de comprometer la información de la empresa, saltarse los controles de seguridad y/o fuga de información.


La utilización "maliciosa" de cualquiera de las características de un smartphone de forma individual o combinada, pueden suponer una seria amenaza a la seguridad, tal y como se describe a continuación:

AMN_1: Evasión de los controles de Seguridad

La evasión de controles de seguridad, por ejemplo un Proxys, puede ser llevada a cabo utilizando la característica de algunos smartphone (ej: con sistema Android / iPhone) que permiten configurar el teléfono móvil como un modem 3G y compartir la conexión a Internet con un ordenador.


 Es decir, la capacidad de compartir la conexión a Intenet se puede utilizar para "saltarse" la política de seguridad y las medidas técnicas de protección de la empresa, como por ejemplo, evitar el filtro que un servidor proxy realiza en la navegación de Intenet. El teléfono móvil para compartir la conexión a Internet con otro equipo puede hacerlo por medio de la conexión USB y/o la interfaz de red inalámbrica (wifi).

AMN_2: Fuga de Información

La Fuga de Información, se utiliza para describir la situación de "perder" el control sobre parte de la información, en especial, la considerada como sensible. La capacidad de "extraer" información de un smartphone sin "levantar" sospechas es bastante alta.

Pongamos por caso, la utilización de la cámara de fotos, a priori, nada impide a un "maligno" tomar fotos con la cámara de la información y subirla  rápidamente, desde el propio terminal móvil (conectado a Internet), a una red social, foro, servidor (dropbox), enviarla por correo. Todo ello sin dejar el menor rastro (no vamos a debatir en este artículo la capacidad de rastreo de las acciones de un usuario con un teléfono móvil, o la capacidad de evitar los rastreos desde el propio teléfono móvil, es un tema que podría llevarnos varios artículos).


 

O incluso se podría utilizar la conexión a Internet del teléfono móvil para extraer información sensible de la empresa, subirla a servicios como Dropbox, Doogle Doc, etc, normalmente bloqueados por la política de seguridad y las medidas técnicas implantadas (proxy). O simplemente utilizar la memoria interna del teléfono como almacén de datos, y guardar documentos "sensibles".

Por los motivos expuestos, a lo largo de esta primera entrega, el responsable de seguridad de la información de la empresa, tendrá que tomar una serie de acciones para minimizar los riesgos y amenazas del uso de los teléfonos móviles personales (smartphone) dentro de la empresa.

Estas acciones se tratarán en la segunda parte de este artículo.

No hay comentarios :

Publicar un comentario en la entrada