3. OBJETIVOS
• Conocer los riesgos que conlleva el uso de dispositivos móviles y la forma de minimizarlos
4. SEGURIDAD EN DISPOSITIVOS MÓVILES
El dispositivo móvil se ha convertido en una herramienta indispensable para las personas, no solo para la
tradicional comunicación de voz, sino cada vez más como herramienta de trabajo (correo y aplicaciones
empresariales), socialización, entretenimiento, acceso a servicios financieros, y adquisición de productos y
servicios. Por tanto en ellos puede residir información sensible y de interés para atacantes. Lo cual significa que
los conceptos claves de la seguridad de la información también son aplicables a los dispositivos móviles. Estos
conceptos claves se pueden resumir así:
• Confidencialidad: Asegurar que solo los usuarios autorizados tendrán acceso a la información.
• Integridad: Asegurar la no alteración de la información. Por alteración entendemos cualquier acción de inserción,
borrado sustitución de la información.
• Autenticación: Asegurar la identidad del remitente de la comunicación, asegurar que es quien dicen ser.
• Norepudio: Asegurar que ninguna parte pueda negar ningún compromiso o acción realizados anteriormente.
5. SEGURIDAD EN LAS COMUNICACIONES INALÁMBRICAS
Si bien las redes inalámbricas posibilitan la movilidad, también constituyen un medio que representa
riesgos relacionados con la seguridad por cuanto la información viaja por el aire, lo que añade
complejidades adicionales para su protección. Algunos de los ataques de seguridad a los que esta están
expuestas estas comunicaciones son:
• Masquerading: Consiste en la suplantación de la identidad (de la estación base o el móvil).
• Denegación de servicio: Lograr que el servicio no esté disponible, enviando en forma masiva solicitudes de
autenticación.
• Eavesdroppin: Vulneración de la confidencialidad, se considera un ataque pasivo dado que se dedica a escuchar
las comunicaciones, para luego realizar otros ataques.
• Confidencialidad de Posicionamiento: Hace uso de diversas técnicas para obtener la ubicación geográfica del
móvil, y por consiguiente de su propietario.
En respuesta a estos y otros riesgos, se han ideado varios mecanismos para prevenirlos, como la difusión
del espectro (dividir la señal de radio para transmitirla en diferentes frecuencias), y el cifrado de las
comunicaciones con técnicas de criptografía. Estos mecanismos son recogidos con el estándar 802.11, el
cual a si vez se basa en el algoritmo WEP.
6. SEGURIDAD EN EL SISTEMA OPERATIVO
Dado el creciendo en funcionalidad y complejidad de los sistemas operativos de los equipos
móviles, cada vez cobra mayor importancia garantizar su seguridad. Por lo mismo también se
han convertido en un objetivo ataques de seguridad.
• Los ataques a los que está expuesto el sistema operativo están relacionados principalmente con el aislamiento
de recursos y cambios en la configuración.
• Pueden afectar los propios servicios del sistema operativo o los ofrecidos por la capa de aplicación.
• La afectación puede ser local o remota.
Para minimizar estos riesgos conviene hacer un uso apropiado de privilegios de usuario (dado
que el impacto del ataque está asociado a los privilegios del usuario), usar técnicas de
aislamiento de procesos (para evitar que el malfuncionamiento de una aplicación afecta a las
otras o al sistema), y actualizaciones del sistema operativo.
7. SEGURIDAD DE LAS APLICACIONES
Conseguir que las aplicaciones se ejecuten de maneja segura constituye un factor determinante, dado que son las que
interactúan con los usuarios y pueden tener acceso a su información. Entre los posibles ataques originados por aplicaciones
están:
• Virus, Gusanos, Troyanos, Puertas Falsas (o puerta trasera), Spyware.
• Keylogger (guarda las pulsaciones de teclado).
• Hijaker (modifica la configuración del navegador para direccionarlo a otras páginas)
• Dialer (Realiza llamadas de manera oculta a números de tarifas especiales).
Otro tipo de ataques en la capa de aplicación suceden como consecuencia del uso del navegador, ejemplos de ello es phishing
(suplantación de páginas o sitios) y clickjacking (inducir al usuario a hacer click sobre enlaces que no deseaba).
La recomendación es instalar solamente aplicaciones desde las tiendas oficiales de las plataformas. No obstante, algunas de
estas no ejercen control sobre la calidad o el contenido, basta con la firma por parte del desarrollador. Otra característica
importante de las tiendas oficiales es la posibilidad de actualizaciones.
En cuanto a la navegación, usar HTTPS cuando los datos sean críticos, usar herramientas de copia de seguridad, cortafuegos y
antivirus, mecanismos adicionales de autenticación como segunda clave y lectores biométricos, códigos y patrones de
desbloqueo.
8. SEGURIDAD EN LOS USUARIOS
Aquí nos referimos a los riesgos que nos exponemos cuando alguien ha tenido acceso físico a nuestro
dispositivo. Pueden suceder dos tipos de ataques:
• Momentáneos cuando el equipo está en manos del atacante por poco tiempo, durante el cual puede
obtener información, eliminarla, copiarla, e instalar software malicioso.
• De duración indefinida, por robo o pérdida, teniendo el atacante todo el tiempo para intentar romper el
sistema con ataques de fuerza brutay acceder a toda la información del equipo.
Para evitar los ataques momentáneas son útiles los códigos de desbloqueo e inicio del equipo o
lectores biométricos. En el caso de robo o pérdida existen algunas medidas preventivas como
copias de seguridad automáticas y mecanismos de ubicación y eliminación de datos
automáticamente.
10. PREGUNTAS
• Como se pueden ejemplificar los conceptos
claves de la seguridad de la información en el
entorno de dispositivos móviles?
• En qué consisten los ataques “jamming”?. En
que categoría lo podemos clasificar?
• Cuál es el esquema de cifado WEP?