Primero, Denis presenta cuadros estadísticos que nos demuestran cuánto ha aumentado la cantidad de dispositivos móviles de usuarios entre el año 2009 y el 2011. En este cuadro se puede apreciar que los países con mayor consumo de móviles se encuentran en Asia, Norteamérica y Europa Occidental. El cuadro lo pueden apreciar a continuación:
A continuación el gráfico mencionado:
Otro enfoque que realizó fue el procedimiento de un ataque a un
dispositivo móvil. Para esto, Denis nos mostró que uno de los medios más
sencillos y eficaces son precisamente las redes sociales. Por ejemplo,
en la siguiente imagen se aprecia cómo se puede acceder a perfiles de
personas y obtener su información profesional, así como datos sobre su
carrera y centros de estudio:
Asimismo, se puede acceder a información tan importante como números
telefónicos para el caso de empresas, todo ello ingresando a información
disponible para todo público:
A esto se añade la información que se hace pública por los usuarios
de móviles cuando envían e-mails o publican en redes sociales, puesto
que dicha información viene acompañada por una firma que brinda el
nombre del dispositivo usado. Por ejemplo, cuando los usuarios de
equipos BlackBerry publican en Facebook, debajo de la publicación aparece un mensaje que dice algo como “publicado desde un BlackBerry“.
Otros modos de sustraer información incluyen la interceptación de datos vía Wi-Fi, conocido como “sniffing“.
Siguiendo con el seminario, Denis nos habló de los métodos físicos
para sustraer información de los móviles. Entre ellos está, obviamente,
el robo del equipo, o su reemplazo por otro parecido. Para ello, Denis
nos mostró unas imágenes de la aclamada película “El Caballero de la Noche“,
donde logran colocar un teléfono dentro de un edificio, confundiéndolo
con otro idéntico y logrando así al acceso a un mapa en 3D de todo el
edificio donde se encuentra el Guasón. El fin de esta demostración es
enfatizar la personalización de los equipos, pues si un tercero quiere
ingresar un objeto extraño, la forma más sencilla de hacerlo consiste en
usar un dispositivo como un teléfono celular de modelo popular.
Entre los consejos que nos ofrece Denis para resguardar la
información de un móvil, está el tipo de contraseñas que usamos. Por lo
general, lo primero que debe evitarse es crear contraseñas basadas en
fechas de cumpleaños, secuencias numéricas básicas o alguna otra
información fácil de adivinar. Otra forma de acceder a un teléfono
protegido por contraseñas es utilizando el método conocido como “smudge attack“,
en donde se aprovecha el bloqueo por deslizamiento de dedo, hecho para
pantallas táctiles y que consiste en arrastrar el dedo siguiendo un
patrón para desbloquear el equipo. Con la ayuda de cámaras y software,
es posible adivinar las contraseñas con un 68% de efectividad.
Aquí una imagen relacionada al “smudge attack“:
Otra forma de sustraer información que pudimos tener conocimiento en
el seminario consiste en utilizar lo que se conoce como “ingeniería
social”, lo cual consiste en enviar mensajes a la víctima para manipular
la tendencia humana de confiar en alguien a beneficio del atacante y
así hacer que la víctima siga enlaces y visite sitios que pueden
contener malware dentro. Los ataques de este tipo son frecuentes en
medios como los SMS, Skype y redes sociales. Según lo informado, tampoco
se debe fiar uno de fuentes oficiales de aplicaciones como el Android Market,
pues existen reportes que indican que, tanto en marzo como en setiembre
de este año, se han detectado aplicaciones con malware dentro de esta
tienda de aplicaciones, las cuales han estado disponibles en el sitio
por más de un mes.
Al referirse a los resultados de los ataques a móviles, Denis nos
informa que una vez que la información ha sido robada o sustraída de la
víctima, esta puede venderse a terceros, a la competencia (en caso de
tratarse de empresas), usarse como chantaje, hacerse pública o borrarse o
modificarla a antojo del atacante.
Como medidas de prevención, Denis nos recomienda que no usemos redes
Wi-Fi públicas que no sean confiables, y al usarlas que sean de
preferencia cifradas con el estándar WP2. Otra recomendación es que en
su lugar se utilicen conexiones 3G o 4G, por ser más seguras que las
conexiones Wi-Fi. Las medidas de seguridad físicas incluyen vigilar
siempre el lugar donde se deja el dispositivo móvil, protegerlo
utilizando contraseñas largas y difíciles de adivinar, usar secuencias
largas si se trata de bloqueo del equipo por deslizamiento (conocido
como “swipe lock”), actualizar constantemente el sistema operativo y
aplicaciones en los smartphones, leer los permisos que se otorgan a
aplicaciones y sitios que se visitan, ignorar los mensajes de spam y SMS
relacionados, cifrar los datos y documentos confidenciales, evitar el “jailbreak” o “rooteado” de smartphones iOS y Android,
usar software para borrar todos los datos remotamente al tratarse de
empresas, y para finalizar, una enseñanza en general que es muy
importante mencionar y que hay que tener siempre en cuenta:
“No creas que un smartphone es más seguro que una PC”.
Le damos las gracias a Denis Maslennikov y a toda la gente de Kaspersky que hizo posible este seminario. Será hasta una próxima ocasión.
