El día de hoy tuvimos el gusto de conversar nuevamente con otro representante de Kaspersky. en este caso se trató de Denis Maslennikov, analista senior de malware de Kaspersky Lab, quien ofreció una conferencia llamada "Un Mundo Peligroso más allá de las PC's: Ataques dirigidos a Dispositivos Móviles". En dicho seminario se trataron diversos temas, como el crecimiento de malware para móviles en los últimos años, los métodos que se utiliza para robar información de datos corporativos almacenados en un móvil, las formas de sustraer información, sea física o virtual, y los resultados y beneficios que implica obtener la información de manera ilícita. Al final Denis ofrece consejos de seguridad para tener siempre presente.

Primero, Denis presenta cuadros estadísticos que nos demuestran cuánto ha aumentado la cantidad de dispositivos móviles de usuarios entre el año 2009 y el 2011. En este cuadro se puede apreciar que los países con mayor consumo de móviles se encuentran en Asia, Norteamérica y Europa Occidental. El cuadro lo pueden apreciar a continuación:

Luego de este cuadro, Denis nos muestra un gráfico que representa los porcentajes de malware disponibles para cada sistema operativo móvil. En dicho gráfico se puede apreciar que el malware para móviles está dirigido en su gran mayoría a equipos con sistema operativo Android, con un gigantesco 95, 80 % del total. El gran competidor de Android, iOS, presenta por otro lado un porcentaje muy pequeño de solo 0.62%, lo cual se traduce en un sistema más confiable y seguro. Denis nos informa que esto tampoco debe alarmarnos en gran manera si es que usamos dispositivos Android, puesto que si tomamos las precauciones y medidas necesarias, no seremos afectados por el malware. Él nos dice que se trata de un balance de flexibilidad versus seguridad.

A continuación el gráfico mencionado:

Otro enfoque que realizó fue el procedimiento de un ataque a un dispositivo móvil. Para esto, Denis nos mostró que uno de los medios más sencillos y eficaces son precisamente las redes sociales. Por ejemplo, en la siguiente imagen se aprecia cómo se puede acceder a perfiles de personas y obtener su información profesional, así como datos sobre su carrera y centros de estudio:

Asimismo, se puede acceder a información tan importante como números telefónicos para el caso de empresas, todo ello ingresando a información disponible para todo público:

A esto se añade la información que se hace pública por los usuarios de móviles cuando envían e-mails o publican en redes sociales, puesto que dicha información viene acompañada por una firma que brinda el nombre del dispositivo usado. Por ejemplo, cuando los usuarios de equipos BlackBerry publican en Facebook, debajo de la publicación aparece un mensaje que dice algo como "publicado desde un BlackBerry".

Otros modos de sustraer información incluyen la interceptación de datos vía Wi-Fi, conocido como "sniffing".

Siguiendo con el seminario, Denis nos habló de los métodos físicos para sustraer información de los móviles. Entre ellos está, obviamente, el robo del equipo, o su reemplazo por otro parecido. Para ello, Denis nos mostró unas imágenes de la aclamada película "El Caballero de la Noche", donde logran colocar un teléfono dentro de un edificio, confundiéndolo con otro idéntico y logrando así al acceso a un mapa en 3D de todo el edificio donde se encuentra el Guasón. El fin de esta demostración es enfatizar la personalización de los equipos, pues si un tercero quiere ingresar un objeto extraño, la forma más sencilla de hacerlo consiste en usar un dispositivo como un teléfono celular de modelo popular.

Entre los consejos que nos ofrece Denis para resguardar la información de un móvil, está el tipo de contraseñas que usamos. Por lo general, lo primero que debe evitarse es crear contraseñas basadas en fechas de cumpleaños, secuencias numéricas básicas o alguna otra información fácil de adivinar. Otra forma de acceder a un teléfono protegido por contraseñas es utilizando el método conocido como "smudge attack", en donde se aprovecha el bloqueo por deslizamiento de dedo, hecho para pantallas táctiles y que consiste en arrastrar el dedo siguiendo un patrón para desbloquear el equipo. Con la ayuda de cámaras y software, es posible adivinar las contraseñas con un 68% de efectividad.

Aquí una imagen relacionada al "smudge attack":

Otra forma de sustraer información que pudimos tener conocimiento en el seminario consiste en utilizar lo que se conoce como "ingeniería social", lo cual consiste en enviar mensajes a la víctima para manipular la tendencia humana de confiar en alguien a beneficio del atacante y así hacer que la víctima siga enlaces y visite sitios que pueden contener malware dentro. Los ataques de este tipo son frecuentes en medios como los SMS, Skype y redes sociales. Según lo informado, tampoco se debe fiar uno de fuentes oficiales de aplicaciones como el Android Market, pues existen reportes que indican que, tanto en marzo como en setiembre de este año, se han detectado aplicaciones con malware dentro de esta tienda de aplicaciones, las cuales han estado disponibles en el sitio por más de un mes.

Al referirse a los resultados de los ataques a móviles, Denis nos informa que una vez que la información ha sido robada o sustraída de la víctima, esta puede venderse a terceros, a la competencia (en caso de tratarse de empresas), usarse como chantaje, hacerse pública o borrarse o modificarla a antojo del atacante.

Como medidas de prevención, Denis nos recomienda que no usemos redes Wi-Fi públicas que no sean confiables, y al usarlas que sean de preferencia cifradas con el estándar WP2. Otra recomendación es que en su lugar se utilicen conexiones 3G o 4G, por ser más seguras que las conexiones Wi-Fi. Las medidas de seguridad físicas incluyen vigilar siempre el lugar donde se deja el dispositivo móvil, protegerlo utilizando contraseñas largas y difíciles de adivinar, usar secuencias largas si se trata de bloqueo del equipo por deslizamiento (conocido como "swipe lock"), actualizar constantemente el sistema operativo y aplicaciones en los smartphones, leer los permisos que se otorgan a aplicaciones y sitios que se visitan, ignorar los mensajes de spam y SMS relacionados, cifrar los datos y documentos confidenciales, evitar el "jailbreak" o "rooteado" de smartphones iOS y Android, usar software para borrar todos los datos remotamente al tratarse de empresas, y para finalizar, una enseñanza en general que es muy importante mencionar y que hay que tener siempre en cuenta:

"No creas que un smartphone es más seguro que una PC".

Le damos las gracias a Denis Maslennikov y a toda la gente de Kaspersky que hizo posible este seminario. Será hasta una próxima ocasión.