jueves, 1 de noviembre de 2007

Riesgos en la palma de la mano

Mientras los ejecutivos móviles ganan eficiencia, las empresas pierden información.

Hace unos años -inclusive aún-, era normal llegar a una tienda de barrio y ver al vendedor de gaseosas con una carpeta llena de papeles y formatos para llenar a mano. Entre tanto, el tendero tenía que arreglárselas para recibir el pedido, atender sus clientes y responder la larga lista de preguntas que el vendedor le hacía.

Hoy en día las cosas parecen más fáciles. No es extraño ver a ese vendedor con un pequeño dispositivo en su mano y un curioso lápiz que sirve para digitar información que se conecta inmediatamente a un servidor central y envía información de lo que el cliente necesita.

Dejar en el pasado el papel y pasar a un modelo más tecnificado alegró a muchos vendedores y gerentes que vieron hace unos años cómo sus empresas se hacían más eficientes. Lo bueno es que esa tecnología móvil no solo ha beneficiado a la fuerza de ventas de grandes compañías, sino a ejecutivos de alto nivel y al común de la gente que necesita conectividad real.

Ahora es común que las PDA (Personal Digital Assistant) tengan mayores funcionalidades, ya que los teléfonos celulares y los computadores de mano se convirtieron en un solo dispositivo. Es más, los smart phones o teléfonos inteligentes incluyen hasta cinco dispositivos en uno solo y por eso sus ventas globales siguen en aumento.

Algunas cifras revelan que en el año 2006 alrededor de 64 millones de teléfonos inteligentes fueron vendidos, pero lo más importante de esta situación es el terreno que han ganado estos dispositivos, al punto que, para un ejecutivo, el celular se convirtió en su herramienta de trabajo, pues en medio del entorno laboral de hoy, ya no es necesario estar sentado ocho horas en una oficina, sino que la eficiencia también se logró en la calle, en las reuniones, en los eventos, de puertas para afuera.

Desde este panorama, la comunicación personal y empresarial -al usar estos dispositivos- no solo hizo salir de las oficinas a los empleados para que ganaran eficiencia, sino que también sacó la información de las empresas. Dichas aplicaciones móviles permiten que un vendedor o un ejecutivo tenga acceso a las bases de datos, estadísticas y documentos confidenciales que, en manos equivocadas, son un peligro para la seguridad de la información empresarial. O ¿a quién no le han robado su celular o perdido la PDA en algún lugar sin poder recuperarlo?

Pensando en esas situaciones, hoy en día la mayoría de los dispositivos vienen con variantes de bloqueo, contraseña y llaves, pero muy pocos tienen instalada alguna solución de seguridad propia, excepto aquellos que la tienen como protección del hardware al que se conectan o comunican.

Evidentemente, son diversos los puntos de vulnerabilidad en las soluciones móviles. Un estudio de Juniper Networks revela que, de aquí a los próximos cinco años, 247 millones de dispositivos tendrán instalado software de seguridad móvil, lo que representará tan solo un 8% del total de equipos en uso en el mercado global. Con una cifra tan baja y unos altos niveles de inseguridad en redes móviles, la situación tiene que preocupar, ya que la seguridad no solo incluye al dispositivo móvil, sino a la transmisión de datos, las redes corporativas, así como la administración de las soluciones.

En este sentido, Andrés Ramírez, gerente de Fábrica de Sysgold, explica cómo se debe mejorar la seguridad de las redes: “Los datos pueden protegerse si se establece criptografía de datos durante la transmisión wireless o wired; se hace un cierre de un túnel entre el dispositivo móvil y el servidor corporativo vía VPN (Virtual Private Network); se utilizan patrones como SSL (Secure Socket Layer) y TLS (Transport Layer Security) o se usan sockets combinados con mecanismos de criptografía. Además del bloqueo de la comunicación externa (Bluetooth, infrarrojo, cable/cradle) vía contraseña.

Entre virus y otros males

El tema de seguridad móvil se ha vuelto tan importante que los expertos aseguran que el nuevo reto de los hackers van a ser los dispositivos electrónicos. Los móviles multimedia y los futuros terminales de tercera generación (UMTS) capacitados para realizar conexiones a la internet a alta velocidad y descargar audio, video y otros contenidos, son los más frágiles.

Con estos móviles, los virus serán una realidad cotidiana y todo el mundo deberá tener antivirus en su celular no solo para asegurar la información, sino para no ser víctimas de terrorismo digital. Pero curiosamente los mismos fabricantes de estos dispositivos consideran que es poco el software existente que se puede incluir en el hardware para garantizar su seguridad.

Entre tanto, el robo de identidad, las amenazas de malware, la falta de reglas de gobernabilidad corporativa, siguen dejando espacio a los delincuentes, mientras el robo de teléfonos celulares continúa creciendo en un 4% anual, y aquella idea de empleados eficientes conectados por medio de las redes móviles, se pone en duda.

Para reducir esos temores, algunos fabricantes de celulares han optado por desarrollar aplicaciones que bloquean los accesos o, en caso de robo del dispositivo, remotamente se puede borrar la información del equipo robado.

Pero como los riesgos de seguridad no solo están en los dispositivos, sino en las redes inalámbricas, la responsabilidad no recae únicamente en la empresa que usa el servicio, sino en los operadores que transmiten por sus redes datos, voz o video.

En el caso de los SMS, los mecanismos de control son más comunes y ahí los operadores tienen mucho que ofrecer. “Los servicios de mensajes de texto operan en redes privadas, en las cuales siempre se sabe quién origina el mensaje, porque hay un registro a nivel interno que permite dilucidar el teléfono celular desde el que salió el mensaje”, comenta Carlos Sierra, gerente de Inalambria.

Por su lado, las empresas también tienen herramientas para reducir esos potenciales ataques. Los antivirus para dispositivos móviles se han convertido en un buen negocio para los fabricantes de soluciones de seguridad y el auge de estas aplicaciones reduce los niveles de incertidumbre en los empresarios dispuestos a invertir en soluciones móviles para la fuerza de ventas o para sus ejecutivos de alto nivel.

Pero no hay que descuidar un tema que apenas empieza a vislumbrarse en América Latina: la banca móvil. Un reciente estudio de la firma internacional TowerGroup explica que el éxito de la banca móvil dependerá de los niveles de seguridad que establezca el sistema financiero. El asunto es que dichos expertos advierten que los cybercriminales y los ladrones de identidad pondrán mucha atención en la banca móvil durante el 2007.

Es mucho lo que falta por ver y sobre todo por hacer. El temor es latente mientras la información empresarial siga rodando por la calles. El reto principal de la seguridad móvil es un tema cultural en la organización, además de la capacidad que debe tener la empresa para proteger a la fuerza de trabajo móvil de las amenazas que encontrarán cuando utilicen puntos de acceso inalámbricos en cualquier parte del mundo. Sin embargo, en este momento cualquier tecnología de protección es tristemente insuficiente.

Consejos para mejorar la seguridad móvil
Establezca un mecanismo de autenticación, para evitar el acceso al dispositivo por personas no autorizadas.

Desarrolle una política de uso de contraseñas, para garantizar que la contraseña usada siga los requisitos de seguridad establecidos.
Trabaje con criptografía de datos para dar acceso a la información, restringida a personas autorizadas.

Establezca un sistema de autodestrucción de datos y/o bloqueo del dispositivo móvil para evitar la utilización de artificios que encuentren la contraseña de acceso.
Cree una asociación unívoca entre el usuario y el dispositivo móvil, para dar acceso al dispositivo móvil restringido a un usuario individual.

Restrinja el uso de aplicaciones o accesos solo a personas autorizadas, así como el uso de recursos de hardware.
Implante un sistema de autoprotección o protección del dispositivo independiente de la acción del usuario.

Código Malicioso Móvil

Debido al incremento potencial del código malicioso que apunta a los teléfonos inteligentes móviles, empresas de seguridad como Trend Micro han detectado las siguientes amenazas:
Mayor población de dispositivos objetivo. De acuerdo con Gartner, los smartphones representarán 27% de todos los nuevos teléfonos vendidos en 2009. Los analistas estiman que 80 millones de teléfonos inteligentes se distribuirán en 2006. Los criminales motivados por las ganancias económicas buscan vectores de entrega con muchos usuarios, haciendo a los smartphones un objetivo en constante crecimiento.

Velocidades de datos más rápidas. Usando el servicio general de radio de paquetes (GPRS), un archivo de 1MB puede transferirse en aproximadamente 4 minutos. Usando el acceso de paquetes downlink de alta velocidad (HSPDA) 3G, la cantidad de tiempo se reduce a 15 segundos. Las velocidades de datos más rápidas incrementan considerablemente la posibilidad de infección.
Popularidad con desarrolladores. Es muy probable que los ciber criminales exploten las vulnerabilidades de las plataformas de teléfonos más populares.

Aumento del poder de cómputo. Los dispositivos móviles convergentes de hoy corren software altamente avanzado y tiene poder de cómputo equivalente a las PCs de escritorio que se vendían hace menos de una década.
Roban un promedio de 25.000 móviles mensuales en Argentina

Estadísticas de la Cámara de Informática y Comunicaciones señalan que en promedio se robaron alrededor de 25.000 celulares por mes en los últimos 18 meses. Los robos aumentaron sustancialmente desde la devaluación del peso, que triplicó el precio de los equipos.

El mercado móvil Argentino

* Telecom Personal - 2 Millones
* Unifon (Telefónica Móviles) - 1,85 millones
* Movicom Bellsouth - 1,75 millones

El robo de teléfonos móviles en Argentina ha causado pérdidas por unos 80 millones de pesos (27,8 millones de dólares) en el último año y medio, según datos de la Cámara de Informática y Comunicaciones.

Las estadísticas de la asociación empresarial, publicadas ayer por el diario de negocios "Infobae", indican que en promedio se robaron alrededor de 25.000 teléfonos móviles por mes en los últimos 18 meses.

Los robos aumentaron sustancialmente desde la devaluación del peso, en enero de 2002, que triplicó el precio de los teléfonos móviles, frenó su importación e hizo que desaparecieran los planes de financiación para la compra de estos aparatos.

El alza de este tipo de delitos causa preocupación a los fabricantes y las compañías de telefonía móvil, debido a la aparición de un mercado negro, indicaron fuentes empresariales.

Argentina tiene el mayor mercado de telefonía móvil de Sudamérica con alrededor de siete millones de usuarios. El mercado es liderado por Telecom Personal, controlada por el grupo Werthein argentino y Telecom Italia; con dos millones de clientes, seguida por Unifón, del grupo español Telefónica, con 1,85 millones, y Movicom BellSouth, de Estados Unidos, con 1,75 millones de usuarios.

Una vez robado un teléfono móvil, la práctica más habitual es venderlo a casas de reparación no oficiales que, a su vez, lo colocan a precios más bajos que los del circuito legal, explicaron las fuentes empresariales.

A los aparatos que no pueden venderse en el mercado local se los coloca en el exterior y Estados Unidos aparece como uno de los destinos más receptivos para estos equipos, al igual que Bolivia, Paraguay y Brasil, aseguraron.

Las telefónicas y las fábricas de teléfonos celulares comparten bases de datos sobre sus clientes, pero los ladrones actúan tan rápidamente en volver a colocar los equipos robados que las empresas se han visto obligadas a actualizar sus registros dos veces al día, indicó un portavoz de la coreana Samsung al periódico.

El gerente de Servicios de Comunicaciones Personales de Motorola, Hernán Miodosky, apuntó a su vez que aquellos teléfonos que no vuelven al mercado son desarmados para vender sus piezas en centros de reparación no oficiales.

"Por ello, siempre recomendamos a los usuarios que cuando necesiten un servicio técnico recurran a los centros oficiales autorizados, para no tener problemas", comentó.

Fuentes:
- Andrés Ramírez, gerente de Fábrica de Sysgold.
- Estudio Juniper Networks. Seguridad 2006.
- Carlos Sierra, gerente de Inalambria.
- Entrevista Guillermo Kopp, vicepresidente de industria Cruzada. TowerGroup.

http://www.microsoft.com/panama/empresas/connect/newsletter/agosto/seguridadmovil.mspx
http://www.asamblea.go.cr/proyecto/15700/15769.doc
http://www.prensalibre.com/pl/2007/octubre/09/184603.html
http://www2.noticiasdot.com/publicaciones/2003/1103/1811/noticias181103/noticias181103-1.htm

Publicado por www.segu-info.com.ar