Cómo proteger tu teléfono ante amenazas de seguridad móvil

Dentro de nuestro smartphone convive mucha información sensible y datos importantes. Te mostramos 20 maneras sencillas de mitigar el riesgo de amenazas móviles en tus dispositivos.

Todavía llamamos a los dispositivos móviles en nuestros bolsillos “teléfonos”, pero seamos honestos: son mucho más que eso.

El “teléfono móvil” de hoy es una computadora conectada a la internet, un dispositivo de almacenamiento de datos, un dispositivo de navegación y un grabador de sonido y video. También es un banco de bolsillo, un centro de redes sociales, una galería de fotos, etc.

Sin embargo, todas estas funciones hacen que nuestros dispositivos móviles sean objetivos extremadamente atractivos para actores maliciosos.

Como la mayoría de nosotros no queremos renunciar a la facilidad de tener todas nuestras necesidades en un solo dispositivo, ¿qué podemos hacer para mantenernos a salvo?

Dos palabras: seguridad móvil.

¿Qué es la seguridad móvil?

La seguridad móvil es la práctica de defender dispositivos móviles contra una amplia gama de vectores de ciberataques que amenazan la privacidad de los usuarios, credenciales de inicio de sesión, las finanzas y la seguridad. Comprende una colección de tecnologías, controles, políticas y buenas prácticas. Estas acciones nos protegen de todo tipo de amenazas de seguridad móvil.

¿Qué son las amenazas de seguridad móvil?

Una amenaza de seguridad móvil es un medio de ataque cibernético dirigido a dispositivos móviles como smartphones y tablets. De manera similar a un ataque de hackers en un PC o servidor empresarial, una amenaza de seguridad móvil explota vulnerabilidades en software móvil, hardware y conexiones de red para permitir actividades maliciosas y no autorizadas en el dispositivo de destino.

Entender las amenazas de seguridad móvil

Los atacantes tienen nuestros teléfonos en la mira. Quieren tomar el control de nuestros equipos, con el objetivo de usar la CPU para minar criptomonedas o hacerlos parte de botnets. Están detrás de nuestras identidades y cuentas, que pueden robar y vender por tan solo unos centavos, pero que se comercian por miles. Nuestras billeteras móviles e información financiera pueden ser secuestradas en beneficio de los ladrones.

Las amenazas de seguridad móvil también incluyen el robo de datos de inicio de sesión en redes corporativas. De hecho los ataques de phishing móvil, que utilizan SMS y correos electrónicos para que los destinatarios hagan clic en URL maliciosas, aumentaron un 85% durante el 2017.

Tipos de amenazas móviles

Lamentablemente, hay muchos tipos diferentes de amenazas de seguridad móvil. Los nuevos ataques suelen llamar la atención de los expertos en ciberseguridad, y estos son los más comunes:

Amenazas móviles en la web

Los sitios web móviles pueden descargar malware en nuestros dispositivos móviles sin nuestro permiso o sin que lo sepamos. El phishing es la manera típica en que los atacantes consiguen que hagamos clic en links a sitios que contienen amenazas móviles. Por ejemplo, un hacker podría configurar un sitio web que parezca legítimo –como nuestro sitio bancario– para capturar nuestros datos de inicio de sesión. Conoce más sobre el phishing aquí.

Existe software de seguridad en nuestros teléfonos que puede ayudar a detectar sitios web maliciosos e intentos de phishing. También vale la pena ser más cuidadoso y atento. Por ejemplo, es muy difícil que nuestras entidades de impuestos nos envíen correos solicitando nuestros datos. Es seguro que un correo electrónico que apunta a un sitio web de nuestra entidad de impuestos es una estafa.

Amenazas móviles en aplicaciones

Los hackers frecuentemente crean aplicaciones maliciosas que descargamos o incluso compramos. Una vez instaladas, estas aplicaciones pueden robar nuestros datos personales o gastar nuestro dinero. Ante este tipo de amenazas, es una buena práctica verificar los cargos a nuestras tarjetas de crédito y las compras con cuidado. 

Mantener el software móvil actualizado también ayuda a defenderse contra las aplicaciones maliciosas, ya que los fabricantes de dispositivos actualizan periódicamente su software para parchar las vulnerabilidades que explotan estas aplicaciones. El objetivo es proteger la información almacenada o accesible a través del dispositivo (incluyendo información personal, cuentas de redes sociales, documentos, datos de acceso, etc.).

Estos actores maliciosos a veces se esconden dentro de aplicaciones gratuitas conocidas y útiles que explotan vulnerabilidades o se aprovechan de ciertos permisos para luego descargar la parte maliciosa en el teléfono. Es importante que, cuando una aplicación solicite estos permisos, su uso esté justificado.

Amenazas de red

Los dispositivos móviles generalmente están conectados al menos a dos redes, y a veces a más. Esto incluye la conexión celular, la red de datos, Wi-Fi, Bluetooth y GPS. Los hackers pueden vulnerar cada uno de estos puntos de conexión para tomarse un dispositivo, engañar al usuario o penetrar en una red corporativa. La falsificación de WiFi, por ejemplo, es una amenaza en la que un atacante simula el acceso a una red WiFi abierta y engaña a los usuarios para que se conecten, para luego interceptar datos sensibles que están siendo procesados a través de esta red. Las sugerencias en este caso son apagar las antenas que no están en uso y asegurarse que las configuraciones de seguridad estén correctas, con el fin de evitar el acceso no autorizado a través de  WiFi.

Amenazas físicas

Esto puede sonar obvio, pero los teléfonos móviles son pequeños y sencillos de robar. También se pierden con bastante frecuencia. Sin la seguridad adecuada, un dispositivo móvil robado es un tesoro de información personal y financiera para un delincuente. Para mitigar las amenazas físicas a los dispositivos móviles, es aconsejable establecer contraseñas seguras y configurar el dispositivo para que se bloquee cuando no esté en uso. Por supuesto, el software antirrobo como Prey también ayuda a recuperar un teléfono perdido.

Implementar medidas de seguridad móvil en empresas

Las organizaciones que proporcionan dispositivos móviles a sus empleados o les permiten usar sus dispositivos personales para el trabajo primero deben establecer medidas de seguridad sólidas. Los riesgos son simplemente demasiado altos para que los departamentos de TI y los CISO (oficiales de seguridad empresarial) traten la seguridad móvil como una prioridad secundaria. 

Basados en nuestra experiencia trabajando con empresas en seguridad móvil, recomendamos seguir los siguientes pasos:

Establecer una política clara de uso móvil

Los dispositivos móviles deben estar por obligación en las políticas de seguridad de toda la organización. Las políticas de seguridad móvil idealmente deben cubrir las formas aceptables de uso, medidas antirrobo, configuraciones de seguridad obligatorias y más. El marco de políticas debe incluir el monitoreo del cumplimiento y la reparación de deficiencias.

Segmentar datos y aplicaciones en dispositivos empresariales

Es una buena práctica segmentar a los usuarios móviles en grupos, basándose ​​en roles con diferentes niveles de privilegio de acceso. Esto reduce el área de superficie de ataque expuesta si un dispositivo se ve comprometido. La segmentación de aplicaciones también evitará que los usuarios instalen software no deseado que pueda terminar infiltrándose en nuestra red empresarial.

Cifrar y minimizar la visibilidad de dispositivos con acceso a la red empresarial

Si un dispositivo se ve comprometido o robado, es mejor que el hacker no pueda acceder fácilmente a los datos del dispositivo. Por otro lado, no está bien que un dispositivo móvil se convierta en un pase gratuito a la red empresarial. Lograr este objetivo implica incluir identidades de dispositivos móviles y usuarios en un sistema integral de gestión de identidad y acceso (IAM, por sus siglas en inglés).

Instalar software de seguridad en dispositivos móviles

Esta es una táctica básica pero esencial. Los agentes de seguridad empresarial deben tratar los dispositivos móviles como cualquier otra pieza de hardware en la red corporativa.

Monitorear el comportamiento del usuario

Los usuarios móviles usualmente no saben que sus equipos están comprometidos, o cómo se ponen en riesgo. El monitoreo del comportamiento del usuario puede revelar anomalías que podrían apuntar a un ataque que está ocurriendo ahora. Además, el monitoreo automatizado también es crucial al asegurarnos que no se infrinjan las políticas de seguridad móvil de la organización.

Capacitar al personal en amenazas de seguridad

Las personas están acostumbradas a las libertades de un consumidor de dispositivos móviles. Es una política inteligente crear conciencia sobre los riesgos de seguridad corporativos inherentes a la tecnología móvil. Los programas de capacitación en seguridad deberían incluir: mantener seguros los dispositivos móviles, qué actividades se pueden realizar en dispositivos empresariales (y cuáles no), y qué prácticas cotidianas se pueden implementar para no ser víctimas de amenazas comunes.

Cómo hacer que tu teléfono sea más seguro

En el mundo post-pandemia de Coronavirus, las amenazas móviles se han vuelto peligrosas. Expertos de Estados Unidos y el Reino Unido aseguran que el Malware está dentro de las tres preocupaciones más grandes para profesionales TI. Esto hace que sea más crucial que nunca tomar las medidas necesarias para proteger su dispositivo personal de malware móvil y otras amenazas.

Qué pasos podemos dar para proteger nuestro teléfono, independientemente del sistema operativo:

Configura el bloqueo de pantalla con tu huella dactilar o reconocimiento facial

Tener una contraseña segura para acceder a tu equipo,  especialmente usando huella digital o reconocimiento facial, mantendrá tu teléfono a salvo de cualquier persona que pueda encontrarlo.

Usa una VPN

Las VPN esencialmente te proporcionan una conexión telefónica segura a un servidor privado, en lugar de tener que compartirla con todos los demás en la red pública. Esto significa que tus datos están más seguros porque están encriptados mientras viajan de un servidor a otro.

Instala un antivirus, especialmente si eres Android

Las soluciones antivirus dejaron de ser privilegio de los PCs hace bastante tiempo. Con la llegada de amenazas como Cerberus (que puede afectar a cualquier teléfono Android), millones de celulares están expuestos a malware que puede causar estragos: perder tu información personal o incluso ver tus datos expuestos.

En esta guía recomendamos opciones antivirus y de seguridad totalmente gratuitas.

Habilitar el cifrado de datos

La mayoría de dispositivos móviles ya tienen habilitado algún tipo de cifrado; si tu dispositivo no lo trae por defecto, puede ser configurado. El cifrado de datos puede proteger tu información de los hackers al recodificarla para no ser reconocida mientras viaja de servidor a servidor (cuando es más vulnerable).

Nunca instalar aplicaciones si no vienen de la App Store o la Google Play Store

Hay que decirlo: a veces queremos instalar aplicaciones riesgosas que no han pasado por el proceso de revisión de Apple o Google, aplicaciones que no están en la App Store o Google Play Store. Sin embargo, es muy probable que estas aplicaciones tengan malware u otras amenazas.

A menos que estés completamente seguro que ese .apk no presenta ningún riesgo, no lo hagas.

Configurar opciones de borrado remoto

Esta habilidad te permite eliminar cualquier dato de su teléfono, incluso si ya no está en tus manos. Es una gran característica de seguridad en caso que tu teléfono se pierda y no se pueda encontrar. El proceso para configurar el borrado remoto difiere según el dispositivo, pero alternativas como Prey pueden hacer mucho más fácil la tarea.

10 consejos de seguridad móvil para usuarios de Android

  1. Compra sólo teléfonos de proveedores que emitan parches para Android periódicamente
  2. No guardes todas las contraseñas en tu equipo
  3. Usa autenticación multifactor, o al menos de dos pasos (2FA)
  4. Aprovecha las funciones de seguridad que Android tiene incorporadas
  5. Asegúrate que la red WiFi sea segura (y cuidado con las redes públicas)
  6. Usa la aplicación de seguridad de Android
  7. Realiza una copia de seguridad de los datos del teléfono
  8. Prefiere aplicaciones descargadas desde Google Play
  9. Cifra tu dispositivo (si no está previamente cifrado)
  10. Usa una VPN

10 consejos de seguridad móvil para usuarios de iPhone

  1. Mantén actualizado el sistema operativo de tu iPhone (iOS)
  2. Activa la función “buscar mi iPhone”
  3. Configura un código más largo que el mínimo de 4 números
  4. Habilita la autenticación de dos factores
  5. Configura el teléfono en modo autodestrucción, es decir, que se borre después de 10 intentos fallidos de contraseña
  6. Cambia regularmente tus contraseñas de iCloud e iTunes
  7. Evita el Wi-Fi público y solo usa redes seguras
  8. Usa solo estaciones de carga confiables para iPhone
  9. Desactiva Siri en la pantalla de bloqueo del iPhone
  10. Revoca los permisos para usar la cámara y el micrófono en aplicaciones que no lo necesitan

Conclusiones

A medida que los hackers continúan atacando dispositivos móviles, es hora de tomar más en serio las amenazas a la seguridad del teléfono y la seguridad móvil. Los teléfonos móviles son igual de vulnerables, si no más, que un PC u otros tipos de hardware. Están expuestos a amenazas en forma de malware, ingeniería social, ataques web, ataques de red y robo.

Ya sea que estés a cargo de la seguridad de una organización, o estés buscando proteger tus propios dispositivos, prepárate de antemano con un plan. Te recomendamos comenzar con capacitación de sensibilización y políticas de seguridad sólidas, y luego pensar en la adopción de contraataques y técnicas para mitigar el riesgo.

Norman Gutiérrez - preyproject.com