Recuerda: hace sólo una década, la información más sensible que contenía un teléfono de empresa era la lista de contactos y sus números de teléfono. Hoy en día, el smartphone de un empleado es un concentrado de datos estratégicos y confidenciales, continuamente conectado a Internet. En definitiva, el Santo Grial para todos los hackers del planeta. Y esto es suficiente para que los responsables de informática presten atención a este hecho.
Entonces, ¿cómo asegurar los smartphones de una empresa? Te lo contamos todo.
Actualizaciones: ¡activa la actualización automática!
La ciberseguridad es una carrera entre hackers y expertos en seguridad. Los primeros buscan defectos, los segundos los rellenan con parches. Las actualizaciones del sistema operativo y de las aplicaciones móviles son esenciales para corregir los fallos de seguridad. Y los empleados que no lo hacen exponen sus dispositivos a amenazas.
¿La solución? Las herramientas de gestión de flotas de Unified Endpoint Management (UEM) automatizan las actualizaciones de todos los dispositivos de una organización. Ofrecen una protección llamada «estática» contra los ataques más comunes. Sin embargo, es importante tener en cuenta que no son eficaces contra el malware de día 0 (malware que no figura en las bases de datos de virus). Sólo las tecnologías más avanzadas, capaces de detectar un «uso inusual» del teléfono móvil, pueden advertir de una amenaza en curso. Otro punto positivo de estas herramientas es que también pueden utilizarse para generalizar las configuraciones decididas por el departamento de informática (descarga o no de archivos adjuntos, descarga de determinadas aplicaciones móviles, etc.).
Phishing: ¿es buena la pesca?
La suplantación de identidad es una práctica habitual de la que las empresas son víctimas regularmente. Un problema que es aún más preocupante con el desarrollo de los teléfonos móviles. De hecho, un estudio de Orange Cyberdefense muestra que los empleados están menos atentos en sus teléfonos: es 3 veces más probable que hagan clic en un enlace fraudulento desde la pantalla de su móvil que desde su ordenador.
Cada vez son más los hackers que recurren al smishing, o suplantación de identidad por SMS. En este caso, el usuario hace clic en un enlace recibido por mensaje de texto, que le hace creer que se ha detectado un ataque, y es redirigido a una página que le ofrece descargar un antivirus y que en realidad instala el propio virus.Contra el phishing en las empresas, la mejor protección sigue siendo la concienciación de los empleados. Lo ideal es también desplegar un buen filtro de spam para bloquear los mensajes de phishing. Por último, y cuando las amenazas son demasiado recurrentes, es aconsejable utilizar servicios de detección de phishing (envío de alertas en cuanto se inician los ataques, transmisión de información a los editores de software antivirus, etc.).
Redes públicas: la alfombra roja para los hackers
Según una encuesta de Verizon, el 81% de los empleados admite que utiliza redes Wi-Fi públicas para trabajar, principalmente cuando viaja. Además, los piratas informáticos pueden crear muy fácilmente puntos de acceso Wi-Fi falsos o aprovechar las lagunas de las redes Wi-Fi públicas oficiales para atacar un dispositivo móvil. Del mismo modo, los teletrabajadores suelen conectarse a un router poco seguro (entre nosotros, ¿quién no conoce a un amigo que cambió la compleja contraseña de su proveedor por «hola123»?)
El uso de una VPN es una solución eficaz contra esta amenaza (y muchas otras). Las VPN proporcionan un canal de intercambio seguro que protege al empleado de las interferencias y el espionaje durante la navegación. También oculta la ubicación geográfica, la dirección IP y encripta los datos. En definitiva, la VPN deslocaliza la conexión, obligando a los empleados a pasar por el filtro informático de su empresa.
Aplicaciones móviles espías: cuando Candy Crush puede hundir un negocio.
Esta es una práctica común y cada vez más sofisticada. Una vez instalada, la aplicación móvil puede solicitar derechos (localización GPS, acceso al correo electrónico, activación del micrófono, etc.) que serán aprovechados por los ciberdelincuentes. Según un estudio reciente, centrado en las aplicaciones de Android, los problemas de seguridad afectan a miles de aplicaciones: «La evaluación reveló una situación preocupante. Identificamos 12.706 aplicaciones que contenían diversas puertas traseras, como claves de acceso secretas, contraseñas de administrador y comandos secretos», explican los investigadores.
Aunque los mecanismos de detección de Google Play Store y Apple Store son cada vez más sofisticados, algunas aplicaciones siguen colándose en la red. Por eso es fundamental concienciar a los empleados y recomendarles que lean los comentarios de una aplicación móvil antes de instalarla. Del mismo modo, es aconsejable evitar las apps mal valoradas, sin puntuación o que requieran un número excesivo de autorizaciones (acceso al micrófono, mensajería, etc.). Al mismo tiempo, los responsables de informática pueden, por supuesto, equipar los móviles con soluciones que analicen el comportamiento de las aplicaciones y les alerten en caso de duda.
El rápido y caótico desarrollo de la movilidad en las empresas ha aumentado el número de puntos de entrada para los hackers, y ha debilitado los sistemas de informática. Según una encuesta de Verizon, el 33% de las empresas ya había experimentado una brecha de seguridad móvil en 2018. El despliegue de nuevas herramientas para acompañar las recientes políticas de teletrabajo es una gran oportunidad para recordar las buenas prácticas de seguridad móvil. Porque aunque a los hackers no les falta imaginación a la hora de crear nuevas estrategias de ataque, las empresas están lejos de estar indefensas.
Recent Comments