Cinco amenazas reales contra la seguridad móvil y cómo afectan a su negocio

CR-1990-ES-A4 v1.1

401 East Middlefield Road Mountain View, CA 94043 EE. UU. Tel. +1.650.919.8100 Fax +1.650.919.8006 info@mobileiron.com

2

Las ciberamenazas han avanzado rápidamente y ya no son aquellos torpes pirateos con errores ortográficos y mal ejecutados por correo electrónico; de hecho, ahora muchos de ellos son tan sofisticados como para engañar hasta a los usuarios corporativos más hábiles. Si uno de estos vectores de amenaza logra abrir una grieta en la seguridad de un solo punto de conexión de su empresa, puede ejecutar rápidamente una serie de vulnerabilidades no detectadas que permitan que los «hackers» ganen cada vez más acceso y así provocar daños a su organización, a su reputación y al precio de sus acciones.

Las empresas de todo el mundo corren un mayor riesgo de sufrir una filtración de datos importante y la mayoría son conscientes de esta amenaza cada vez mayor. Según un informe de 2018, el 93 % de los encuestados afirmó que los dispositivos móviles presentan una amenaza importante cada vez mayor que debería tomarse más en serio. Para evitar estos tipos de filtraciones en la era de la informática corporativa sin perímetros, es necesario entender claramente cómo funcionan estas amenazas a día de hoy. Y, lo que es más importante, requiere una arquitectura de seguridad «zero trust» que proporcione seguridad de un extremo a otro en todos los puntos de conexión, aplicaciones, redes y servicios en la nube.

Este eBook está diseñado para ayudarle a comprender cómo las amenazas móviles pueden vulnerar fácilmente el comportamiento de los usuarios y, en última instancia, obtener un inquietante nivel de control de toda su empresa. Cabe destacar, además, que este eBook explica cómo MobileIron Threat Defense (MTD) admite una arquitectura «zero trust» con protección integrada que bloquea las amenazas y protege a su empresa desde el punto de acceso más vulnerable: los usuarios.

1 http://www.verizonenterprise.com/resources/mobile_security_index_2018_en_xg.pdf

«Phishing»

Ataque a la red

Amenaza de las aplicaciones

Perfiles de configuración malintencionados

Peligro avanzado en el dispositivo

Tipos de amenazas:

3

¿Qué es?

El «phishing» es un tipo de ataque de ingeniería social que se usa a menudo para robar datos del usuario, como sus credenciales de inicio de sesión y números de tarjeta de crédito, o bien para engañar a los usuarios haciendo que realicen una acción que pone en peligro la seguridad de la información. Un ataque de este tipo se hace pasar por una fuente fiable y engaña a la víctima para que haga clic en un anuncio o abra un mensaje que enlaza a un sitio web malintencionado. A menudo, este tipo de ataques son muy sofisticados y parecen venir de un usuario conocido, como un compañero de trabajo o un socio. Suelen también duplicar páginas web y así engañan a los usuarios que introducen sus credenciales y su información de identificación personal (PII, por sus siglas en inglés).

Caso de uso

Un usuario que está leyendo las noticias en Yahoo desde un iPhone se ve interrumpido por un anuncio que se apodera del navegador. Esto también se conoce como redireccionamiento forzado de anuncios. En este caso se hace pasar por una alerta de seguridad de Apple que le dice al usuario que hay un virus en el iPhone y le explica cómo instalar una VPN para proteger los datos. En el momento en el que el usuario hace clic en «Instalar», se descarga un perfil iOS malintencionado en el dispositivo. Los perfiles malintencionados permiten que los atacantes cambien la configuración y el funcionamiento del dispositivo de modo que sean capaces de interceptar y descifrar el tráfico de red, que a menudo es un antecedente de ataques de tipo «man-in-the-middle» (MITM).

Tipo de amenaza: «phishing»

El vector de ataque más común de 2019 es el «spear phishing». Este tipo

de ataques se dirige a una organización, empresa o persona por su función dentro

de la entidad (también conocido como «whale phishing», donde se «hackea»

a ejecutivos de nivel C). Los ataques de «phishing» están diseñados para obtener

las credenciales del empleado y lograr el acceso a la inteligencia corporativa, información sobre inversores y otros

datos que pueden venderse o usarse para perjudicar a la empresa.

4

Repercusiones para la empresa

Según un informe de FireEye de 2018, los usuarios móviles son los que corren un mayor riesgo de recibir correos de «phishing» porque los clientes de correo electrónico en dispositivos móviles suelen mostrar solo el nombre del remitente, que suele ser un contacto de confianza.2 Como resultado, es más probable que los usuarios de dispositivos móviles abran el mensaje y hagan clic en una URL malintencionada. Un ataque de «phishing» por URL puede llevar al robo de las credenciales de inicio de sesión y de la contraseña, además de a la instalación de un perfil sospechoso en el dispositivo, gracias a lo cual el «hacker» tendrá acceso a todas las aplicaciones y datos tanto corporativos como personales del dispositivo. Esto significa que el departamento informático de la empresa debe pensar inmediatamente en soluciones para proteger a los usuarios de este tipo de ataques, que a menudo son la puerta de acceso a la empresa.

2 https://www.csoonline.com/article/3241727/mobile-security/6-mobile-security-threats-you-should-take-seriously-in-2019.html

Protección de MobileIron

MTD protege frente a los ataques de «phishing» en correos electrónicos, mensajes de texto o instantáneos al impedir a los usuarios que accedan a estos sitios malintencionados. Cada vez que un usuario hace clic en un enlace, MobileIron puede detectar inmediatamente si la URL es malintencionada. En caso afirmativo, el usuario recibirá un mensaje en su dispositivo móvil explicando que la página puede llegar a ser malintencionada y, por ende, se bloquea.

Actualizaciones del software con troyanos

Vulnerabilidades del servidor web

Correos electrónicos de «spear-phishing»

Sitios web con ataques de tipo «watering hole»

6 %3 %

71 %

24 %

Fuente: Informe sobre amenazas de seguridad de Symantec de 2018

Vectores de amenaza y técnicas de «hackeo»

5

¿Qué es?

Un ataque a la red puede provenir de fuentes internas o externas, como por ejemplo una organización malintencionada muy bien organizada, una entidad extranjera o un «lobo solitario» profesional. Estos atacantes conocen a la perfección el diseño de la red y tienen las destrezas necesarias para desarrollar nuevas técnicas de ataques en red y modificar las herramientas existentes para sus vulnerabilidades. Por ejemplo, un punto de acceso no autorizado puede instalarse en una red corporativa para lanzar un ataque MITM, que intercepta las comunicaciones entre un cliente y un servidor.

Caso de uso

En este ejemplo, un «hacker» configura puntos de acceso no autorizados para atacar una firma de servicios financieros. Este ataque funciona manipulando el comportamiento de los teléfonos móviles, que están diseñados para escanear continuamente su «vecindario» y conectarse a las redes que recuerdan, como las Wi-Fi gratuitas de espacios públicos con mucho tráfico como aeropuertos, cafeterías y hoteles. Estos puntos de acceso no autorizados pueden pedirle al usuario que cree un nombre de usuario y una contraseña para poder tener acceso. Los dispositivos de los empleados se conectan inmediatamente a los puntos de acceso no autorizados creyendo que son de confianza para la red de la empresa.

Ataque de puntos de acceso no autorizados contra una firma financieraAtaque de tipo «Man in the Middle»

El «hacker» configura puntos de acceso

no autorizados

Los teléfonos conectados creen que se trata de la red

de la firma financiera

MTD lo detecta y desconecta

El ataque «Man-in-the-middle» no puede

escanear y convertir los dispositivos en armasMobileIron Threat

Defense los detecta y bloquea aquí

Tipo de amenaza: ataque a la red

6

Repercusiones para la empresa

Las amenazas móviles pueden dirigirse a los puntos de conexión a través de una «piña Wi-Fi» o «Pineapple» —un dispositivo que se puede usar para recopilar información de usuarios confiados de redes Wi-Fi públicas— o un portal cautivo falsificado que recopile nombres de usuario, contraseñas y otros datos confidenciales de los usuarios. Este tipo de ataques también puede lanzar una vulnerabilidad, como por ejemplo un ataque MITM, que puede permanecer en el dispositivo. Esto permite al «hacker» volver al dispositivo posteriormente y aprovecharse o extender el malware a otros sistemas y usuarios en la red.

Protección de MobileIron

MTD es capaz de detectar los puntos de acceso no autorizados y desconectarlos de la red. Esto hace que los ataques MITM no puedan escanear y usar los puntos de conexión para recopilar datos valiosos, como nombres de usuario y contraseñas, ni recopilar datos potencialmente confidenciales, como información de las cuentas. Vea un ataque de red en acción y descubra cómo MTD detecta y corrige el ataque en el dispositivo aquí.

Ver un vídeo de demostración

La falsificación de redes ha aumentado drásticamente,

pero menos del 50 % de las personas seguriza su conexión cuando utiliza redes públicas.

CSO, «7 mobile security threats you should take seriously in 2019» («Seis amenazas a la seguridad

móvil que deberían tomarse en serio en 2019»), 20 de noviembre de 2018

7

¿Qué es?

Una aplicación malintencionada es software dañino que tiene una apariencia normal, como la aplicación de un juego, y por eso mismo a los usuarios les cuesta identificarla. Puede unirse a código legítimo y propagar de forma silenciosa una vulnerabilidad dentro de una organización o por Internet. En 2017, hubo casi un millón de aplicaciones falsas en la Google Play Store, incluidas las versiones falsas del 77 % de las 50 principales aplicaciones gratuitas.3

Caso de uso

Un empleado de un banco internacional está haciendo un viaje de negocios y accede a archivos corporativos desde un dispositivo Android no actualizado. Aunque la organización tiene instalado Android for Work en el dispositivo para proteger los datos y el acceso al banco, el usuario había descargado sin saberlo una aplicación malintencionada que descifró o puso en riesgo el dispositivo entero. La aplicación también pudo obtener datos personales, información de pago y otra información confidencial del usuario.

3 BT, «Malicious apps: What they are and how to protect your phone and tablet» («Aplicaciones malintencionadas: qué son y cómo proteger el teléfono y la tableta»), 27 de junio de 2018.

Aplicación malintencionada en un banco internacionalElevación de los privilegios (EOP, en inglés) mediante aplicación malintencionada

El empleado estaba trabajando

en África con un dispositivo Android

desactualizado

El banco usaba Android for Work para proteger

los datos y el acceso del banco

El usuario instaló una aplicación

malintencionada en la parte personal

que descifró todo el dispositivo

MTD detectó la EPO y retiró el dispositivo

del servicio

Evitó que se pudieran robar todos los datos

del dispositivo (de cualquier fuente a la que el usuario

o el dispositivo tuviera acceso)MobileIron Threat Defense

los detecta y bloquea aquí

Tipo de amenaza: amenaza de las aplicaciones

8

Repercusiones para la empresa

Se puede instalar una aplicación que no sea de confianza en dispositivos Android o iOS de forma que omita las app stores legítimas. Una vez instalada, esta aplicación puede crear un vector de amenaza que puede escapar del contenedor aislado del sistema operativo y crear una conexión VPN con un servidor en la web oscura. Una vez establecida esta conexión, a menudo sin que el usuario del dispositivo lo sepa, el atacante puede extraer datos personales o corporativos confidenciales del dispositivo, descifrarlos y redireccionar el tráfico desde el dispositivo hasta su sitio web y, además, realizar más ataques dañinos en el futuro. Esto tiene el potencial de extraer los datos corporativos y enviarlos a un tercero, por ejemplo a la competencia, y exponer información confidencial sobre el producto o la empresa para fuentes que no son de confianza. Según el estudio Verizon Mobile Security Index, solo el 59 % de las empresas encuestadas restringen las aplicaciones que descargan sus empleados de Internet en sus teléfonos móviles.4 Esto puede generar una peligrosa brecha de seguridad que deje expuestas las aplicaciones y los datos corporativos ante una gran variedad de amenazas para las aplicaciones.

Protección de MobileIron

MTD puede bloquear amenazas para las aplicaciones poniendo el dispositivo en cuarentena cuando se detecta una anomalía. Esto evita que el ataque a la aplicación acceda a cualquier dato del dispositivo o de cualquier fuente a la que el usuario o el dispositivo tenga acceso. Vea un ataque contra aplicaciones en acción y descubra cómo MTD detecta y corrige la aplicación malintencionada en el punto de conexión móvil.

Solo el 59 % de las organizaciones restringen qué

aplicaciones los empleados descargan de Internet en sus

dispositivos móviles.Verizon Mobile Security Index 2018

Ver un vídeo de demostración

En 2017, hubo casi un millón de aplicaciones falsas en la

Google Play Store, incluidas las versiones falsas del

77 % de las 50 principales aplicaciones gratuitas.

BT, «Malicious apps: What they are and how to protect your phone and tablet»

(«Aplicaciones malintencionadas: qué son y cómo proteger el teléfono y la tableta»),

junio de 2018

4 Verizon Mobile Security Index 2018

9

¿Qué es?

Los perfiles de configuración están diseñados para ayudar a los proveedores a administrar dispositivos mediante MDM. No obstante, los ciberatacantes han logrado vulnerarlos para asumir el control y entrar en el dispositivo. Las aplicaciones aisladas no pueden interactuar con otras aplicaciones en el dispositivo, pero los perfiles de MDM pueden eludir el contenedor aislado y engañar a los usuarios para hacer que concedan privilegios elevados. Piense en la frecuencia con la que una aplicación solicita acceso a la ubicación, a las fotos, a los contactos, etc. del usuario. Como respuesta, el usuario suele decir que sí solo para conseguir descargar la aplicación en el dispositivo o para quitar la solicitud de la pantalla.

Una vez descargado, el perfil malintencionado puede instalar certificados de raíz en un punto de conexión iOS evitando los ajustes de seguridad. Esto permite al perfil malintencionado configurar ajustes a nivel de sistema, como la Wi-Fi, la VPN, el correo electrónico, etc. Un perfil malintencionado puede ejecutar un ataque EOP para monitorizar y manipular la actividad del usuario y secuestrar sus sesiones. Un ataque EOP permite al perfil malintencionado acceder a las fotos, los archivos, el correo electrónico, los mensajes de texto y a otras aplicaciones que normalmente no están permitidas.

Tipo de amenaza: perfiles de configuración malintencionados

Un empleado que viaja desea conectarse a la Wi-Fi de un hotel o a un punto

de conexión del barrio, como la red Wi-Fi de Xfinity

El empleado intenta conectarse a la Wi-Fi y se le pide su nombre de usuario

y contraseña. Decide instalar un perfil de configuración.

Este atacante vende los datos en la web oscura al mejor postor.

Un atacante realiza un ataque de tipo MITM y roba credenciales y datos.

Caso de uso

Un empleado está haciendo un viaje de negocios y quiere conectarse a la Wi-Fi de un hotel o a un punto de acceso local, como Xfinity Wi-Fi. Se le pide que introduzca su nombre de usuario y contraseña y acepta instalar un perfil de configuración para la Wi-Fi no segura de Xfinity, para que no le pida constantemente que vuelva a introducir sus credenciales. La red Wi-Fi del hotel y la red Wi-Fi de Xfinity son redes inalámbricas compartidas a las que se pueden conectar todos los huéspedes del hotel. La siguiente vez que el empleado se conecta a Xfinity, queda comprometido por el atacante que lleva a cabo un ataque MITM. El usuario ha instalado, sin saberlo, un perfil malintencionado que permite que un kit de vulnerabilidad redirija todo el tráfico de la víctima al servidor del atacante para que este pueda robar los datos.

10

Repercusiones para la empresa

Al instalar certificados raíz en los dispositivos de las víctimas, un perfil malintencionado puede interceptar y descifrar de forma fluida las conexiones seguras SSL/TLS que utilizan la mayoría de las aplicaciones para transferir datos confidenciales. Como resultado, el perfil malintencionado podría asumir el control de la cuenta de correo electrónico corporativo del usuario y de aplicaciones como Slack, Zoom y LinkedIn para enviar mensajes, cambiar ajustes, robar información y otras cosas mucho peores.

Protección de MobileIron

MTD alerta al usuario de las conexiones Wi-Fi no seguras y, además, puede detectar si se ha descargado un perfil sospechoso en el dispositivo. Una vez detectado, el administrador puede marcar el perfil conforme no es de confianza y poner el dispositivo en cuarentena. Esto permite eliminar cualquier aplicación administrada de iOS u ocultarla en un dispositivo Android. Cualquier ajuste aprovisionado por MobileIron, como la Wi-Fi corporativa, también se puede eliminar u ocultar cuando se detecte un perfil sospechoso como amenaza. No obstante, MobileIron solo permite eliminar aplicaciones y datos corporativos; todos los demás datos personales del usuario se mantienen intactos.

11

¿Qué es?

Un ataque avanzado en el dispositivo puede tomar el control de este, lo que permite al atacante dirigir y controlar de forma remota las funciones clave del dispositivo. Un ejemplo de ello son los ataques EOP, las vulnerabilidad del sistema operativo y las manipulaciones del sistema.

Manipulación del sistema iOS en una asesoríaManipulación del sistema

Un asesor de Costa Rica se descargó una

aplicación de iOS para jugar de una app store de

terceros, TutuApp

TutuApp le pidió que descargara un perfil

de configuración «para el juego»

La aplicación Houdini montó el sistema de archivos como

de lectura/escritura

MobileIron lo detectó y lo notificó al administrador, que eliminó el dispositivo del servicio y restableció

los ajustes de fábrica

Los usuarios podrían haber perdido todos los

datos (incluidos los datos de clientes) del dispositivo

y haber permitido que todo quedara

comprometido medianteuna vulnerabilidad

MobileIron Threat Defense los detecta

y bloquea aquí

Tipo de amenaza: peligro avanzado en el dispositivo

Caso de uso

Un empleado de una consultoría internacional descarga un juego de una app store externa, TutuApp. Esta app store le pide que descargue un perfil de configuración para instalar la aplicación, que es de gran tamaño. La aplicación del instalador, Houdini, también permite funciones de administración en todo el dispositivo y crea un sistema de archivos como lectura/escritura, sin que el usuario sea consciente de ello.

12

Repercusiones para la empresa

Este tipo de ataque avanzado puede permitir que el atacante controle funciones clave del dispositivo, como encender el micrófono o la cámara, sin que el usuario lo sepa o dé su consentimiento. Además, el atacante podría robar las credenciales corporativas del usuario, que le permitirían suplantarle y enviar mensajes a cualquier persona, incluidos el director ejecutivo y la empresa entera, clientes, socios y contactos personales. Es posible que el usuario ni siquiera sepa que alguien ha tomado el control del dispositivo y está llevando a cabo acciones negativas en su nombre.

Protección de MobileIron

MTD puede evitar este tipo de ataque detectando la manipulación del sistema en el dispositivo móvil. De este modo, el administrador del sistema lo ve en la consola de administración y es inmediatamente notificado para poder retirar el dispositivo del servicio y restablecer sus valores de fábrica. El acceso al correo electrónico y a aplicaciones corporativos también se puede eliminar para evitar que el «hacker» pueda infiltrarse en otros dispositivos y llegar a enviar mensajes con un enlace malintencionado en nombre del usuario. Vea aquí cómo funciona este tipo de ataque y aprenda a prevenirlo.

Ver un vídeo de demostración

13

Garantice una seguridad con puntos de conexión de confianza en un mundo «zero trust» (confianza zero)

Sin visibilidad de todos los dispositivos móviles como parte de su estrategia de seguridad en puntos de conexión, estará dejando fuera aproximadamente un tercio de todos los puntos de conexión de su empresa. Con MobileIron, puede garantizar una detección y corrección de amenazas total e integrada en los dispositivos, las aplicaciones y las redes de su entorno de trabajo sin perímetro de seguridad, sin siquiera necesitar conexión a Internet. MTD garantiza la seguridad en un entorno «zero trust» con la capacidad de:

• Proteger los datos de su empresa (y los de sus clientes) permitiendo que el usuario adopte al 100 % la protección frente a amenazas móviles.

• Obtener visibilidad de las amenazas en sus dispositivos móviles administrados y no administrados mediante el panel de control de MTD y los datos especializados.

• Gestionar los datos sobre amenazas móviles con sus prácticas de ciberseguridad existentes agregándolos mediante SIEM y correlacionándolos conjuntamente para tener información de toda la estrategia de seguridad al completo.

Con MobileIron Threat Defense, no tendrá que dejar la seguridad de la empresa en manos de sus usuarios. Para obtener más información, vaya a www.mobileiron.com/threatdefense.