Header Ads Widget

Ticker

6/recent/ticker-posts

Seguridad móvil: peor de lo que pensaba

El último Informe de Investigaciones de Violación de Datos de Verizon argumenta elocuentemente que, además de la tecnología inalámbrica, el factor de forma de los dispositivos móviles en sí mismo plantea riesgos de seguridad.


Muchos profesionales de la seguridad han sostenido durante mucho tiempo que las palabras "seguridad móvil" son un oxímoron. Cierto o no, con el uso de dispositivos móviles de hoy en día en las empresas, ese punto de vista puede volverse irrelevante. Es una estimación razonable que los trabajadores del conocimiento en 2020 usen dispositivos móviles para complementar o manejar gran parte de su trabajo el 98% del tiempo. Las computadoras portátiles todavía tienen un papel (está bien, si quieres ser literal, supongo que una computadora portátil puede considerarse móvil), pero eso es solo por sus pantallas y teclados más grandes. Les daría a los jugadores móviles tal vez tres años más antes de que eso sea discutible.

Eso significa que la seguridad en los dispositivos móviles debe convertirse en una prioridad absoluta. Hasta la fecha, eso generalmente se ha abordado con VPN móviles de nivel empresarial, antivirus y métodos de comunicación más seguros (como Signal). Pero en el último Informe de Investigaciones de Violación de Datos de Verizon, siempre una lectura que vale la pena, Verizon argumenta elocuentemente que, además de la tecnología inalámbrica, el factor de forma de los dispositivos móviles en sí mismo plantea riesgos de seguridad.

Del informe de Verizonmuchos navegadores móviles limitan la capacidad de los usuarios para evaluar la calidad del certificado SSL de un sitio web. Del mismo modo, muchas aplicaciones de correo electrónico móvil también limitan qué aspectos del encabezado del correo electrónico son visibles y si la información de la fuente del correo electrónico es incluso accesible ", dijo el informe." El software móvil también mejora la prominencia de los elementos de la GUI que fomentan la acción: aceptar, responder, enviar, me gusta, etc., que facilitan a los usuarios responder a una solicitud. Así, por un lado, el hardware y el software de los dispositivos móviles restringen la calidad de la información disponible, mientras que, por el otro, facilitan a los usuarios la toma de decisiones rápidas. El último clavo lo impulsa la forma en que las personas usan los dispositivos móviles. Los usuarios a menudo interactúan con sus dispositivos móviles mientras caminan, hablan, conducen, y realizar todo tipo de actividades que interfieran con su capacidad para prestar especial atención a la información entrante. Si bien ya están restringidas cognitivamente, las notificaciones en pantalla que permiten a los usuarios responder a las solicitudes entrantes, a menudo sin siquiera tener que navegar de regreso a la aplicación de la que emana la solicitud, mejoran aún más la probabilidad de responder de manera reactiva a las solicitudes ".

En resumen, los usuarios que manejan el correo electrónico en un dispositivo móvil, un hecho increíblemente común en los campus corporativos, son mucho más susceptibles a un ataque de phishing que en un dispositivo de escritorio típico. Puede estar seguro de que este punto no ha pasado desapercibido para los ladrones cibernéticos y los ciberterroristas. Ya conocen el probable sistema operativo de un dispositivo que hace clic en uno de sus malvados ataques de phishing, lo que los hace bastante felices.

¿Qué hacer con esto? En primer lugar, toda la formación sobre phishing / malware ahora debe incluir de forma destacada la formación solo para dispositivos móviles. Sí, el entrenamiento solo ayuda mucho, pero es un buen comienzo. En segundo lugar, cuando esté probando a su propia gente tratando de engañarlos para que hagan clic, diseñe los trucos para asumir el móvil. Sus tasas de éxito aumentarán y la gente aprenderá más rápido lo que hubiera sucedido si su prueba hubiera sido un ataque real.

En tercer lugar, presione a los fabricantes de teléfonos móviles y a los dos gigantes de sistemas operativos móviles, Google y Apple, por supuesto, para que aborden la parte más vergonzosa de las preocupaciones de Verizon, que es que "muchos navegadores móviles limitan la capacidad de los usuarios para evaluar la calidad del certificado SSL de un sitio web. Asimismo, muchas aplicaciones de correo electrónico para móviles también limitan qué aspectos del encabezado del correo electrónico son visibles y si la información de la fuente del correo electrónico es incluso accesible ".

Aunque ambos puntos son críticos y deberían haberse abordado hace mucho tiempo, es la parte del encabezado del correo electrónico la más irresponsable. Por supuesto, la mayoría de los consumidores rara vez se molestan en verificar incluso en dispositivos de escritorio, pero los empleados de Fortune 1,000 deben saber que la verificación es obligatoria antes de hacer clic. Aunque algunos phishers son sofisticados e intentan crear nombres de dominio falsos que parezcan razonables, la mayoría no se molesta. Y con la expectativa de que muchos de esos mensajes se verán a través de una pequeña pantalla móvil durante los próximos años, supongo que la mayoría seguirá sin molestarse. Todavía estoy impresionado por los intentos de phishing que veo todos los días y un vistazo rápido al encabezado del correo electrónico deja todo bastante claro.

Por lo tanto, se debe acceder fácilmente a los encabezados completos desde cualquier dispositivo móvil y no hay ninguna razón (no basada en negocios, no basada en marketing, ciertamente no basada en seguridad) para que Apple y Google no solucionen esto. Hágales saber a ambas empresas que esto influirá en los teléfonos que comprará más adelante este año y atraerá su atención.

En cuanto a los certificados SSL, supongo que no está de más arreglar ese agujero flagrante. Pero a diferencia de los encabezados de correo electrónico, las tácticas muy malas que usan la mayoría de los emisores de certificados para verificar la autenticidad de la solicitud me preocupan más de que los ladrones cibernéticos aprovechen esto y engañen a los emisores de certificados (no tan difícil) para que les den credenciales legítimas para no- dominios tan legítimos. Entonces, sí, la verificación del certificado es importante (no estoy tan seguro de cuánto puede hacer un navegador para " evaluar la calidad del certificado SSL de un sitio web", pero si piensan en una forma, por supuesto que lo hagan), pero yo primero gustan de las mejoras dramáticas en los métodos de verificación de las firmas de certificación.

No se trata simplemente de "verificar que eres quien dices ser" (a menos que tengas una lista constantemente actualizada de malos, no estoy seguro del punto) ni de asegurarte de que eres el propietario del dominio para el que quieres un certificado. Necesita verificar eso, pero esa es una barra notablemente baja. Quiero que los equipos de certificación miren el dominio y vean si está cerca del dominio conocido de otra persona. No estoy sugiriendo que rechace todas esas solicitudes, pero al menos comuníquese con el propietario del dominio conocido para ver si hay problemas. Y quizás interrogar al solicitante mucho más de cerca. Si se supone que un certificado hace que un usuario se sienta cómodo al hacer clic, introduzcamos una autenticación robusta e inteligente en el proceso. Y luegofacilite la verificación de la autenticidad de un certificado. Con los métodos de verificación actuales, es más probable que un ladrón cibernético importante engañe a un jugador certificador para que emita uno real que si usa uno falso. Ambos problemas deben abordarse.


Publicar un comentario

0 Comentarios