Buenas Prácticas de Seguridad en el uso de dispositivos móviles. Alfredo Aranguren Tarazona, CISSP, CISA, CISM

Transcripción

1 Buenas Prácticas de Seguridad en el uso de dispositivos móviles 1

2 32% de los usuarios creen que no se requiere software de seguridad en sus dispositivos móviles Fuente: McAfee 2

3 Estado actual de la seguridad de información La principal causa que lleva al robo de identidad fue el robo o pérdida de equipo de cómputo o de otros tipos de dispositivos de almacenamiento. (36%) El principal objetivo en el robo de información es relacionada a información de clientes (59%) De las ligas maliciosas observadas en sitios de redes sociales el 66% hacían uso de ligas recortadas. Al 88% se les dio click al menos una vez. Se ha detecta un gran incremento de vulnerabilidades en dispositivos móviles (163 vulnerabilidades) 42% Fuente: Symantec 3

4 Tendencias El concepto de "bring your own device" (BYOD) empieza a ser popular en las organizaciones. Los servicios de sincronización de archivos vía web son bastante atractivos para los atacantes que buscan acceso a sistemas e información corporativos. Las "app stores" corporativas se vuelven un requerimiento esencial para efectos de seguridad. Fuente: Gartner 4

5 Tendencias Los atacantes se están moviendo a dispositivos móviles. Los atacantes aumentarán el uso de tácticas de ingeniería social para darle vuelta a los controles de seguridad tecnológicos. Sus técnicas tomarán ventaja de factores psicológicos, tales como del deseo de tener más información, la necesidad de cumplir con normas sociales y en la propensión a obedecer a figuras de autoridad. 5

6 Tendencias Más organizaciones adoptarán los medios sociales como un aspecto fundamental de su estrategia de mercadotecnia. Las organizaciones tendrán dificultades para controlar las actividades en redes sociales de sus usuarios. Los atacantes continuarán tomando ventaja del poco entendimiento de las practicas de seguridad en redes sociales para defraudar a personas y organizaciones. 6

7 Tendencias La redes sociales eventualmente remplazarán al correo como el vector primario para distribuir ligas y código malicioso aprovechando la falta de conocimiento del usuario. 7

8 8

9 9

10 Principales amenazas a los dispositivos Amenaza móviles Consecuencia Pérdida o robo del dispositivo Pérdida de información sensible (contactos, fotos, agenda). Afectación a la privacidad, robo de identidad. Cuentas en línea comprometidas. Gastos por remplazo y/o posibles cargos a la cuenta. Phishing scams (entregados via s, Mensajes de texto y sitios de redes sociales) Revelación de información sensible tales como números de cuenta y credenciales de acceso. Retiros no autorizados de cuentas bancarias. Malware y spyware Comprometer información personal robo de identidad. Cargos no autorizados Otros pueden escuchar sus conversaciones y mensajes de correo de voz. Fuente: McAfee 10

11 Principales amenazas a los dispositivos Amenaza móviles Consecuencia Códigos QR (Quick Response) Descargar accidentalmente aplicaciones maliciosas. Comprometer información personal o funcionamiento errático del dispositivo. Fuente: McAfee 11

12 Principales amenazas a los dispositivos móviles Fuente: McAfee 12

13 Principales amenazas a los dispositivos Fraude Financiero móviles Malware usado para el robo de información bancaria en línea y para el reclutamiento de gran cantidad de equipo a ser usado en ataques. Los métodos de autenticación están siendo explotados vía SMS. 62% de los clientes usan sus teléfonos para el manejo de sus cuentas bancarias. Fuente: i2group 13

14 Principales amenazas a los dispositivos móviles Fuente: i2group 14

15 Principales amenazas a los dispositivos móviles Amenazas al ambiente corporativos Cisco reporta que cada vez más negocios están adoptando tecnologías móviles. Intrusión en las redes corporativas vía botnets serán cada vez más frecuentes. Los dispositivos móviles pueden almacenar grandes cantidades de información corporativa. Aún después de que la información haya sido borrada de los servidores, los dispositivos pueden retener información. 15

16 Principales amenazas a los dispositivos móviles Actividades del crimen organizado Adicionalmente al uso de llamadas y mensajes de texto para coordinar sus actividades, el crimen organizado está usando los dispositivos móviles para acceder las redes sociales y reclutar miembros o intimidación. 16

17 Principales amenazas a los dispositivos móviles Explotación de Víctimas Ruder Finn menciona que in 91% de los usuarios de dispositivos móviles hacen uso de redes sociales y otro tipo de actividades como mensajería instantánea y correo electrónico. Se localiza a las víctimas vía redes sociales. La función de GPS en un dispositivo móvil ayuda a la localización física de la víctima especialmente si se está usando servicios basados en localización. Tales como: Foursquare, Gowallad o Facebook Places. Facilita los ataques dirigidos. 17

18 Elementos claves para la seguridad Seguridad del dispositivo Seguridad del contenido Gestión de dispositivos Identidad y acceso Contraseñas Encripción Control de la funcionalidad y aplicaciones Bloqueo y borrado remoto Antivirus & antimalware Antispam y filtrado de contenido Firewall Implementación de políticas & configuraciones Administración de aplicaciones corporativas Inventario Soporte Autentificación certificados 18

19 Los mandamientos de la seguridad en dispositivos móviles Bloquee su dispositivo con un PIN o una contraseña. Instale solo aplicaciones de fuentes confiables. Respalde su datos Mantenga su sistema actualizado No abra el sistema de su dispositivo (jailbreak) Siempre haga un log out de los sitios en línea. Apague el WiFi, los servicios de localización (GPS) y el Bluetooth cuando no estén en uso. 19

20 Los mandamientos de la seguridad en dispositivos móviles No envíe información sensible por correo electrónico o mensajes de texto. No den clic en ligas o archivos anexos que vengan el mensajes no solicitados (SMS, ). Instale una aplicación de seguridad para dispositivos móviles. 20

21 Recomendaciones Permita su uso. Piense estratégicamente. Administre de manera eficiente. Cumpla apropiadamente. Proteja de forma integral 21

22 22

23 Cómo conocer el código IMEI de mi celular? Para conocer el código IMEI de un celular basta con teclear *#06# en el celular. Me desplegará un número de 15 dígitos Este número debe de reportarse a el operador del celular en caso de robo y extravío para que inhabilite dicho dispositivo y no pueda ser usado. Recomendación: Guardar dicho número en un sitio alterno al teléfono. 23

24 GRACIAS 24