En materia de delito cibernético, los desarrolladores de códigos maliciosos están cambiando de foco. De atacar computadoras con Windows y Mac OX están apuntando a otros sistemas operativos y plataformas: entre ellos, a los teléfonos inteligentes y las tablets, según el Reporte de Seguridad Anual de Cisco 2010. Uno de los puntos más críticos donde emergen las amenazas son las aplicaciones de terceros. Tal es así, que, en marzo, la empresa Google tuvo que eliminar 21 aplicaciones de su tienda para Android después de comprobar que contenía software malicioso destinado a vulnerar las medidas de seguridad de los móviles de los usuarios.

En tanto, los entornos destinados a alojar estas aplicaciones -como lo es el cloud computing- todavía no pueden mostrarse totalmente confiables, como lo demostró la caída de la plataforma AWS, de Amazon, el 21 de abril, que dejó inoperantes a varias empresas de renombre mundial como Foursquare o Quora.

La falta de cultura
En los Estados Unidos, la aún principal economía del mundo, el 86% de las pequeñas y medianas empresas (pymes) aún no adoptó medidas de seguridad para sus teléfonos móviles. Según una encuesta realizada por la empresa de análisis de mercado Canalys, la falta de conciencia y el costo son los principales obstáculos para adoptar este tipo de medidas en las pymes.

Para Matthew Ball, director de la unidad de Servicios Empresarial es de Canalys, “el creciente número de descarga de aplicaciones supone la mayor amenaza para la seguridad, debido a los virus, programas espía y otras formas de malware . Por su parte, Pierre Marc Bureau, analista de malware de la Escuela Politécnica de Montreal y senior Researcher de ESET Canadá comenta: “Las amenazas están en una etapa de prueba conceptual, los desarrolladores maliciosos realizan testeos para evaluar el posible blanco de ataques a dispositivos móviles, como los smartphones, que acaparan más usabilidad que las computadoras. Por ello, están apuntando a las grandes tiendas de aplicaciones que, por la masividad en su uso, se convierten en potencial target para la creación de códigos maliciosos .

Desde una perspectiva local, Juan José Dell’Acqua, director Ejecutivo de Usuaria, entidad organizadora de Segurinfo, el congreso anual de seguridad informática que se organiza en Buenos Aires, resalta la falta de atención que hay en este sentido desde que el la lado del usuario:“Todavía falta mucha culturización por parte de ellos a la hora de tomar precauciones de seguridad en los celulares. El 90% de los usuarios utiliza las funcionalidades por default que vienen dadas en el teléfono .

En cuanto al nivel de amenaza, Dell’Acqua distingue entre dos tipos de usuarios: “A diferencia de los que adquieren el celular para su uso personal, están los corporativos, quienes cuentan con políticas internas de seguridad que, en algunas ocasiones, les dan un listado de aplicaciones, que pueden utilizar o deben pedir autorización para que el área correspondiente les habilite la descarga. En el caso de los profesionales que no cuentan con políticas establecidas, el mayor inconveniente en este sector es el spam y malware como, también, el phishing (fraude informático), una modalidad que se incrementa cada vez más como amenaza .

Todos los expertos consultados coinciden en que la configuración básica y estándar de seguridad es imprescindible. Aconsejan como medidas iniciales que el usuario proteja la información albergada deshabilitando el código PIN y, también, habilitando el código de bloqueo y aplicando contraseñas seguras.

La seguridad establecida
Si bien los especialistas en seguridad informática apuntan a la concientización de los usuarios en base a la seguridad en los dispositivos móviles destaca asimismo el papel de los fabricantes que deben afrontar los cambios que se generan con smartphones cada vez más sofisticados y preparados para la navegación de Internet.

Ante este panorama, Luis Ottati, gerente de Ingeniería del área de Servicios de Nokia, explica: “La mayor vulnerabilidad se encuentra en el browser del teléfono. En cambio, el acceso al mail y las redes sociales se realiza bajo una conexión segura encriptada. No obstante, cada vez más se intenta imitar los mismos mecanismos de seguridad que cuentan las computadoras y es imprescindible que el usuario tenga en cuenta los antivirus y firmware en determinados puntos de contacto .

Y agrega: “Generalmente, en el caso de equipos que pertenecen a una flota corporativa, las empresas aplican políticas de seguridad con una red VPN con procesos de autenticación. También se puede anexar mayor seguridad con aplicaciones para crear listas blancas y negras, filtros de contactos y de determinados mails para evitar los spams. En tanto, los usuarios comunes cuentan con funcionalidades de bloqueo remoto a través de SMS que, con el código precargado, priva del acceso a la memoria interna y la memory card del smartphone .

Por su parte, Tomás Ferrari, Product Manager de la división de Handheld Phones de Samsung, anticipa que se perciben más vulnerabilidades a partir de los sistemas operativos (SO). “En la medida que cada SO logra un volumen considerable de adeptos, son los abiertos los que tienen más chances de ser vulnerados debido a la gran cantidad de recursos en el código de programación .

Por ello, el ejecutivo apunta como valor agregado la funcionalidad Emergency Call, que cuentan sus dispositivos, la cual le permite al usuario, en situaciones de secuestro, presionar un botón que activa la aplicación. De este modo, el celular enviará un SMS a cinco líneas (previamente definidas). Cuando alguna de ellas responde al llamado del equipo, este no suena sino que la llamada es tomada de manera automática, bloqueando el auricular y habilitando el micrófono para que el que llamó escuche la situación.

Otra de las empresas que prioriza el tema de seguridad en su portfolio de productos es Research In Motion (RIM). La fabricante del BlackBerry, introdujo diferentes medidas de seguridad para sus equipos. Pablo Kulevicius, director de Seguridad de la compañía para América latina, detalla, entre otros: “Para los datos en tránsito: encriptación de transporte punta a punta para todo el tráfico corporativo, claves sólo en manos del usuario. En cuanto a los datos en reposo se trata de encriptación de memoria y contenido, bloqueo y borrado remoto de datos . Se suma la protección de aplicaciones que se realiza en base a permisos de acceso a recursos, listas de aplicaciones aprobadas o denegadas, el despliegue remoto de aplicaciones y el manejo de certificado.

Estos desarrollos no son casuales, ya que la marca en sus inicios se introdujo con mayor celeridad dentro del segmento corporativo pero, en el último tiempo, se fue ganando su lugar dentro de los consumidores finales. Kulevicius señala: “En el caso de organizaciones, se advierte una mayor conciencia en el valor de la información y, consecuentemente, hay actividades proactivas en la protección de datos en el campo móvil. No obstante, en el segmento de consumidor final, no se observa lo mismo a nivel masivo (sólo en una minoría de individuos), y es común el manejo de los dispositivos móviles de la misma manera en que se utiliza Internet: se publican datos personales en redes sociales públicas. Faltan políticas de respaldo de información. Además, las contraseñas son débiles o inexistentes .

De la PC al celular
No sólo los fabricantes de dispositivos afrontan el reto del nuevo escenario global en materia de seguridad. También los desarrolladores de licencias de antivirus deben hacer más esfuerzos a la hora de brindar soluciones para el mercado móvil.

Gonzalo Erroz, director Regional de Consumo para Symantec América Latina Sur, recuerda que “los smartphones son pequeñas computadoras. En consecuencia, se deben tener los mismos cuidados que con la PC. Sabemos que la línea que separaba lo corporativo y el uso hogareño prácticamente se desdibujó, ya que los smartphones cada vez más albergan información de nuestra vida empresarial y la familiar de manera unificada . Por ello, la marca incorporó a su porfolio de soluciones el Norton Smartphone Security, que funciona en Windows Mobile y Symbian. Éste protege a nivel de virus, antispam de SMS y como firewall. Asimismo, cuenta con la opción de borrado de datos en el caso de que se pierda el dispositivo o sea robado.

Por su parte, Brian Contos, director Global Security Strategy and Risk Management de McAfee, cuenta que “actualmente, trabajamos muy de cerca con empresas como Apple, RIM y otros proveedores de teléfonos celulares, dado que las transacciones bancarias son las más vulnerables, simplemente porque sabemos que es donde los ataques se están centrando. Es el lugar donde se genera el mejor retorno de la inversión para el atacante .

“Creo que sólo estamos viendo la punta del iceberg de cómo la gente usa los teléfonos inteligentes, ya que el equipo tradicional está muriendo , agrega y resume: “Es de esperar que la protección de datos, el control de acceso y todas los recaudos que se aplican al equipo tradicional se aplicarán a los teléfonos inteligentes, por lo que más ataques se centrarán en él .