Security Response

ContenidosIntroducción............................................................ 1Seguridad.Móvil.-.Metas......................................... 2Apple.iOS................................................................. 2Android.................................................................... 3iOS.vs..Android:.Comparación.sobre.Seguridad.... 4Conclusiones........................................................... 4

IntroducciónCon. tantos. dispositivos. móviles. abriéndose. camino. en. las. empresas,. los.CIO. y. los. CISO. se. enfrentan. a. una. prueba. de. fuego.. Cada. vez. más. usuarios.utilizan. sus. dispositivos. para. acceder. a. servicios. de. la. empresa,. ver. datos.corporativos. y. realizar. negocios.. Además,. muchos. de. estos. dispositivos.no. son. controlados. por. el. administrador,. lo. que. significa. que. datos.importantes.de.la.empresa.no.están.sujetos.a. las.políticas.de.cumplimiento,.seguridad. y. prevención. de. pérdida. de. datos. (DLP). de. la. organización..

Para. complicar. aún. más. las. cosas,. los. dispositivos. móviles. de. hoy. no.están. aislados,. sino. que. están. conectados. a. un. completo. ecosistema.que. soporta. servicios. en. nube. y. basados. en. PC.. El. teléfono. inteligente.típico. se. sincroniza. con. al. menos. un. servicio. basado. en. nube. pública.que. se. encuentra. fuera. del. control. del. administrador.. Muchos. usuarios.sincronizan. sus. dispositivos. directamente. con. sus. computadoras. de.casa. para. realizar. copias. de. seguridad. de. los. datos. y. configuraciones.importantes.. En. ambos. casos,. es. posible. que. se. almacenen. datos. clave. de.la. empresa. en. diversas. ubicaciones. no. seguras. fuera. de. su. control. directo.

En. este. contexto,. Symantec. presenta. este. informe,. el. cual. aborda. los.modelos. de. seguridad. de. las. plataformas. Android. de. Google. e. iOS.de. Apple,. las. dos. plataformas. móviles. más. populares. actualmente.en. uso,. para. evaluar. el. impacto. que. tendrán. estos. dispositivos. en. la.seguridad. a. medida. que. son. cada. vez. más. utilizados. en. las. empresas..

Visite.www.symantec.com/la/tendenciasmovilidad.para.más.información.

Carey Nachenberg Vicepresidente, Symantec Corporation

Resumen ejecutivo

Una Mirada a la Seguridad de los Dispositivos MóvilesAnálisis de los enfoques de seguridad en las plataformas iOS de Apple y Android de Google

Una.Mirada.a.la.Seguridad.de.los.Dispositivos.Móvil..(Resumen.Ejecutivo)

Página.2

Security Response

Objetivos de seguridad móvilEn.lo.que.se.refiere.a.seguridad,.las.dos.plataformas.móviles.más.importantes.comparten.muy.poco.con.sus.sistemas.operativos.de.escritorio.y.para.servidor..A.pesar.de.que.ambas.plataformas.fueron.construidas.en.sistemas.operativos.existentes.(iOS.está. basado. en. el. sistema. operativo. OSX. de. Apple. y. Android. está. basado. en. Linux),. éstos. utilizan. modelos. de. seguridad.mucho.más.elaborados.que.fueron.diseñados.en.su.núcleo.de.implementación..El.objetivo.probablemente.era.implementar.la.seguridad.interna.de.las.plataformas.móviles.en.lugar.de.utilizar.software.de.seguridad.de.terceros.

Entonces,.¿Apple.y.Google.tuvieron.éxito.al.intentar.crear.plataformas.seguras?.Para.responder.a.esta.pregunta,.incluimos.un.análisis.del.modelo.de.seguridad.de.cada.plataforma.y.analizaremos.su.implementación.para.determinar.su.efectividad.contra.las.principales.amenazas.de.hoy.en.día,.incluyendo:.

• Ataquesbasadosenlawebyenredes.Estos.ataques.son.generalmente.iniciados.por.sitios.web.maliciosos.o.sitios.web.legítimos.comprometidos..

• Softwaremalicioso.El.software.malicioso.se.puede.dividir.en.tres.categorías.de.alto.nivel:.virus.informáticos.tradicionales,.gusanos.informáticos.y.troyanos.

• Ataques de ingeniería social. Estos. ataques,. como. el. phishing,. se. aprovechan. de. la. ingeniería. social. para. engañar. al.usuario.y.hacer.que.revele.información.importante.o.instale.software.malicioso.en.su.computadora..

• Abusodedisponibilidaddeserviciosyrecursos.El.objetivo.de.muchos.ataques.es.hacer.un.mal.uso.de.la.red,.los.recursos.informáticos.o.la.identidad.de.un.dispositivo.para.fines.ilegítimos..

• Pérdidadedatosmaliciosayno intencionada.La.pérdida.de.datos.se.produce.cuando.un.empleado.o.hacker.extrae.información.importante.de.una.red.o.dispositivo.protegido.

• Ataquessobrelaintegridaddelosdatosdeldispositivo.En.un.ataque.a.la.integridad.de.los.datos,.el.agresor.intenta.corromper.o.modificar.los.datos.sin.permiso.del.propietario.

iOS de AppleEl.sistema.operativo.iOS.de.Apple.que.se.utiliza.en.iPod,.iPhone.y.iPad.es.una.versión.reducida.del.sistema.operativo.OS.X.Mac.de.Apple.

VulnerabilidadesAl. momento. en. que. se. redactó. este. informe,. los. investigadores. de. seguridad. habían. descubierto. aproximadamente. 200.vulnerabilidades.diferentes.en.diversas.versiones.del.sistema.operativo.iOS.desde.su.lanzamiento.inicial..La.gran.mayoría.de.estas.vulnerabilidades.correspondía.a.un.nivel.de.severidad.bajo..La.mayoría.permitiría.al.atacante.tomar.control.de.un.solo.proceso,.como.el.proceso.Safari,.pero.no.le.permitiría.tomar.control.del.dispositivo.a.nivel.administrador..Las.demás.vulnerabilidades.correspondían.a.una.severidad.mayor,.y.podrían.permitir.al.atacante.tomar.control.del.dispositivo.a.nivel.administrador,.suministrándole.acceso.a.casi.todos.los.datos.y.servicios.del.dispositivo..Estas.vulnerabilidades.más.severas.se.clasifican.como.vulnerabilidades.de.“escalamiento.de.privilegios”.porque.permiten.que.el.atacante.aumente.sus.privilegios.y.obtenga.el.control.total.del.dispositivo..

Según.los.datos.de.Symantec.al.momento.en.que.se.redactó.esta.investigación,.Apple.tardó.aproximadamente.12.días.en.corregir.cada.vulnerabilidad.una.vez.descubierta.

Resumen de la seguridad de iOSA.Symantec.considera.que.el.modelo.de.seguridad.de.iOS.está.bien.diseñado.y.ha.demostrado.poseer.una.gran.resistencia.a.ataques..En.resumen:

• ElsistemadeencriptacióndeiOSofrece.una.sólida.protección.para.los.mensajes.de.correo.electrónico.y.sus.archivos.adjuntos,.y.permite.el.borrado.del.dispositivo,.pero.ofrece.poca.protección.contra.los.ataques.a.dispositivos.físicos.de.un.determinado.atacante.

• ElenfoquedeprocedenciadeiOSgarantiza.que.Apple.estudia.de.forma.cuidadosa.cada.aplicación.pública.disponible..A.pesar.de.que.este.enfoque.de.estudio.exhaustivo.no.es.a.toda.prueba.y.puede.ser.evadido.por.un.determinado.atacante.casi.con.seguridad,.ha.demostrado.ser.un.gran.obstáculo.para.los.ataques.de.software.malicioso,.pérdida.de.datos,.integridad.de.datos.y.negación.de.servicio.

• ElmodelodeaislamientodeiOSevita.completamente.los.tipos.de.virus.informáticos.y.gusanos.tradicionales.y.limita.los.datos.a.los.que.el.spyware.puede.acceder..También.limita.la.mayoría.de.los.ataques.basados.en.la.red,.como.por.ejemplo.que.la.memoria.buffer.tome.control.del.dispositivo..Sin.embargo,.no.necesariamente.evita.todos.los.tipos.de.ataques.de.pérdida.de.datos,.abuso.de.recursos.o.integridad.de.los.datos..

• El modelo de permisos de iOS garantiza. que. las. aplicaciones. no. puedan. obtener. la. ubicación. del. dispositivo,. enviar.mensajes.SMS.ni.iniciar.llamadas.sin.el.permiso.del.propietario.

Una.Mirada.a.la.Seguridad.de.los.Dispositivos.Móvil..(Resumen.Ejecutivo)

Página.3

Security Response

•. Ninguna.de.las.tecnologías.de.protección.del.iOS.se.dirige.a.ataques.de.ingeniería.social.como.los.ataques.de.phishing.o.spam.

AndroidAndroid.es.una.unión.entre.el.sistema.operativo.Linux.y.una.plataforma.basada.en.Java.denominada.Dalvik,.que.es.una.versión.de.la.popular.plataforma.Java..Cada.aplicación.Android.se.ejecuta.dentro.de.su.propia.máquina.virtual,.y.cada.máquina.virtual.es. aislada. en. su. propio. proceso. Linux.. Este. modelo. garantiza. que. ningún. proceso. pueda. acceder. a. los. recursos. de. otros.procesos,.a.menos.que.el.dispositivo.sea.“jail.broken”..Mientras.que.la.máquina.virtual.Java.fue.diseñada.para.ser.un.sistema.seguro,.de.zona.protegida,.capaz.de.contener.programas.potencialmente.maliciosos,.Android.no.se.basa.en.su.máquina.virtual.para.implementar.su.seguridad..Toda.la.protección.es.implementada.directamente.por.el.sistema.operativo.Android.basado.en.Linux.

VulnerabilidadesAl. momento. en. que. se. redactó. este. informe,. los. investigadores. de. seguridad. habían. descubierto. un. total. de. 18.vulnerabilidades. diferentes.en.diversas.versiones.del. sistema.operativo.Android.desde.su. lanzamiento. inicial..La.mayoría.de.estas.vulnerabilidades.correspondían.a.un.nivel.bajo.de.severidad.y.sólo.podrían.permitir.al.atacante.tomar.control.de.un.sólo.proceso,.como.el.proceso.del.navegador.web,.pero.no.le.permitirían.tomar.control.del.dispositivo.a.nivel.administrador..Las.restantes.vulnerabilidades.correspondían.a.un.nivel.de.severidad.mayor,.y.podrían.permitir.al.atacante.tomar.control.del.dispositivo.a.nivel.raíz,.suministrándole.acceso.a.casi.todos.los.datos.del.dispositivo..

Hasta. la. fecha,. Google. ha. corregido. 14. de. estas. 18. vulnerabilidades.. De. las. cuatro. vulnerabilidades. no. corregidas,. una.corresponde.al.tipo.de.escalamiento.de.privilegios.más.severo..Esta.vulnerabilidad.se.corregirá.en.la.versión.2.3.de.Android,.pero. no. se. ha. corregido. para. las. versiones. anteriores. del. mencionado. sistema. operativo.. Dado. que. la. mayoría. de. los.proveedores.no.han.actualizado.los.teléfonos.de.sus.clientes.de.Android.2.2.a.2.3,.prácticamente.todos. los.teléfonos.con.Android. (al. momento. de. la. redacción. de. este. informe). podrían. ser. vulnerables. a. ataques.. Esta. vulnerabilidad. puede. ser.aprovechada.por.cualquier.aplicación.de. terceros.y.no. requiere.que.el.atacante. tenga.acceso. físico.al.dispositivo.. .Según.los.datos.de.Symantec.al.momento.en.que.se.redactó.este.informe,.Google.tardó.aproximadamente.8.días.en.corregir.cada.vulnerabilidad.una.vez.descubierta.

Resumen de la seguridad de AndroidEn. general,. creemos. que. el. modelo. de. seguridad. de. Android. representa. una. mejora. importante. por. sobre. los. modelos.utilizados. por. los. sistemas. operativos. de. escritorio. y. basados. en. servidores;. sin. embargo,. presenta. dos. desventajas.importantes..En.primer.lugar,.su.sistema.de.procedencia.permite.que.los.atacantes.creen.y.distribuyan.software.malicioso.en.forma.anónima..En.segundo.lugar,.aunque.su.sistema.de.permisos.es.extremadamente.potente,.es.el.usuario.el.que.debe.tomar.las.decisiones.importantes.relacionadas.con.la.seguridad,.y.desafortunadamente,.la.mayoría.de.los.usuarios.no.están.capacitados.técnicamente.para.tomar.dichas.decisiones,.lo.que.ya.ha.dado.lugar.a.ataques.de.ingeniería.social..En.resumen:

• El enfoque de procedencia de Android garantiza. que. sólo. se. puedan. instalar. aplicaciones. firmadas. digitalmente. en.dispositivos. con. Android.. Sin. embargo,. los. atacantes. pueden. utilizar. certificados. digitales. anónimos. para. firmar. sus.amenazas.y.distribuirlas.por.Internet.sin.ninguna.certificación.de.Google..Los.atacantes.también.pueden.“troyanizar”.o.inyectar.códigos.maliciosos.fácilmente.en.aplicaciones.legítimas.y.redistribuirlos.fácilmente.por.Internet,.firmándolos.con.un.nuevo.certificado.anónimo..En.cuanto.al.aspecto.positivo,.Google.requiere.que.los.autores.de.aplicaciones.que.deseen.distribuir.las.suyas.a.través.de.Android.App.Marketplace.paguen.un.arancel.y.se.registren.en.Google.(compartiendo.su.firma.digital.de.desarrollador.con.Google)..Al.igual.que.con.el.enfoque.de.registro.de.Apple,.éste.representa.un.obstáculo.para.los.atacantes.menos.organizados.

• LapolíticadeaislamientopredeterminadadeAndroid logra.aislar.en.forma.efectiva. las.aplicaciones.entre.sí.y.de. la.mayoría.de.los.sistemas.del.dispositivo,.por.ejemplo,.del.kernel.del.sistema.operativo.de.Android,.con.diversas.excepciones.significantes..(las.aplicaciones.pueden.leer.todos.los.datos.de.la.tarjeta.SD.sin.restricciones).

• ElmodelodepermisosdeAndroidgarantiza.que.las.aplicaciones.sean.aisladas.de.casi.todos.los.sistemas.de.los.dispositivos.principales,.a.menos.que.requieran.acceso.a.dichos.sistemas.explícitamente..Desafortunadamente,.Android.deja.al.usuario.la.última.decisión.acerca.de.otorgar.permiso.a.una.aplicación.o.no,.lo.cual.lo.deja.abierto.a.ataques.de.ingeniería.social..La.gran.mayoría.de.los.usuarios.no.están.preparados.para.tomar.estas.decisiones,.por.lo.que.son.vulnerables.a.ataques.de.software.malicioso.y.a.todos.los.ataques.secundarios.(ataques.de.denegación.de.servicio,.pérdida.de.datos,.etc.).que.pueden.ser.iniciados.por.software.malicioso..

•. Actualmente,. Android. no. ofrece. ninguna. encriptación. integrada. ni. predeterminada;. sólo. se. basa. en. el. aislamiento. y. el.otorgamiento.de.permisos.para.resguardar.los.datos..Por.ello,.un.simple.jail-break.de.un.teléfono.Android.o.el.robo.de.la.tarjeta.SD.de.un.dispositivo.puede.significar.una.gran.pérdida.de.datos.

Una.Mirada.a.la.Seguridad.de.los.Dispositivos.Móvil..(Resumen.Ejecutivo)

Página.4

Security Response

•. Al. igual. que. con. iOS,. Android. no. posee. ningún. mecanismo. para. evitar. ataques. de. Ingeniería. Social,. como. ataques. de.phishing.u.otros.engaños.basados.en.la.web.(fuera.del.dispositivo).

iOS vs. Android: Comparación sobre SeguridadLas. siguientes. tablas. resumen. nuestras. conclusiones. acerca. de. las. diversas. fortalezas. y. debilidades. de. las. plataformas.móviles.iOS.y.Android.

.

ConclusiónHoy.en.día.los.dispositivos.móviles.son.una.bolsa.donde.todo.se.mezcla.cuando.se.trata.de.seguridad..Estas.plataformas.fueron.diseñadas.desde.el.comienzo.para.ser.más.seguras;.sin.embargo,.estos.dispositivos.fueron.diseñados.para.ser.utilizados.por.consumidores,.y.en.algunos.casos,.han.relegado.la.seguridad.en.favor.de.la.facilidad.de.uso..Esta.compensación.contribuyó.a.la.popularidad.masiva.de.las.plataformas,.pero.también.aumentó.el.riesgo.que.implica.la.utilización.de.estos.dispositivos.en.las.empresas.

El.hecho.de.que.muchos.empleados.lleven.sus.propios.dispositivos.a.la.empresa.y.los.utilicen.sin.supervisión.para.acceder.a. recursos. corporativos. como. calendarios,. listas. de. contacto,. documentos. corporativos. e. inclusive. para. enviar. y. recibir.mensajes.de.correo.electrónico.aumenta.el.riesgo..A.menudo.también.los.empleados.sincronizan.estos.datos.corporativos.con.servicios.en.la.nube.de.terceros.y.con.sus.laptops.o.PCs.en.sus.hogares..Esta.conectividad.alternativa.produce.“fugas”.de.datos.corporativos.potencialmente.importantes.en.sistemas.de.terceros.que.no.están.bajo.el.control.directo.de.la.organización.

Finalmente,.mientras.los.dispositivos.móviles.prometen.mejorar.notablemente.la.productividad,.también.traen.consigo.una.cantidad.de.riesgos.nuevos.que.deben.ser.controlados.por.las.empresas..Esperamos.que.con.la.explicación.de.los.modelos.de.seguridad.detrás.de.cada.plataforma.y.de.los.ecosistemas.de.los.que.participan.estos.dispositivos,.el.lector.pueda.evaluar.estos.dispositivos.y.manejar.los.riesgos.que.éstos.conllevan.con.mayor.efectividad..

Visite.www.symantec.com/la/tendenciasmovilidad.para.más.información.

Table.1.

Resistencia frente a tipos de ataques

Resistencia a: iOS AppleAndroid Google

Ataques.basados.en.la.Web

Ataques..malware

Ataques.ingeniería.social

Ataques.de.abuso.y.recursos.de.servicio

Pérdida.de.datos.(mal-ciosa.y.accidental)

Ataque.integridad.de.datos .

Table.2.

Implementación de funciones de seguridad

Pilares de seguridad iOS Apple

Android Google

Control.de.acesso

Procedencia.de.aplicación

Encriptación

Aislamiento

Control.de.acceso.basado.en.permisos

Leyenda Protección completa Poca protección Buena protección Protección nula Protección moderada

SobreSymantecSymantec.es.líder.mundial.en.soluciones.de.seguridad,.

almacenamiento.y.administración.de.sistemas.que.ayudan.a.las.empresas.y.consumidores.a.proteger.y.

administrar.su.información..Tiene.su.sede.en.Mountain.View,.California.y.operaciones.en.más.de.40.países..Más.

información.está.disponible.en.www.symantec.com/la

Para.información.sobre.las.oficinas.en.los.distintos.países.y.datos.de.contacto,.visite.nuestro.sitio.Web.

www.symantec.com/la

Symantec.CorporationCorporativo.Mundial

350.Ellis.StreetMountain.View,.CA.94043.USA

Copyright.©.2011.Symantec.Corporation..Derechos.reservados..Symantec.y.el.logotipo.de.Symantec.logo.

son.propiedad.o.marcas.registradas.de..Symantec.Corporation.o.sus.afiliados.en.los.Estados.Unidos.y.otros.países..Algunos.otros.nombres.pueden.ser.

propiedad.de.sus.respectivos.dueños..

.Cualquier.información.técnica.publicada.por.Symantec.Corporation.es.propiedad.y.está.protegida.por.derechos.de.autor.de..Symantec.Corporation.

SIN.GARANTíA...La.información.técnica.se.presenta.tal.cual.y.Symantec..Corporation.no.garantiza.su.uso.o.exactitud..Cualquier.uso.de.la.documentación.técnica.o.la.información.en.este.documento.es.bajo.el.riesgo.del.usuario..La.documentación.puede.incluir.imprecisiones.o.errores.tipográficos..Symantec.se.reserve.el.derecho.de.hacer.cambios.sin.notificación.previa...

Security Response

SobreelAutorCarey.Nachenberg.es.Vicepresidente.e.investigadora.dentro.de.la.organización.Symantec.Security,.Technology,.and.Response.