Retos actuales de la seguridad en dispositivos móviles

p-06En la actualidad, el incremento en la producción de gadgets como smartphones, smartwatches, tablets, etcétera, y el desarrollo de nuevas tecnologías de diseño para reducir el tamaño, el consumo de energía e incrementar la velocidad, memoria, etcétera, han sido un factor relevante en la cuarta revolución industrial. Como consecuencia, los dispositivos móviles han evolucionado, teniendo en la actualidad mayores recursos y funciones para los usuarios como son: conexión inalámbrica, bluetooth, reconocimiento de voz, reconocimiento de rostros, GPS, entre otras.

Un aspecto importante es que gran parte de los dispositivos de bajo costo que constituyen dispositivos de IoT (la nueva ola de dispositivos interconectados), no tienen disposiciones de seguridad o se vendieron sin el compromiso por parte de los fabricantes de proporcionar actualizaciones de seguridad. Por lo cual, algunas partes de nuestra infraestructura crítica pueden tener disposiciones de seguridad de hardware y software inadecuadas, lo que deja a los consumidores, las empresas y los gobiernos abiertos a ataques cibernéticos.

Por otro lado, el cibercrimen se ha convertido en una nueva forma de robo, el cual se ha incrementado y se espera que el costo anual del daño del cibercrimen para los consumidores, las empresas y los gobiernos alcance los 2 billones de dólares en 2019, en comparación con 500 mil millones en 2016. Por otro lado, alrededor de 20 por ciento de las pequeñas y medianas empresas han sufrido un ataque cibernético.

El incremento en el número de dispositivos móviles ha hecho que el uso del código fuente abierto se incremente en el sector industrial, lo cual ha permitido a las empresas reducir los costos de desarrollo, poner sus productos en el mercado en forma más rápida y al mismo tiempo acelerar la innovación en el desarrollo de aplicaciones. Sin embargo, a pesar de tener estas ventajas, el código fuente abierto para dispositivos móviles tiene ciertas características que lo hacen particularmente atractivo para los hackers informáticos.

Por otro lado, también ha aumentado el número de aplicaciones móviles desarrolladas. De acuerdo con el Centro para la Investigación Ciudadana del Instituto Estadounidense del Consumidor (ACI, por sus siglas en inglés), se analizaron en detalle 330 de las aplicaciones de Android más populares en los Estados Unidos de América. Estas aplicaciones fueron extraídas de 33 categorías diferentes. Para realizar el análisis, se utilizó la herramienta Clarity de Insignary, estas aplicaciones móviles fueron analizadas para buscar vulnerabilidades de seguridad prevenibles y conocidas. De la muestra de datos, se obtuvieron 105 aplicaciones (32 por ciento del total), las cuales fueron identificadas por contener vulnerabilidades en un número de niveles de gravedad crítico, alto, mediano y bajo, totalizando mil 978 vulnerabilidades. Con base en los resultados obtenidos se encontraron un promedio de seis vulnerabilidades por aplicación en toda la muestra, y hasta 19 vulnerabilidades por aplicación para las 105 aplicaciones identificadas. Entre las aplicaciones donde se encontraron vulnerabilidades críticas están: aplicaciones bancarias, juegos, redes sociales, de compra de boletos para eventos y viajes más populares. El problema, desapercibido para el público en general, parece ser generalizado y podría estar presente en la mayoría de los dispositivos de consumo.

Ese riesgo incluye la pérdida de datos clave o la privacidad comprometida, dijo el ACI, una organización de educación e investigación para consumidores sin fines de lucro. Adicionalmente, el ACI menciona: “Pedimos a todos los desarrolladores de aplicaciones que redoblen sus esfuerzos para encontrar códigos vulnerables y usar los parches más recientes para cerrar estos agujeros de seguridad”.

Según una compañía que se especializa en seguridad de código abierto, aproximadamente 20 por ciento de las aplicaciones de software más populares de Android en Google Play Store contienen componentes de código abierto que albergan vulnerabilidades de seguridad listas para ser explotadas por hackers.

El propio ACI citó su informe “Black Duck 2017”, señalando que, si bien el software de código abierto por sí solo no es menos seguro que el software personalizado, exhibe ciertas características que hacen que sus vulnerabilidades sean atractivas para los piratas informáticos:

  • El código abierto es frecuentemente utilizado en aplicaciones comerciales, proporcionando a los atacantes un entorno atractivo en objetivos.
  • A diferencia del software comercial para computadoras personales y smartphones, donde las actualizaciones se envían automáticamente a los usuarios, los dispositivos IoT y los teléfonos inteligentes usan un modelo de soporte, donde los usuarios son responsables de realizar un seguimiento de las vulnerabilidades, soluciones y actualizaciones del software que ellos utilizan.
  • Si una compañía no conoce toda la fuente abierta utilizada en su código, no puede defenderse adecuadamente contra los ataques dirigidos a vulnerabilidades conocidas.
  • Los hackers pueden explotar más fácilmente las vulnerabilidades de seguridad de código abierto conocidas porque se publican públicamente, lo que proporciona una ruta para explotar el código.

Dados los diferentes problemas en el desarrollo de código en dispositivos móviles, los desarrolladores deben tomar medidas inmediatas y proactivas para aplicar parches a sus aplicaciones que contengan componentes de código abierto y de esta forma notificar a los consumidores cuando haya actualizaciones disponibles.

Algunos de los retos actuales en la seguridad de aplicaciones para dispositivos móviles son:

  • Mejorar la fragmentación del dispositivo. Las pruebas de aplicaciones móviles deben cubrir una multiplicidad de dispositivos móviles con diferentes capacidades, características y limitaciones.
  • Herramientas para pruebas de automatización móvil. Un enfoque razonable para la fragmentación requiere el uso de pruebas de automatización.
  • Robustecer el cifrado débil. Una aplicación móvil puede aceptar datos de todo tipo de fuentes. En ausencia de un cifrado suficiente, los atacantes podrían modificar las entradas, como las cookies y las variables de entorno.
  • Disminuir débiles controles de alojamiento. Al crear sus primeras aplicaciones móviles, las empresas a menudo exponen los sistemas del lado del servidor que anteriormente eran inaccesibles para las redes externas.
  • Almacenamiento de datos inseguros. En la mayoría de las aplicaciones populares, los consumidores simplemente ingresan sus contraseñas una vez cuando activan la porción de pago de la aplicación y la usan una y otra vez para realizar compras ilimitadas sin tener que volver a ingresar su contraseña o nombre de usuario.

Desafortunadamente, no vivimos en un mundo ideal en el que las aplicaciones se actualicen en el momento en que una solución de seguridad está disponible sin necesidad de intervención alguna. Hasta que eso sea posible, se requiere una mejor vigilancia por parte de los proveedores de software, desarrolladores de software de terceros y los consultores de administración de seguridad de software, lo cual parece ser una sólida primera línea de defensa para encontrar componentes de software que alberguen vulnerabilidades de seguridad conocidas. Esto reducirá la posibilidad de daños infligidos tanto a las empresas como a sus clientes por piratas informáticos. Utilizar programas de prueba para aplicaciones puede ayudar a reducir estos problemas y con esto, incrementar la seguridad en los dispositivos móviles.

 

* amartinezc@inaoep.mx