Con el año 2018 acercándose a su recta final, hemos podido observar numerosos ciberataques a empresas e instituciones donde los dispositivos móviles también han jugado un papel importante. Como solemos señalar, una de las principales causas es que muchas organizaciones todavía ponen el foco principal de su ciberseguridad en sus redes, plataformas, servidores y equipos de escritorio, descuidando los ciberataques que pueden producirse utilizando los móviles corporativos de los empleados como vector de ataque.
Por ello, es conveniente que las empresas conozcan estos cuatro tipos de riesgos de seguridad relacionados con estos dispositivos que deberían contemplar en su estrategia de seguridad y cómo prevenirlos de la forma más eficaz posible.
1.- Cryptojacking
Es un tipo de ataque que consiste en el uso no autorizado de un dispositivo para minar criptomonedas. Sus efectos varían desde un rendimiento mucho menor de los dispositivos a incluso daños físicos. Aunque sus primeros objetivos fueron ordenadores de escritorio y portátiles, ha tenido un auge importante a lo largo del año en los dispositivos móviles. Como señalamos en nuestro whitepaper, durante este 2018 se ha convertido en la principal amenaza para la seguridad de los dispositivos electrónicos, pero no ha adquirido la relevancia mediática de otros ciberataques.
Como solemos insistir con la mayoría de amenazas, la prevención es clave y con los dispositivos móviles incluye incidir entre los empleados en una navegación segura evitando URLs sospechosas, no descargarse apps desconocidas, una revisión y actualización periódica de cada dispositivo.
2.- Filtraciones de datos
Según un informe de Ponemon, las empresas tienen un 28% de posibilidades de sufrir algún tipo de incidente donde exista filtración de datos en los próximos años. Con la nueva normativa del GDPR en vigor, esto se ha convertido en una cuestión especialmente sensible para las empresas, ya que algunas ya han sido severamente sancionadas por su incumplimiento.
En el caso de los dispositivos móviles, aunque las incidencias de filtración puedan parecer menores que en los equipos de escritorio, donde se trabaja con los ficheros y datos habitualmente, también suponen un riesgo por otros motivos: la capacidad de almacenamiento más limitada de los dispositivos hace que muchos usuarios guarden parte de sus apps y archivos en una nube pública que puede no estar bajo control de la empresa. Y este tipo de nubes como iCloud ha sufrido numerosos ataques en el pasado que han afectado incluso a celebridades.
La minimización del riesgo de filtraciones de datos en los dispositivos móviles pasa por la inevitable prevención y cuidado en el manejo de la información por parte del empleado de la empresa. Y como última barrera, están las soluciones que hagan una monitorización constante de todos los endpoints, para detectar comportamientos anómalos en el manejo de archivos de datos, como es el caso de Panda Data Control.
3.- Redes inseguras
Los dispositivos móviles de empresa están en continuo movimiento y, por tanto, expuestos a muchas redes donde la organización no tiene un control sobre ellas. El caso más común es el de las redes wifi abiertas e inseguras en lugares públicos, donde los ciberdelicuentes pueden aprovechar para robar información sensible del dispositivo o incluso hacerse con el control de estos. Uno de los métodos más peligrosos es el de los ataques de puntos de acceso falsos o de “gemelo maligno” (evil twin AP). Los ciberdelicuentes utilizan los mismos SSIDs que el punto de acceso auténtico para que el usuario se conecte erróneamente a ellos y poder robarle información.
Concienciar a los empleados sobre los riesgos de ciberseguridad móvil es, de nuevo, la principal barrera de protección: no conectarse a redes wifi sospechosas o utilizar información sensible o datos financieros bajo redes wifi de lugares públicos son principios básicos, pero también las soluciones que alerten inmediatamente de que una red es sospechosa antes de conectarse a esta.
4.- Ataques de ingeniería social
Los cibercriminales que emplean los ataques de ingeniería social buscan las debilidades de la naturaleza humana, es decir, se sirven del engaño para que el propio usuario sea el que facilite el acceso al malware, ya sea clickando sobre una URL, descargando un archivo o facilitando datos donde no debe. Son los ciberataques más comunes y como señalamos en un blogpost anterior, 6 de las 10 campañas de phishing más efectivas de 2018 contenían en el asunto el término “invoice” (factura, en inglés), con la que engañaron a los empleados haciéndoles pensar que eran facturas reales de su empresa.
Los móviles no son ajenos a este tipo de ataques. Más bien al contrario, según un estudio de IBM, los usuarios tienen hasta tres veces más posibilidades de facilitar un ataque de phishing utilizando el móvil. El motivo es que la barrera entre el trabajo y los asuntos personales, incluso con los móviles corporativos, se difumina fuera de la oficina y, por ello, los empleados a veces los utilizan para navegan por sitios más peligrosos que en sus equipos o responder a mails en sus correos personales que pueden poner en peligro el dispositivo.
En este sentido, también es clave la formación de los empleados para que aprendan a navegar de manera segura también en el móvil corporativo, distingan rápidamente emails de phishing y desconfíen de archivos sospechosos.
Como se puede ver, los riesgos de seguridad móvil pueden suponer un gran peligro para las empresas. Por tanto, para evitar que los dispositivos móviles corporativos se conviertan en un vector de ataque es imprescindible combinar la formación en ciberseguridad para nuestros empleados y el uso de las mejores soluciones de ciberseguridad avanzada.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
