Cuando se trata de la seguridad de los dispositivos móviles, somos nuestros peores enemigos. A pesar de que muchas personas han llegado a confiar en sus dispositivos móviles las 24 horas, los siete días de la semana, los investigadores señalan que la mayoría de los usuarios no parece estar mejorando su nivel de sabiduría con respecto a la seguridad.
Según un informe sobre las amenazas de la seguridad realizado por Symantec en el 2012, el 44% de los adultos no sabía que existían soluciones de seguridad para sus dispositivos móviles. Dicha cifra se elevó al 57% en el año 2013 en el último reporte de la empresa de seguridad, el cual fue publicado en abril del 2014. Los investigadores señalan que la falta de educación entre los usuarios es, en parte, culpable de esta situación. Por ejemplo, las personas que pasan a usar teléfonos inteligentes después de años de haber usado teléfonos con requisitos limitados de seguridad, a menudo no son conscientes de la necesidad de instalar aplicaciones de seguridad.
Adicionalmente a nuestros problemas de seguridad móvil, el número de dispositivos móviles perdidos sigue creciendo. De acuerdo con una encuesta realizada por Consumer Reports, 1,4 millones de teléfonos inteligentes se perdieron -y nunca se recuperaron- durante el 2013, frente a los 1,2 millones del 2012.
Con tantas maneras de poner los dispositivos y a los datos corporativos en riesgo, no hay una solución de “talla única” que le haga frente a todos los problemas de la seguridad móvil. “Hasta la fecha no hay realmente una manera perfecta para mantener seguro a un dispositivo de un empleado”, anota Jamisson Fowler, vicepresidente de TI de WellPoint, una compañía de beneficios de salud con sede en Indianápolis. “Ellos siempre están propensos a su propios errores, y no existe ninguna herramienta que asegure totalmente al dispositivo”. Sin embargo, hay maneras de hacer que los empleados sean más diestros en cuanto a la seguridad móvil.
He aquí un vistazo a los cinco tipos de empleados que son más propensos a las conductas de riesgo, y algunos útiles consejos sobre cómo enseñarles a ser más diligentes acerca de cómo salvaguardar sus dispositivos y datos.
1.- El incauto
Algunas personas son susceptibles a estafas de ingeniería social y a los intentos de phishing, porque no están advertidos de los peligros que acechan en línea. ¿Cómo entrenar a este tipo de empleados para que reconozcan y eviten las tácticas siempre cambiantes de los “chicos malos”?
Haga phishing: Los cibercriminales están siempre buscando hacer su próximo gran hackeo, y los dispositivos móviles son la nueva frontera. Los ataques que han demostrado tener éxito en las PC ahora están siendo probados en usuarios móviles inconscientes para ver lo que funciona, y con el número de dispositivos móviles con escasa protección en alza, hay muchos blancos fáciles. “Definitivamente, los atacantes están buscando el punto débil de la cadena” y luego lo están llevando a las estafas más exitosas, anotó Lior Kohavi, director de Tecnología de Cyren, un proveedor de sistemas de seguridad basados en la nube.
Para el fabricante alemán de dispositivos médicos Karl Storz GmbH, el enfoque de seguridad para los 2.200 dispositivos móviles que su área de TI gestiona, es el mismo que el enfoque para la seguridad de sus sistemas internos. “Queremos que la gente tome consciencia de los ataques de phishing“, señaló David O’Brien, director de tecnología empresarial en Karl Storz Endoskope.
Con los sistemas internos, la empresa utiliza un programa de entrenamiento de PhishMe para hacer correr estafas simuladas de correo electrónico e ingeniería social entre los empleados para ver quién “muerde el anzuelo”. En algunos primeros ejercicios, un sorprendente 70% de empleados del área TI cayó ante las estafas de phishing más básicas, haciendo clic en enlaces e introduciendo sus identificaciones y contraseñas. Entre quienes cayeron “pescados” estuvo “mi gente de TI más senior”, afirmó O’Brien.
Por supuesto, los chicos malos se dedican a la ingeniería social, no solo a través de sistemas basados en PC, sino también a través de los sistemas móviles. Sin importar el medio, las maniobras se aprovechan de los usuarios de confianza que, sin saberlo, hacen clic en los enlaces que descargan malware que los ladrones utilizan para acceder a los datos y a las redes corporativas. Los mensajes de phishing abiertos en los dispositivos móviles pueden infectar a las computadoras portátiles y a los sistemas corporativos, anotó Stu Sjouwerman, co-fundador de la empresa de entrenamiento en seguridad KnowBe4. Él ofreció un sencillo consejo: “Piense antes de hacer clic”. Los ejercicios de phishing les enseñan a los empleados de Karl Storz a reconocer estafas, y les proporcionan consejos sobre cómo evitarlas.
“Este tipo de ataques impactará cualquier dispositivo, móvil o cualquier otro”, señaló O’Brien. “En nuestras pruebas, casi el 20% de nuestros usuarios finales que cayó en el ejercicio de phishing, lo hizo a través de sus dispositivos iOS (iPhones o iPads). Estoy seguro de que nuestras futuras pruebas revelarán un mayor porcentaje de uso de dispositivos móviles”.
La seguridad es parte de la cultura corporativa del gigante de la tecnología Raytheon. Alrededor de un tercio de los empleados de la empresa, los cuales suman un total de 63 mil personas en todo el mundo, usan teléfonos inteligentes y tabletas proveídas por la compañía, y el “factor humano” es siempre el común denominador cuando se trata de las fallas en la seguridad, comentó Jon Aliber, vicepresidente de los negocios globales y servicios de TI.
“Se tiene que saber llegar a la persona, y asegurarse de que sepa cómo se ve e identifica una estafa de phishing“, indicó Aliber. Raytheon utiliza herramientas de colaboración social y blogs para que los empleados tomen consciencia de las estafas de phishing recientemente identificadas. La compañía también requiere que todos los empleados completen un curso en línea de capacitación en seguridad anualmente.
2. El dueño nuevo de un dispositivo móvil
Las personas que están recibiendo tabletas o teléfonos inteligentes por primera vez, representan un riesgo a la seguridad, ya que ellos no saben, lo que no saben.
Solución – Una política de no-avergonzar: WellPoint ofrece iPads a unos 500 médicos y coordinadores de servicios que visitan pacientes ancianos, ciegos o discapacitados en sus hogares. Fowler describió a la mayoría de estos usuarios móviles como “no demasiado conocedores y un poco incómodos” con la tecnología.
El equipo de Fowler se sorprendió al saber que algunos de estos empleados estaban avergonzados o tenían miedo de informarle al departamento de TI cuando habían perdido sus iPads. “La gente espera un día, o hasta tres, para admitir que piensan que han perdido el dispositivo -y lo están buscando ahora mismo- cuando están bastante seguros de que lo han perdido”, señaló el ejecutivo. “A veces podemos descubrir que los dispositivos han sido robados, y otras, que han sido dejados en casa,y podríamos encontrarlos a través de los servicios de localización”. Sin embargo, el tiempo de retardo en encontrar el dispositivo, lo pone en riesgo tanto como a la información sensible que este guarda.
Entonces, el equipo de Fowler encontró dos soluciones. En primer lugar, para que sea menos probable que los médicos y coordinadores de servicios dejen, sin querer, sus iPads en casa, les dieron mochilas lo suficientemente grandes para llevar sus equipos y sus documentos de trabajo. Los empleados también fueron capacitados para informar inmediatamente si pensaban que habían extraviado sus dispositivos. En segundo lugar, para que sea más probable que la gente llame e informe sobre sus iPads perdidas, se instituyó una política de “no avergonzar” para tranquilizar a los empleados sobre no tener por qué sentirse avergonzados por extraviar sus dispositivos.
“Nosotros no le vamos a gritar a nadie por haberlos perdido. La gente de TI no lo hará”, comentó Fowler. “Cuando los médicos llaman al equipo que ve las iPads, encuentran gente encantada en ayudarles. Hay momentos en que descubrimos que el dispositivo está perdido, pero inmediatamente podemos iniciar nuestros protocolos de seguridad”.
Para reducir el riesgo de una violación a la seguridad si un dispositivo ha sido robado, los nuevos usuarios de iPads están capacitados en la importancia de la protección a través de contraseñas e instruidos para usar múltiples contraseñas. “Aplicamos un proceso de formación, a través de teleconferencias en línea, no solo enfocándonos en el dispositivo, sino en la importancia de las contraseñas y de mantenerlas separadas”, explicó Fowler. “También vamos por la ruta de mostrarles algunos ejemplos de cómo pueden meterse en problemas”.
Por ejemplo, Fowler creó correos electrónicos de phishing falsos que ilustran cómo puede verse una estafa en Facebook, y un correo electrónico falso de una entidad bancaria solicitando información. La lección aprendida, añadió Fowler, es la siguiente: “Si utiliza contraseñas similares en el dispositivo, y si el software que hemos desplegado tiene información del paciente, podría ponerse a sí mismo y a la compañía en una situación de riesgo”.
3. El despistado
La mayoría de la gente considera que su información personal no tiene precio y la quieren guardar muy cerca, pero algunas personas son menos cuidadosas con los datos y los dispositivos corporativos que les brindan sus empleadores.
Solución-Gamificación y otros recordatorios: El gobierno del estado de Michigan debe llevar un registro de 17 mil teléfonos inteligentes y tabletas que usan los empleados estatales. El año pasado, los trabajadores perdieron 256 dispositivos móviles otorgados por el estado, incluyendo smartphones, tabletas y portátiles.
En el pasado, “el entrenamiento era francamente un fracaso aquí”, recordó Daniel J. Lohrmann, director de seguridad de Michigan. “Fue la muerte en PowerPoint”, señaló acerca de la presentación de una hora, que sospechaba solo algunas personas estaban viendo en su totalidad. “Así que la tiramos a la basura”. Lohrmann quería revisar el planteamiento del Estado sobre el entrenamiento de la seguridad. Los usuarios dijeron que el programa de entrenamiento antiguo era aburrido, irrelevante y no les enseñaba nada. El ejecutivo dijo que tuvo que hacerlo breve, interactivo, divertido e interesante y, sobre todo, encontrar una manera de enseñar las cosas que la gente no supiera.
Así que el equipo escogió un proveedor para ofrecer a sus empleados un entrenamiento que incluyera lecciones basadas en videojuegos. Lohrmann agregó que uno de sus módulos favoritos ofrece una lección interactiva acerca de dispositivos perdidos o robados en los aeropuertos. Este es un tema importante; los viajeros dejaron olvidados 8.016 dispositivos inalámbricos en solo siete aeropuertos -Chicago, Denver, San Francisco, Miami, Orlando, Minneapolis-St. Paul y Charlotte- según una encuesta del 2012 realizada por Credant Technologies, ahora parte de Dell. Smartphones y tabletas componen el 45% de los dispositivos perdidos, y las computadoras portátiles representaron el 43%. De acuerdo con Credant, cerca de la mitad de los dispositivos fueron devueltos a sus propietarios, y el resto fue donado a la caridad o subastado.
El módulo de entrenamiento presenta estadísticas sobre los dispositivos perdidos en los aeropuertos, y continúa con los pasos que las personas deben tomar para evitar extraviar sus gadgets. Entonces comienza la diversión. Los usuarios asumen el papel de un personaje de tipo Mario Bros en un juego en línea, y tienen 90 segundos para encontrar 12 dispositivos móviles perdidos o robados en un aeropuerto, sobre la base de la información que acaban de aprender. El personaje, controlado por el usuario, pasa por el aeropuerto -por el módulo para hacer check-in, el patio de comidas, la cinta de seguridad y los trenes entre terminales-, y hay una recompensa por cada dispositivo que el usuario encuentra. “Nunca nadie los encuentra todos la primera vez que juega, por eso querrán jugar de nuevo”, anotó Lohrmann.
El estado de Michigan está desplegando ese módulo de entrenamiento actualmente, y Lohrmann espera que los empleados queden tan impresionados como él.
“Es una solución ‘pegajosa'” En cuanto a mí, no puedo ir al aeropuerto sin pensar en el juego”, agregó. El módulo de entrenamiento “está haciendo algo que va a cambiar el comportamiento de las personas”.
4. El genio de la tecnología
Los usuarios finales que conocen la tecnología pueden ser una pesadilla para la seguridad; especialmente si ellos saben cómo reconfigurar sus teléfonos inteligentes para darse privilegios de administrador.
Solución – Sea más inteligente que los sabelotodos: El malware puede hacer mucho daño en los dispositivos que han sido alterados a nivel administrativo. Y Gartner predice que para el año 2017, el 75% de las violaciones de seguridad móvil serán el resultado de aplicaciones mal configuradas.
Karl Storz toma en serio esta amenaza. “Somos una empresa de ingeniería, y las personas somos conocedoras de la tecnología aquí”, indicó O’Brien. Desde que los teléfonos inteligentes son brindados por la empresa, “no he visto a los usuarios reconfigurar sus teléfonos, pero pueden hacerlo. La información está ahí fuera, y el departamento de TI no puede controlarla”.
Según Gartner, los compromisos más comunes a las plataformas son los jailbreaking a los dispositivos iOS, y el rooting en los dispositivos Android.
Estas acciones intensifican los privilegios del usuario en el dispositivo, convirtiéndolo, esencialmente, en el administrador. Asimismo, les permiten a los usuarios acceder a determinados recursos del dispositivo que normalmente son inaccesibles, poniendo en peligro los datos mediante la eliminación de las protecciones específicas de las apps y la segura sandbox que proporciona el sistema operativo. También pueden permitir que el malware se descargue en el dispositivo y hacer todo tipo de acciones maliciosas, incluida la extracción de datos de la empresa. Estos dispositivos móviles comprometidos también son vulnerables a ataques de “fuerza bruta” sobre las claves de acceso, según Gartner. La compañía de investigación también afirma que la mejor defensa es mantener los dispositivos móviles bloqueados con herramientas y políticas de gestión de dispositivos móviles. La seguridad se puede mejorar aún más blindando las aplicaciones, y con “contenedores” que protejan los datos importantes.
Los líderes en seguridad de TI también tienen que usar los controles de acceso a la red para bloquear las conexiones que van a los sistemas empresariales en los dispositivos que muestren actividades potencialmente sospechosas. Raytheon mantiene en jaque a los empleados potencialmente deshonestos haciéndoles saber que se está al tanto del uso corporativo y las políticas de comportamiento. “Si ellos hacen las cosas por su cuenta, entienden que están violando la política de la empresa, y eso los pone en una situación poco envidiable”, mencionó Aliber.
Estas políticas son parte de estrategias de seguridad de datos más amplias que también incluyen el uso de software de gestión de dispositivos para el control de configuraciones, y el almacenamiento de datos en la nube, en lugar de utilizar el almacenamiento del dispositivo móvil.
5. El que comparte demasiado
Algunos empleados comparten demasiada información en los medios de comunicación social. Otros están más que dispuestos a dejar que amigos y familiares utilicen sus dispositivos.
Solución – Cierre el agujero: Gracias al auge de los medios sociales, las organizaciones que contratan a mucha gente joven están enfrentándose con el hecho de que los empleados compartan una cantidad de información sin precedentes, públicamente, y las implicancias de esta tendencia están comenzando a emerger. Con una generación que sabe manejar el social media integrado a la fuerza de trabajo, va a ser interesante ver cómo las empresas manejarán sus datos sensibles, dijo Chris Silvers, director de CG Silvers Consulting, una consultora de seguridad de TI. “Hay ya tanta información por ahí, que no se puede ir por ella de nuevo”, añade.
Los empleados que comparten con demasiada libertad en las redes sociales, se convierten en un blanco fácil para los estafadores que se hacen pasar por los compañeros de trabajo u otros conocidos, tratando de persuadirlos para compartir credenciales, contraseñas o información de la compañía.
“A cualquier hora, la gente vincula a los medios sociales a eventos o direcciones de correo electrónico del trabajo, y esto es una amenaza para los datos de la empresa”, anotó Chris Hadnagy, chief human hacker en Social-Engineer Inc., una empresa de entrenamiento y consultoría en seguridad. “Nos encontramos con personas que usan sus direcciones de correo electrónico corporativas en LinkedIn y Facebook. Los estafadores pueden buscar a estas personas en línea, y luego ir a sus posts, blogs y foros en los que han publicado, para encontrar cosas personales. Todo ellos son vectores para las estafas de ingeniería social.
Una vez más, la educación es la clave. “Los empleados necesitan una buena formación para darse cuenta de que si tienen cosas personales por ahí, entonces no deben confiar en todo lo que viene o aparece en los sitios de medios sociales o correos electrónicos”, señaló Hadnagy.
Hadnagy también sugirió el establecimiento de políticas para el uso de medios sociales en el trabajo. Si está permitido, entonces los empleados deben crear cuentas de trabajo y cuentas personales. “¿Es posible encontrarlos aun en LinkedIn? Seguro, pero al menos ya hay un grado de separación”, anotó.
Compartir demasiado también puede llegar en variedades más inocentes. Lohrmann señala a los padres que entretienen a sus hijos al dejarlos jugar y ver videos en teléfonos inteligentes o tabletas de propiedad de la compañía, dejando a los dispositivos susceptibles de sufrir daños o, peor aún, permitir el acceso no autorizado de los piratas que acechan en sitios web cuestionables. Para evitar estas situaciones, los empleadores deberían establecer políticas de seguridad que eviten el uso de dispositivos de propiedad de la compañía por amigos y familiares del usuario.
Al final del día, los líderes de seguridad en TI dicen que se trata de equilibrar la flexibilidad y la productividad. “Sí, permitimos cierta flexibilidad en cuanto a lo que dejamos que la gente haga en sus teléfonos móviles”, indicó Aliber, señalando que descargar algunas aplicaciones está bien. “Pero cuando se trata de proteger los datos de la empresa, no hay flexibilidad. Es un entorno administrado. Estamos equilibrando la necesidad de productividad, con la necesidad de ayudar a hacer crecer el negocio”.
– Stacy Collett, Computeworld EE.UU.
