18 May Los equipos móviles, en la mira de los hackers
Por Natalia Lesyk
El presente año se plantea con un escenario complejo, difícil, que no permite perder un minuto el rumbo de la protección sobre el mayor de los activos de una empresa: los datos. No es casual que los analistas de mercado y los laboratorios de investigaciones sobre ciberdelincuencia alerten, casi con ánimos de catástrofe mundial, que la vedette de los ataques son los equipos móviles, ya sean computadoras portátiles, smartphones y el creciente parque de tabletas corporativas.
La curva de crecimiento que tuvieron los teléfonos inteligentes el año pasado, que se mantiene de manera sostenida este año, hace que este segmento sea uno de los focos de los ataques actuales. Pero, ¿qué pasa cuando éstos son una parte fundamental de las herramientas de trabajo, a través de las cuales pasa toda la operatoria.
En su última encuesta de movilidad, la empresa de seguridad, Symantec, señala que: En el sur de América latina, el costo promedio anual a nivel empresarial de los incidentes de seguridad relacionados con la movilidad alcanza cerca de u$s 139.000. Y el daño está lejos de concentrarse sólo en las firmas de gran porte. Organizaciones de todos los tamaños han experimentado diversos perjuicios a causa de violaciones a la seguridad, incluida la pérdida de información sensible, propiedad intelectual y daño a la imagen. Según las proyecciones de Symantec, entre las principales amenazas actuales para los equipos móviles, se encuentran los ataques basados en la Web y las redes, además del software malicioso, los ataques por ingeniería social, el abuso de disponibilidad de servicios y recursos, la pérdida de datos por acción maliciosa y no intencionada y los ataques sobre la integridad de los datos del dispositivo.
En esta sintonía, el relevamiento Tendencias 2012: el malware a los móviles, elaborado por el Laboratorio de Investigación de ESET Latinoamérica, advierte que los ciberatacantes se enfocarán en desarrollar un gran número de ataques informáticos dirigidos especialmente a dispositivos con sistemas operativos Android. De 41 nuevas variantes de códigos maliciosos para Android analizadas, el 70% apareció durante el último semestre de 2011. El crecimiento en la tasa de uso de dicha plataforma se presenta como uno de los principales motivos para que los cibercriminales dirijan sus esfuerzos en este sentido”, detalla el informe. Desde la empresa de soluciones empresariales Citrix, Juan Pablo Jiménez, vicepresidente para Latinoamérica & Caribe amplía: La consumerización de la IT está impulsando a un número cada vez mayor de organizaciones a implementar estrategias y políticas que aumentan la adopción de una estrategia de traiga su propio dispositivo y admiten estilos de trabajo móviles.
Al respecto, la consultora Gartner relevó, por ejemplo, que desde mediados de 2011, Android se convirtió en la plataforma móvil líder con más de 400 millones de dispositivos móviles en todo el mundo, creciendo a raíz de 550.00 dispositivos por día.
Las barreras corporate
Sin embargo, los analistas y expertos en seguridad alertan que las empresas en América latina y en particular, en la Argentina, todavía no cobran consciencia de los riesgos que viven a diario frente a los usos intensivos de la navegación en Internet, descarga de aplicaciones, contraseñas inseguras, spam y los peligros que conllevan las redes sociales. Cabe recordar que en la Argentina, la tendencia al dispositivo móvil se refleja en un parque de smartphones proyectado en 9,5 millones para 2012, según la consultora Carrier & Asociados. En tablets, para fin de año, la cantidad llegaría a un total de 500.000.
Flavio de Cristófaro, Head of Security Consulting Services, de Core Security, la firma de análisis de seguridad de origen argentino y hoy radicada en los Estados Unidos, advierte: “En general, todas las empresas cuentan con dispositivos de seguridad de redes (como ser Firewalls, IDS/IPS o WAFS). Otro de los controles consiste en la instalación de software antivirus. Sin embargo, las protecciones que se aplican sobre dispositivos móviles (como ser encriptación de información sensible, software de administración remota en caso de pérdida o robo, entre otros) son pocos y débiles”.
Al respecto, Carlos Castillo, Mobile Malware Researcher de McAfee Chile, analiza cuantitativamente: Actualmente, el 32% de los usuarios piensa que no necesita software de seguridad para sus dispositivos móviles y el 50% de los usuarios no protegen su dispositivo mediante contraseña. Esto implica un cambio de conciencia sobre el uso del celular y la barrera más importante a vencer es ese descuido”.
Por su parte, Sebastián Bortnik, gerente Educación y Servicios de ESET Latinoamérica, complementa que “lamentablemente, muchas organizaciones necesitan sufrir un incidente de seguridad para comprender la importancia de proteger la información”. Aquí radica también otro de los motivos que los impulsa a sostener la educación y la concientización como pilares para alertar a las empresas sobre lo que podría ocurrir en su negocio si sufre un incidente de seguridad informática. “Es clave para no llegar a la instancia de reaccionar, luego de un ataque informático, sino de forma proactiva”, resume.
Protección en nueve pulgadas
Pero no todas las compañías se olvidan de las políticas de seguridad, sino por el contrario, están aquellas que apuestan a la protección desde el minuto cero. Un ejemplo es SAP. Impulsada por una decisión a nivel global, la firma de soluciones empresariales fue una las pioneras en América latina en adoptar las tablets para reforzar las comunicaciones y herramientas móviles de trabajo. Fundamentalmente, en los sectores de fuerzas de ventas, alta gerencia, y en aquellos que tuvieran un rol enfocado de cara al cliente u otros stakeholders. Hoy, cuenta con 14.000 de estos equipos, cifra que la convierte en la tercera firma en el mundo con mayor uso corporativo. Además, SAP también adoptó su porfolio equipos del segmento tablets con sistema operativo Android.
Todos, conviven con una plataforma de smartphones, en la que se trabaja con los tres sistemas operativos (OS, por sus siglas en inglés) de Black Berry, Android y iPhone para dar soporte a la telefonía móvil de sus 54.000 empleados, cuyo 25% tiene una experiencia laboral basada en una tableta.
Al respecto, Mark Crofton, vicepresidente de Ventas para soluciones de Movilidad de SAP América latina y el Caribe, cuenta: “Nuestra visión de la movilidad es que vamos hacia un mundo en donde las empresas van a convivir con diferentes tipos de dispositivos y sistemas operativos. El desafío y la promesa es que nuestras soluciones funcionen perfectamente en todos”.
Por ello, no es casual que sea una compañía preocupada por salvaguardar la información, tanto desde el software como el hardware y apoyados en campañas de conciencia sobre uso. Incluso, se reconoce como estar libre de ataques o intrusiones por sobre los sistemas de seguridad.
Para lograrlo, cuentan hoy con la versión 7 de Afaria, una solución de seguridad y gestión de dispositivos móviles, desarrollada por Sybase, la firma que SAP compró en 2010 por u$s 5.800 millones. A través de la solución, se logra una única consola administrativa para asegurar de manera centralizada los datos, aplicaciones y los equipos. Crofton aclara: “Tiene una nueva interfaz de usuario que simplifica la administración, perfecciona los flujos de procesos y magnifica las funcionalidades de integración empresarial. En caso de que se pierda o dañe el dispositivo, el administrador puede bloquear el equipo y borrar la información, entre otras acciones”.
“Ningún área es ajena, pero además de los sistemas hay que tener en cuenta que, al ser dispositivos móviles se pueden extraviar y robar fácilmente. Contar con herramientas que permitan bloquear y eliminar la información de los equipos es clave”, reflexiona Crofton.
Otra empresa que le saca el jugo a los dispositivos móviles, auqnue a una escala mucho menor, es la argentina Molinos Cánepa, de Chivilcoy. La empresa, que es parte del grupo Los Grobo y se especializa en molienda harinera, cuenta con ocho notebooks y cuatro smartphones, que comenzaron a introducirlos en 2002 y 2008, correspondientemente. Entre las portátiles, optaron por marcas como HP, Lenovo y Dell; mientras que BlackBerry fue el elegido entre los celulares. Ambos dispositivos cubren las necesidades de movilidad de la presidencia, alta gerencia de la empresa y jefes de sector de la compañía.
La visión de las empresas
Guadalupe Badano, responsable de Sistemas de Cánepa Hnos., cuenta cómo fueron implementando los mecanismos de seguridad de la empresa a lo largo de los últimos años: “Hasta 2002, utilizábamos servidores Unix, que no eran tan vulnerables a ataques. Cuando se comenzaron a usar PCs con los primeros sistemas operativos de Microsoft, y sobre todo cuando se incorporó a la empresa la conexión a Internet y el correo electrónico corporativo, se hizo imprescindible el uso de Antivirus, Antiespías y Antimalware. En general, hemos tenido muy pocos incidentes de infección con virus. Y no hemos sufrido ataques de hackers”.
Hoy, las áreas más críticas que tiene la empresa frente a cualquier ataque cibernético son Calidad y Ventas. La primera porque se encarga de las fórmulas de productos que se elaboran a pedido de los clientes, mientras, la segunda por su alto interés para otras empresas que quieran conocer su cartera de clientes.
Para hacer frente a la amenaza, la responsable aclara, “la firma pone especial atención a la configuración del firewall de los servidores, las PCs y notebooks, la actualización del antivirus y la configuración de los permisos de los usuarios. Además se trata de concientizar a los usuarios sobre la importancia del resguardo de las contraseñas”.
Aún así, considera que, desde el parque tecnológico, la mayor vulnerabilidad se da en la red de datos, ya que su impacto y propagación por los equipos puede causar daños irreparables, en algunos casos. “De ahí, la importancia de resguardar la información más sensible con políticas de backups que permitan restablecer los datos lo más rápido posible”, explica Badano.
En busca de la protección
Según los resultados de la encuesta sobre seguridad en el Cisco Connected World Technology Report, “al menos 1 de cada 3 empleados (36%) respondió negativamente cuando se le preguntó si respetaba a su departamento de IT. Al equilibrar el cumplimiento de la política IT con los deseos de los empleados de tener más acceso a los medios sociales, dispositivos y acceso remoto, se ponen a prueba los límites de las culturas corporativas tradicionales”.
Al respecto, Federico Chaniz, regional Manager de Blue Coat, comenta: “Las empresas han tomado recientemente conciencia de la criticidad de la protección de sus equipos, especialmente los móviles; y están buscando la manera de brindar protección a esos dispositivos a través de nuevas herramientas, diferentes a las tradicionales, que cambien el paradigma de protección hacia el mundo de las aplicaciones y la Web 2.0”.
“Sin embargo- agrega-, las organizaciones cuentan con protección frente a aplicaciones corporativas de las estaciones de trabajo, pero por cada puesto de trabajo fijo, existen entre dos y tres dispositivos móviles que no cuentan con el mismo nivel de protección y que se conecte a la red corporativa es el principal riesgo de infección y el más difícil de controlar”.
El ejecutivo recomienda, “identificar, conocer, entender y clasificar las aplicaciones que existen en su red, porque en ella es donde residen las amenazas de seguridad y también los problemas de performance. Una vez que esto se logre, se pueden tomar las medidas de protección necesarias. También es imprescindible entender el mundo de la Web 2.0 y las amenazas que existen en ella, la inevitabilidad de la misma, y, por último, implementar soluciones expertas para resolverla”.
Bortnik aconseja que el primer paso es “independizar al departamento TI y alinearlo al negocio. Para ello, es necesario involucrar a los altos mandos en la toma de decisiones sobre el rumbo de la seguridad. Si no se comprende el negocio, no será posible diseñar una estrategia de seguridad eficiente, sino que serán simplemente controles aislados probablemente no asociados al negocio”.
En tanto, “para el usuario corporativo, es importante hacerle comprender que proteger la información de la empresa es proteger el negocio, su puesto de trabajo, la calidad del mismo y también su información personal. Las buenas prácticas hay que transportarlas del hogar al trabajo y de la empresa al hogar”, concluye el gerente.
EL CRONISTA