SEGURIDAD EN DISPOSITIVOS

MVILES
La seguridad en dispositivos mviles se ha convertido en un asunto muy
importante debido al incremento de "ataques" recibidos y a las consecuencias que estos
tienen. Los ataques vienen incentivados por la popularizacin de los dispositivos mviles,
el aumento de informacin personal y confidencial que almacenan y las operaciones
realizadas a travs de ellos, como por ejemplo las bancarias.
Los dispositivos mviles estn formados por un conjunto de componentes de
hardware capaces de soportar una gran variedad de tecnologas inalmbricas (GSM,
UMTS, Wifi, Bluetooth, etc.), donde destaca uno o varios procesadores de altas
prestaciones que permiten ejecutar un sistema operativo muy complejo y un gran nmero
de aplicaciones que requieren una gran capacidad de clculo. Todo ello incrementa
significativamente las distintas vulnerabilidades a las que estn expuestos este tipo de
dispositivos.
Un hardware ms potente implica que pueden ser tratados ms datos
(normalmente personales), tanto los que se almacenan en la memoria de los dispositivos
mviles como los que se reciben por los diferentes sensores que estos incorporan.
Adems, el hecho de soportar una gran variedad de tecnologas inalmbricas abre ms
vas de ataque.

1.- LA PROBLEMTICA DE LA SEGURIDAD

1.1. Conceptos bsicos de seguridad
Cuando hablamos de seguridad, existe una nomenclatura imprescindible
para identificar el grado de proteccin que estamos utilizando. Si tomamos como
ejemplo los diferentes pasos que se efectan durante una llamada telefnica sobre
una red inalmbrica, podemos identificar los cuatro conceptos clave de seguridad
de la informacin:
Confidencialidad: ha de ser posible que nadie pueda captar nuestra
llamada y enterarse de lo que decimos.

 Autenticacin: solo los usuarios con un telfono de la red, es decir,

pertenecientes a la compaa, pueden utilizar la red.
Integridad: es necesario que la informacin, de voz o datos, que viaje por
la red inalmbrica no se pueda alterar sin que se detecte.
No repudio: debe ser imposible que un usuario que ha utilizado la red
pueda negarlo; es decir, se debe garantizar que haya pruebas que
demuestren que un usuario ha hecho una determinada llamada.
Hay que destacar que la propiedad de autenticacin es quiz la ms
importante de las que acabamos de mencionar, ya que sirve de poco conseguir
confidencialidad e integridad si resulta que el receptor de la informacin no es
quien nosotros pensamos.
Estos cuatro conceptos bsicos de seguridad de la informacin que
acabamos de definir son la base de la totalidad de los requisitos de seguridad que
se pueden necesitar, tanto si se trata de comunicaciones inalmbricas como de
informacin en general.
1.2. Capas de seguridad en dispositivos mviles
Para poder entender la importancia de la seguridad en los dispositivos
mviles hay que conocer las capacidades de estos dispositivos y cmo se ha
llegado a ellas. Principalmente, los dispositivos mviles han vivido una importante
revolucin en cuanto a las aplicaciones que pueden ejecutar. Esta revolucin ha
estado marcada por tres motivos:
1) Un hardware potente, con muchos sensores.
2) Un sistema operativo complejo que facilita un SDK1 sencillo y potente
para los desarrolladores.
3) Un mercado de aplicaciones completamente integrado en el sistema y
muy intuitivo, lo que facilita las transacciones tanto a los usuarios como a
los desarrolladores.
Debido a estas nuevas funcionalidades que ofrecen los sistemas operativos
para mviles y a las aplicaciones que se han creado sobre ellos, los dispositivos
mviles

acaban

almacenando

gran

cantidad

de

datos,

generalmente

confidenciales. Ya no nicamente guardamos los nmeros de telfono de nuestros

contactos, el registro de llamadas o los SMS, sino que tambin almacenamos una
gran cantidad de informacin personal, como pueden ser cuentas bancarias,
documentos o imgenes.
Este aumento de la informacin personal almacenada provoca que ms
personas puedan estar interesadas en obtenerla. Adems, la complejidad actual
de los sistemas operativos para mviles ha incrementado los agujeros de
seguridad expuestos. Por lo tanto, cuando utilizamos dispositivos mviles, es
recomendable seguir unas prcticas de seguridad, que sern parecidas a las
utilizadas en los ordenadores.
Para poder analizar la seguridad de los dispositivos mviles de manera
eficiente, se ha organizado este mdulo en cuatro apartados: la comunicacin
inalmbrica, el sistema operativo, la aplicacin y el usuario. Cada apartado
contendr una pequea introduccin, una breve descripcin tanto de los
principales ataques como de los principales mecanismos de prevencin y un caso
de estudio.

2.- APLICACION DE SEGURIDAD EN IOS y ANDROID

Si pensamos framente, nuestros smartphones y tablets van a atesorar informacin
de carcter personal; guardaremos contactos, tendremos las fotos que tomamos,
instalaremos el cliente de Twitter y Facebook, usaremos aplicaciones de geolocalizacin
o, incluso, llegaremos a leer nuestro correo electrnico.
Que significa eso? La respuesta es simple, creo que antes de ponernos a instalar
aplicaciones, deberamos invertir un poco de tiempo en la seguridad de nuestros
dispositivos mviles.
Pues s, aunque pueda ser lo ltimo que se nos pase por la cabeza y haya alguien que
pueda pensar eso ya lo har ms tarde, la seguridad en dispositivos mviles debera ser
una de nuestras tareas prioritarias; un must que no deberamos posponer porque, el da
menos pensado, esta inversin de tiempo nos sacar de algn apuro.
Y por dnde podemos empezar?

Al contar con un smartphone o una Tablet debemos pensar en aspectos como:

Controlar el acceso a tu dispositivo

Realizar copias de seguridad para respaldar tus datos

Controlar en remoto el dispositivo en caso de robo o prdida

No instalar aplicaciones a lo loco

Controlar los datos que compartes

Los parches de seguridad y las actualizaciones son importantes

Controlar el acceso a tu dispositivo

Tal y como comentbamos al inicio, nuestros dispositivos mviles guardan datos
de carcter personal; ah estn nuestros SMS, nuestras fotos, nuestros correos
electrnicos, nuestras conversaciones de WhatsApp o Line Es fundamental que
intentemos preservar esta informacin fuera del alcance de terceros; de hecho, si
hacemos compras de aplicaciones, alguien podra provocar una hecatombe si se
pone a comprar, cual proceso, canciones o aplicaciones desde nuestro terminal
sin contar con las medidas adecuadas.

Y qu opciones tenemos a nuestra disposicin? Teniendo en cuenta que no hacer nada

no es una opcin, dependiendo de la plataforma que estemos usando tendremos unas
opciones u otras. La ms simple, y disponible tanto en iOS como en Android, es bloquear
el terminal mediante una contrasea. En el caso de iOS lo encontraremos en los
Ajustes; concretamente en la opcin General y, dentro de ella, Bloqueo con cdigo.
En el caso de Android la encontraremos dentro de Ajustes y, una vez ah, dentro del
bloque de Seguridad.
Android nos ofrece otras opciones adicionales; hay terminales en los que
encontraremos opciones de reconocimiento facial, usar una contrasea alfanumrica y un
patrn visual, es decir, dibujar sobre la pantalla del terminal unas lneas que unen una
serie de puntos.
En el caso de iOS, si dispones de un iPhone 5s, el botn principal incluye un
sensor de huellas dactilares (llamado TouchID) que puedes usar para desbloquear tu
terminal de una manera muy cmoda (y tambin segura).

Realizar copias de seguridad para respaldar tus datos

Si hay algo que he visto en demasiadas ocasiones es que alguien se acuerde

del backup demasiado tarde; es decir, cuando ha perdido datos y se ha dado cuenta que
no los puede recuperar. Invertir algo de tiempo en realizar copias de seguridad del
contenido de nuestro smartphone o nuestra tablet nos puede sacar de ms de un apuro
en caso de avera o de perdida del dispositivo, minimizando la probabilidad de perder
informacin.

Y qu opciones tenemos a nuestro alcance? Los usuarios de iOS, aunque

muchos no lo usen, lo tienen muy fcil gracias al servicio de iCloud (que lo
encontraremos, dentro de Ajustes, en iCloud y, una vez dentro, en Almacenamiento y
copia). Con este servicio de sincronizacin activo, podremos realizar una copia de
seguridad automtica cada vez que tengamos nuestro dispositivo iOS en carga y
conectado a una red Wi-Fi; un proceso transparente por el que tendremos a buen recaudo
la configuracin de nuestro dispositivo, las fotografas, nuestros mensajes o las
aplicaciones que tenemos instaladas.
En el caso de Android, los usuarios tenemos que buscarnos alguna va para
hacerlo porque Google no nos pone las cosas tan fciles. En Android existe un
backup bsico que s que est incluido entre las opciones del sistema; si accedemos a los
Ajustes del dispositivo, si accedemos a la seccin denominada Personal, dentro de
sta, veremos una opcin denominada Privacidad en la que veremos la copia de ajustes
que se realizan dentro de nuestra cuenta de Google. Si activamos esta opcin, podremos
realizar una copia de las configuraciones de redes Wi-Fi, favoritos y datos de algunas
aplicaciones.

Por otro lado, si sincronizamos nuestros contactos con los de Google, tambin
tendremos un respaldo de estos en la nube y, si usamos Google Calendar, tambin
tendremos ah las citas de nuestra agenda. Y si buscamos opciones de copias de
seguridad ms profundas en Android, no nos quedar otro remedio que recurrir
a aplicaciones de terceros.
Finalmente, creo que es interesante dedicar unas lneas a las fotografas; para
realizar copias de nuestras fotos de una manera muy cmoda tenemos muchsimas
opciones y servicios como Dropbox, SkyDrive nos pueden facilitar mucho las cosas.

Controlar en remoto el dispositivo en caso de robo o prdida

Otra de las ventajas de los usuarios de iOS e iCloud es que este servicio tambin
ofrece un control remoto de los dispositivos. Gracias a iCloud, los usuarios pueden
geolocalizar sus dispositivos, bloquearlos en remoto, borrar su contenido o hacer saltar
una alarma si ste se extrava o nos lo roban.

Hasta el mes de agosto del 2013, los usuarios de Android carecamos de este tipo
de opciones y tenamos que recurrir a aplicaciones de terceros (como por ejemplo Prey).
Google por fin puso fin a esta carencia y lanz Android Device Manager que, hasta hace
unos das, estaba disponible solamente como aplicacin web (pero ahora tambin est en
forma de app Android por si tenemos varios dispositivos a controlar y vinculados a una
misma cuenta de Google).

Con Android Device Manager podremos controlar en remoto nuestro terminal para
ubicar su posicin en caso de prdida o robo, tambin podremos emitir una alerta sonora
en el terminal o borrar su contenido en remoto. Por defecto, este servicio no est activado

y tendremos que acceder a los Ajustes de Google del terminal y localizar la opcin de
Administrador de dispositivos.

No instalar aplicaciones a lo loco

iOS es un ecosistema controlado y, en general, apenas nos vamos a encontrar
con malware porque Apple revisa las aplicaciones antes que sean publicadas. An as, es
importante revisar las cosas que instalamos para evitar que nosotros nos convirtamos en
el producto de una app gratuita que termine apropindose de los datos que generamos.
De todas formas, aunque iOS sea un ecosistema controlado, en el momento que
optamos por el Jailbreak dejar de serlo y estaremos lanzndonos al vaco confiando
ciegamente en desarrolladores que no conocemos y que no tienen por qu declararlo todo
sobre sus aplicaciones.

En el ecosistema Android las cosas son algo distintas y, en mi opinin, debemos

extremar las precauciones. Es cierto que existen antivirus que nos pueden ayudar a
luchar contra el malware pero, en mi opinin, el mejor antivirus es el sentido comn.

Antes de instalar una aplicacin, los usuarios deberan revisar varios aspectos
antes de darle al famoso botn de aceptar e instalar. Para empezar, es importante que
revisemos los comentarios de otros usuarios para sondear qu opinan otros usuarios
que se hayan descargado la app, tambin es fundamental que revisemos los permisos
para sopesar si los permisos que pide son adecuados para la funcionalidad que ofrece la
aplicacin.
Tiene sentido que un juego requiera acceso a nuestros SMS o nuestros correos
electrnicos? Los permisos excesivos no son una buena seal y son un indicio de que,
realmente, nosotros somos el producto. Precisamente, los permisos excesivos son un
indicio de malware y son algo que tenemos que revisar muy bien.
El market oficial de Google es Google Play; sin embargo, tambin existe la
posibilidad de instalar aplicaciones fuera de este circuito oficial. Si tenemos activada la
opcin para instalar aplicaciones de Orgenes desconocidos podremos instalar
directamente paquetes apk pero eso implica un gran riesgo si no tenemos control de las
cosas que instalamos.

Controlar los datos que compartes

Dentro de la emocin inicial de usar un nuevo dispositivo, a veces solemos pasar

por alto algunos ajustes iniciales y nos dedicamos a pulsar repetidamente el botn de
siguiente. Sin embargo, creo que vale la pena pararse a pensar algunos detalles bsicos
sobre privacidad, la informacin que compartimos o las puertas que dejamos abiertas:

Si no estamos usando el Bluetooth, para qu dejarlo activo? Adems de ahorrar

batera, tambin bajaremos la probabilidad de que intenten enviarnos ficheros,
enlaces o cualquier cosa que no deseemos.

Tampoco es necesario tener encendido siempre el GPS o compartir nuestra

ubicacin con las aplicaciones que usamos. Efectivamente, la experiencia que nos
pueden ofrecer algunas aplicaciones mejora si compartimos nuestra ubicacin
pero, honestamente, vale la pena compartir esos datos?

Tanto Google con Android como Apple con iOS recopilan datos estadsticos del
uso que hacemos de nuestros dispositivos, por qu compartir esta informacin?

Los parches de seguridad y las actualizaciones son importantes

Aunque tengamos que dedicar algo de tiempo y suponga la descarga de datos,
debemos tomarnos muy en serio las actualizaciones. Que una aplicacin se actualice no
siempre implica que incluya nuevas funcionalidades o un rediseo; tambin se incluyen
parches y ajustes que arreglan problemas de seguridad o vulnerabilidades detectadas que
podran ser aprovechadas por un tercero, con no muy buenas intenciones, para robar
datos o lanzar algn ataque de malware.

Algo similar ocurre con las actualizaciones de sistema operativo; aunque sea un
proceso que requiere tiempo, es un proceso necesario para evitar cualquier problema
futuro.

3.- Aplicacin de Seguridad en Windows Phone

En el caso de Windows Phone, para bloquear nuestro dispositivo con una
contrasea, lo nico que tendremos que hacer es acceder a las opciones de
configuracin, localizar Pantalla de Bloqueo y activar la opcin Contrasea (adems de
introducir la contrasea que queramos usar para desbloquear el dispositivo).
Otro aspecto importante a tener en cuenta son las copias de seguridad, un detalle que a
veces se deja en un segundo plano a pesar de su gran importancia (la salvaguarda de
nuestros datos personales). Para configurar las copias de seguridad automticas en
Windows Phone, tendremos que acceder a la lista de aplicaciones y, una vez dentro, a
Configuracin

ah

localizar Copia

de

seguridad.

Si

activamos

esta

opcin,

mantendremos en la nube una copia de respaldo de los datos denuestro smartphone para
prevenir cualquier tipo de prdida de datos.
Windows Phone

lleva integrado de manera nativa a OneDrive, el sistema de

almacenamiento en la nube de Microsoft. Esta integracin, entre otras cosas, nos

permitir activar la subida automtica de fotos y tendremos siempre un respaldo en la
nube de las fotografas que tomemos.

Para evitar sustos en caso de prdida o robo de nuestro smartphone puede ser
interesante activar el localizador de nuestro dispositivo. Para hacerlo, tendremos que
acceder a la pgina de Windows Phone, ingresar en la zona privada con nuestras
credenciales de nuestra cuenta de Microsoft y, una vez dentro, acceder a Encuentra mi
telfono.
Activando esta opcin, cuando entremos a la pgina web de Windows Phone con
nuestras credenciales de usuario tendremos acceso a un mapa en el que se ubicar
nuestro dispositivo y sabremos dnde est en todo momento.
Como puedes comprobar, con muy poco esfuerzo y sin invertir demasiado tiempo, es
posible mejorar la seguridad de tu dispositivo Windows Phone y poner a salvo tus datos
personales.

4.- Recomendaciones Finales y Prcticas de seguridad

Como hemos visto los dispositivos mviles ya deben ser tratados como un
ordenador en cuanto a la seguridad se refiere, puesto que han heredado muchas de sus
caractersticas.

Activar el control de acceso inicial. Este acceso puede ser mediante el cdigo
PIN o usuario y contrasea.

Configurar el bloqueo automtico. Despus de un tiempo de inactividad es

conveniente que el dispositivo se bloquee.

Activar autenticacin para desbloquear. Esta autenticacin para desbloquear el

dispositivo puede ser ms simple y rpida que la inicial, como reconociendo un
patrn dibujado en la pantalla.

Controlar las aplicaciones que se instalan. Se deben tratar con precaucin las
aplicaciones que se instalen en el sistema, intentando bajarlas de fuentes de
confianza y con una reputacin positiva. Tambin hay que re- visar los permisos
que estas aplicaciones requieren para su funcionamiento (en caso de que el
sistema operativo limite las acciones de las aplicaciones por medio de permisos).

Mantener todo el software actualizado. Con el fin de corregir lo mejor posible los
problemas de seguridad, es importante mantener tanto las aplicaciones como el

sistema operativo actualizados. Adems, si es posible, hay que configurarlos para

que realicen la actualizacin automticamente.

Realizar copias de seguridad. Es muy importante que peridicamente se realicen

copias de la informacin importante que se almacena en el dispositivo. Adems,
los datos copiados tendran que encontrarse fuera del dispositivo, por ejemplo en
la web.

Cifrar la informacin delicada. Este cifrado puede realizarse tanto utilizando los
servicios que ofrece el sistema operativo como mediante aplicaciones de terceros.

Monitorizar el uso de recursos. Se pueden detectar anomalas realizando un

control de la utilizacin de los recursos del dispositivo mvil por parte de las
aplicaciones. Esto incluye revisin de la factura telefnica para detectar posibles
usos fraudulentos.

Deshabilitar los sistemas de comunicacin cuando no se utilicen. Adems de

reducir el consumo energtico, deshabilitar los sistemas de comunicacin cuando
no se utilizan puede evitar ataques. Los sistemas de comunicacin nicamente se
deben utilizar en redes de confianza.

Permitir control remoto. En caso de robo, es importante tener una aplicacin en

el dispositivo mvil que permita controlarlo remotamente. As, se puede localizar el
dispositivo, recuperar sus datos almacenados o borrar los datos confidenciales
para que no sean comprometidos. Tambin se puede tener una aplicacin que
borre los datos automticamente despus de varios intentos de acceso fallidos.

Contactar con el proveedor de servicios en caso de prdida. En caso de

prdida del dispositivo, lo primero que hay que hacer es informar al proveedor de
servicios para que efecte el bloqueo del dispositivo.

Eliminar la informacin confidencial antes de desechar el dispositivo. Al

deshacerse del dispositivo, no sabemos en qu manos puede caer, por lo tanto es
importante eliminar toda la informacin que contiene.

Tener sentido comn. Se deben seguir las mismas precauciones que se tienen
con los ordenadores cuando tratamos con archivos adjuntos a correos
electrnicos, enlaces desde SMS y, en general, navegacin por Internet.