La creciente penetración y dependencia social de Internet en los últimos años ha venido de la mano del también creciente uso de dispositivos móviles de usuario, tales como teléfonos inteligentes (smartphones) y tabletas. Diversos estudios evidencian que la adquisición de este tipo de dispositivos ha superado ya la de equipos tradicionales como los de sobremesa e incluso la de portátiles [1], previéndose que el número de los primeros sea un orden de magnitud mayor que el de los segundos en los próximos años [2]. En consonancia con ello, el tráfico móvil a nivel mundial en Internet está en constante aumento, superando ya en este momento el 50% del total según diferentes estudios (y llegándose a situar en algunos casos en torno al 70%) [3]. Estas cifras evidencian la relevancia actual y futura de las comunicaciones y servicios relacionados con este tipo de equipamiento.
Paralelamente a lo anterior, cabe destacar los elevados riesgos de seguridad asociados a los dispositivos móviles [4,5]. Esta circunstancia no implica solo a usuarios finales individuales (hecho ya de por sí suficientemente relevante), sino que puede llegar a afectar de forma significativa a empresas y organizaciones de todo tipo, en las que resulta cada vez más frecuente la adopción de la filosofía de trabajo BYOD (Bring Your Own Device) [6]. Esta consiste en la utilización por parte de los empleados de sus propios dispositivos personales para acceder a los recursos de la empresa, con el fin último de mejorar la flexibilidad en el funcionamiento operacional y conseguir una (supuesta) mayor motivación; todo lo cual se espera redunde en una mayor productividad. Si bien esta estrategia puede ser beneficiosa desde la perspectiva de negocio, la coexistencia en el dispositivo del ámbito de uso personal con el profesional implica riesgos directos a la seguridad de la red corporativa. Así, el uso de aplicaciones personales descargadas en tiendas online (p.ej., Google Play o Apple App Store), principalmente en tiendas no oficiales, ha motivado un crecimiento exponencial de la infección de dispositivos móviles con software malicioso, que además podría aprovechar la política BYOD para conseguir acceso a recursos corporativos. En conclusión, las amenazas de seguridad (ya de por sí relevantes en las redes y sistemas tradicionales) se han convertido en un problema de primera magnitud en los nuevos entornos, donde abundan los dispositivos móviles [7].
En este contexto, son numerosos los esfuerzos realizados por la comunidad científica y la industria con el fin de mejorar la seguridad de equipos y sistemas en entornos de movilidad. Por una parte, cabe mencionar el desarrollo de soluciones conocidas como MDM (Mobile Device Management), cuyo principal objetivo es la monitorización y gestión remotas de un móvil, sin importar el operador o proveedor de servicios del mismo. Se posibilita así a la corporación acceder a la configuración del dispositivo personal, haciendo de forma efectiva que esté bajo su control. Este tipo de soluciones ha tenido una gran aceptación por parte de las empresas y su crecimiento ha sido realmente vertiginoso, existiendo en la actualidad una alta variedad de herramientas: MaaS360 de IBM [8], AirWatch de VMware [9], XenMobile de Citrix Systems [10], Meraki de Cisco [11]. Las funcionalidades de un MDM son amplias y pueden resultar muy avanzadas: - Control e instalación de aplicaciones. - Rastreo GPS. - Sincronización de archivos. - Bloqueo de funciones (USB, micrófono, acceso a configuraciones, etc.). - Control de gasto telefónico. - Borrado remoto, ante un hipotético robo o pérdida. - Gestión de contraseñas. A pesar de lo anterior, las herramientas MDM presentan ciertas limitaciones que debemos tener presentes:
1. Muy pocas de ellas son gratuitas (p.ej., Meraki), con las implicaciones que sobre el coste económico de implantación, uso y mantenimiento ello conlleva en determinados entornos, como aquellos de carácter público.
2. Al tratarse de productos ‘cerrados’, la funcionalidad proporcionada puede no adecuarse a las necesidades de un usuario/empresa.
3. Del mismo modo, no resulta posible su potencial adaptación o ampliación ante nuevas necesidades y/o requerimientos.
4. Su uso no está específicamente ideado para la gestión de la seguridad de servicios y comunicaciones, sino para la aplicación de políticas corporativas.
Si bien las anteriores limitaciones son de carácter técnico, el principal problema en la implantación de una política BYOD basada en MDM es la vulneración de la privacidad del usuario, el cual no controla un dispositivo destinado parcialmente al uso personal, con información, documentos, imágenes, trazas de uso, etc. de carácter privado. Como respuesta a esta crítica, ha habido intentos reseñables de mantener el aislamiento completo del doble perfil de uso, como es el caso de Samsung Knox [12]. En esta solución se divide el procesamiento en el dispositivo en dos partes: una corporativa y otra personal. La corporativa permite la operación MDM, y su separación con la personal posibilita la privacidad del empleado.
Sin embargo, el desarrollo de Knox no ha sido el esperado y se han encontrado vulnerabilidades que permiten comprometer la separación entre los roles corporativo y personal (por citar un ejemplo, KNOXout). Al margen de los sistemas MDM, la provisión de seguridad en entornos móviles resulta per se un ámbito de actuación prolífico en lo que se refiere a la propuesta de soluciones y su impacto. En este sentido, destacan dos tipos básicos de aproximaciones: aquellas en las que el proceso de monitorización y detección se realiza en el propio dispositivo final (intra-dispositivo), y aquellas en las que dicho proceso tiene lugar fuera del dispositivo para reducir costes y/o consumo (extra-dispositivo). Las propuestas del primer tipo son numerosas y en ellas se recurre a mecanismos de detección estáticos, que buscan principalmente patrones de operación conocidos, o dinámicos, en los que se analiza la operación en tiempo real del entorno en busca de eventos potencialmente perniciosos [13]. Sin embargo, el principal problema de las aproximaciones intra-dispositivo es el coste computacional y el consumo de recursos que implican, razón que ha supuesto también la reducida proliferación y uso de sistemas anti-malware en dispositivos móviles.
Ante ello, las soluciones de seguridad extra-dispositivo plantean llevar a cabo el proceso de análisis y detección en un lugar ajeno al propio dispositivo móvil. Se recurre así a sistemas Sand-boxing [14] y Cloud-based [15]. Los primeros consisten en un entorno controlado (generalmente en base a máquinas virtuales) donde los eventos a analizar (y clasificar en su caso) no puedan causar daño, mientras que los segundos permiten análisis complejos de mejor efectividad, al disponerse de mayores recursos que los existentes en un simple dispositivo móvil. En todo caso, tanto los sistemas Sand-boxing como los sistemas Cloud-based se encuentran limitados en cuanto a su operación en tiempo real, restringiéndose su uso principalmente a análisis off-line que permitan identificar actividades maliciosas.
Desde esta perspectiva, ambas aproximaciones, intra- y extra-dispositivo, resultan complementarias. Esta complementariedad hay que entenderla, además, en el contexto general de la tendencia en la industria de la detección de intrusiones, donde se persigue la agregación de diversas fuentes de información a través de los conocidos SIEM (Security Information & Event Management) [16], sistemas que permiten a los equipos CSIRT (Cyber/Computer Security Incident Response Team) identificar, comprender y priorizar los eventos de seguridad ocurridos. En resumen, las soluciones de seguridad móviles (como parte de la seguridad global en los sistemas y en las comunicaciones) continúan constituyendo un reto para la comunidad científica en la actualidad, debiéndose mejorar tanto en efectividad como en eficiencia. Es también, y no hemos de soslayarlo, un problema de orden político, económico y social como demuestra el desarrollo de la normativa sobre seguridad de redes y sistemas; en particular, la reciente Directiva (UE) 2016/1148 (Directiva NIS).
Referencias
[3] Ericsson: “Ericsson Mobility Report. On the Pulse of the Network Society”. Junio, 2016. [Online; Accedido el 03/07/2017] https://www.ericsson.com/res/docs/2016/ericsson-mobility-report-2016.pdf
[4] Symantec: “ISTR: Internet Security Threat Report. April 2016”. [Online; Accedido el 03/07/2017] https://www.symantec.com/content/dam/symantec/docs/reports/istr-21-2016-en.pdf
[5] McAfee: “Mobile Threat Report. What’s on the Horizon for 2016”. [Online; Accedido el 03/07/2017] https://www.mcafee.com/us/resources/reports/rp-mobile-threat-report-2016.pdf
[6] Cisco: “BYOD: A Global Perspective”. [Online; Accedido el 03/07/2017] http://www.cisco.com/c/dam/en_us/about/ac79/docs/re/BYOD_Horizons-Global.pdf
[14] K. Tam, S.J. Khan, A. Fattori, L. Cavallaro: “CopperDroid: Automatic Reconstruction of Android Malware Behaviors”. 22º Annual Network and Distributed System Security Symposium (NDSS), pp. 1-15, 2015.
