Cabecera blog ciberseguridad

¿Cómo se puede poner a prueba la seguridad de los móviles que los trabajadores usan en el ámbito laboral?

- Ciber 4 All Team

Las empresas pueden someterse a auditorías de seguridad específicas para poner a prueba la seguridad de los móviles que los trabajadores usan en el ámbito laboral

Las amenazas a los teléfonos móviles son cada vez más comunes y complejas y desencadenan consecuencias de mayor gravedad. Así lo afirma la National Security Agency (NSA) de Estados Unidos, que ha elaborado una guía de buenas prácticas para que ciudadanos y trabajadores usen los móviles de forma segura. Esto resulta especialmente crítico en el terreno empresarial, ya que la información de las compañías y su continuidad de negocio pueden verse afectadas por incidentes de seguridad.

Por eso, es de vital importancia que las empresas pongan a prueba la seguridad de los móviles que los trabajadores usan en el ámbito laboral, además de implementar buenas prácticas en el uso de estos dispositivos tan importantes para el día a día de los profesionales.

A continuación, vamos a explicar en qué consiste la política BYOD, qué es un software MDM y cómo se puede poner a prueba la seguridad de los móviles que los trabajadores usan en el ámbito laboral.

¿Qué ataques contra teléfonos móviles empresariales pueden llevar a cabo los actores maliciosos?

Un atacante podría ejecutar multitud de ataques contra un dispositivo de un empleado con el objetivo de obtener información confidencial o alcanzar la red corporativa. A continuación, se listan algunos ejemplos de ataques que podrían realizarse:

  • Engañar al usuario a través de ataques basados en ingeniería social.
  • Instalar aplicaciones maliciosas.
  • Forzar la conexión del dispositivo a un punto de acceso fraudulento.
  • Explotar el uso de Bluetooth o NFC.
  • Acceder a la red empresarial a través de una conexión VPN.

Las consecuencias de este tipo de ataques podrían ser principalmente la filtración de información confidencial almacenada en el dispositivo y el acceso a la red corporativa por parte de un atacante. Una vez dentro de la red, el atacante podría tratar de llegar a otros equipos internos.

¿Cómo se puede implementar la política de Bring your own device (BYOD) de forma segura?

La política BYOD consiste en permitir que un empleado utilice su dispositivo personal para ejecutar sus funciones laborales y almacenar información corporativa. Este enfoque permite reducir el coste de proveer a los empleados de dispositivos corporativos y, al mismo tiempo, aumentar la satisfacción del empleado al utilizar un dispositivo conocido y respetar su privacidad.

La política BYOD por sí misma puede exponer a un mayor riesgo los datos de una organización, al permitir que residan en un dispositivo sobre el que no se tiene control. Por este motivo, esta política suele usarse en conjunto con software Mobile Device Management (MDM), el cual permite a las empresas establecer múltiples configuraciones y restricciones sobre los dispositivos registrados para aumentar su seguridad.

BYOD en Android

Para implementar BYOD, Android ofrece utilizar el perfil de trabajo, el cual permite aislar el espacio de trabajo del del usuario a múltiples niveles (almacenamiento, memoria…). Este perfil puede configurarse manualmente, aunque su verdadera utilidad se observa al permitir que lo gestione software MDM.

BYOD en iOS

Por otro lado, en iOS se implementa BYOD a través de la instalación de un perfil de configuración, el cual consiste en un fichero MobileConfig que contiene múltiples cargas útiles junto a información de autorización. Este perfil puede obtenerse iniciando sesión con una cuenta gestionada con Apple Business Manager o instalando el fichero correspondiente generado previamente por un MDM de terceros. En este segundo caso, el perfil de configuración suele distribuirse a través de un correo electrónico, sitio web corporativo o empleando una aplicación del MDM.

¿Qué conseguimos con un perfil de trabajo?

Independientemente del sistema operativo, el software MDM permite imponer restricciones en el dispositivo y el perfil de trabajo, pudiendo entre otras cosas:

  • Requerir la configuración de un mecanismo de bloqueo de pantalla.
  • Proporcionar una lista blanca de aplicaciones que pueden instalarse.
  • Impedir utilizar la funcionalidad de copiar/pegar entre el entorno del usuario y el del trabajo.
  • Bloquear el uso de MDM en dispositivos rooteados o jailbroken.

A priori, la política BYOD puede suponer un riesgo de seguridad a considerar, sin embargo, si esta se implementa de forma adecuada utilizando herramientas como un MDM resulta segura frente a posibles ataques.

¿Qué consejos básicos deben seguir los trabajadores para evitar que sus móviles sean atacados?

Para prevenir los incidentes de seguridad es recomendable que las empresas y sus empleados implementen algunas medidas básicas:

  • Desplegar mecanismos de autenticación robustos basados en contraseña para desbloquear el dispositivo.
  • Habilitar el uso de un segundo factor de autenticación (2FA) en todas las aplicaciones que lo permitan.
  • Evitar instalar aplicaciones no oficiales. Tener especial cuidado con versiones modificadas de programas premium (Por ejemplo, Spotify o YouTube sin anuncios).
  • No rootear/jailbreakear los dispositivos que van a contener información sensible.
  • Educar en seguridad a la totalidad de las plantillas para evitar ataques basados en ingeniería social. Entre estos ataques destacan el smishing y el qrishing.
  • Hacer uso de soluciones antivirus e instalar las últimas actualizaciones del sistema operativo y las aplicaciones.

¿Cómo se evalúa la seguridad de los móviles de los trabajadores de una empresa?

En el terreno de la seguridad de los teléfonos móviles juega un papel clave la auditoria de aplicaciones móviles que realizan los desarrolladores de apps. Más allá de esta clase de auditoría, el conjunto de las empresas puede analizar la seguridad de estos dispositivos mediante una auditoría de seguridad orientada a la implementación de BYOD. Esto normalmente se traduce en auditar la configuración del software MDM empleado.

Las pruebas de seguridad realizadas en este tipo de auditoría se centran en tratar de vulnerar la configuración de MDM con el objetivo de evadir las políticas impuestas por la compañía o de evaluar el bastionado de este para verificar si las configuraciones adoptadas puedan suponer un riesgo o impacto para la empresa. Algunas de las pruebas de seguridad más comunes son:

  • Enrolar un dispositivo no autorizado.
  • Rootear/jailbreakear el dispositivo corporativo.
  • Instalar aplicaciones no autorizadas en el entorno de trabajo.
  • Conectarse al dispositivo a través de USB.
  • Acceder a la red corporativa desde un dispositivo externo.

Realizar este tipo de auditorías ayuda a las empresas a determinar en qué medida la implementación de BYOD es segura y si las configuraciones adoptadas sobre el MDM resultan ser excesivamente permisivas pudiendo causar algún tipo de riesgo, lo que le permitirá a la compañía poder modificar o añadir nuevas configuraciones de seguridad durante el plataformado del dispositivo.

En definitiva, aquellas empresas en las que sus trabajadores usan los teléfonos móviles con fines profesionales deben poner a prueba la seguridad de los móviles que los trabajadores usan en el ámbito laboral. De esta forma pueden incrementar el nivel de seguridad de estos dispositivos, mitigar las debilidades detectadas y prevenir ciberataques.