asegurando tu mundo móvil
TRANSCRIPT
ASEGURANDO TU MUNDO MÓVIL
CYBERSABIO
PRESENTADORES
CHRISTIAN DIAZ
EXPERTO EN SEGURIDAD INFORMÁTICA, CON EXPERIENCIA EN SISTEMAS INFORMATIVOS DE
SEGURIDAD PARA EL SECTOR COMERCIAL, PROFESOR DE SEGURIDAD COMPUTACIONAL PARA
PARA EL PROGRAMA ACREDITADO POR LA NSA EN MERCY COLLEGE, INVESTIGADOR DE
INCIDENTES DE SEGURIDAD EN INTERFAITH MEDICAL CENTER
PRESENTADORES
CHRISTOPHER FRENZ
UN OFICIAL DE SEGURIDAD DE LA INFORMACIÓN PARA UN CENTRO MÉDICO CON 6
SUCURSALES EN BROOKLYN EN NUEVA YORK, Y PROFESOR DE SEGURIDAD DE LA INFORMACIÓN
PARA EL PROGRAMA ACREDITADO POR LA NSA EN MERCY COLLEGE. ES AUTOR DE DOS LIBROS
SOBRE PROGRAMACIÓN DE COMPUTADORAS Y NUMEROSOS ARTÍCULOS SOBRE LA SEGURIDAD
Y PRIVACIDAD. TAMBIÉN POSEE NUMEROSAS CERTIFICACIONES ESTÁNDARES DE LA INDUSTRIA
TALES COMO CISSP , HCISPP , CIPP , CIPM , CIPT , CCSK
VENTAJAS DE LA MOVILIDAD
• EMPLEADOS PUEDEN SER MÁS PRODUCTIVOS EN CUALQUIER PARTE
• EMPLEADORES PUEDEN COMUNICARSE MÁS FÁCILMENTE CON SUS EMPLEADOS
• EMPLEADOS TIENEN MÁS PROBABILIDADES DE RESPONDER A ALGÚN PROBLEMA AÚN SIN
ESTAR EN SUS TRABAJOS
• PERO ¿A QUÉ COSTO???????
¿ES LA MOVILIDAD UN RIESGO DE SEGURIDAD?
173084400
726987218
REGISTRO DE VIOLACIONES
Mobile Other
1149
3853
VIOLACIONES DE DATOS
Mobile Other
Fuente: PrivacyRights.org
Cronología de Violaciones de
Datos – Base de datos de
todas las violaciones de datos
dadas a conocer públicamente
desde el año 2005 en
adelante
PROBLEMAS DE SEGURIDAD MÁS COMUNES EN DISPOSITIVOS MÓVILES
• DISPOSITIVOS FÁCILMENTE EXTRAVIADOS O ROBADOS
• PRÁCTICA TRIVIAL Y COMÚN: NO USO DE CONTRASEÑA/PINS, Ó USO DE CONTRASEÑAS/PINS DÉBILES (EJ.: 1234)
• FALTA DE ENCRIPTACIÓN
• PARCHES DE SEGURIDAD AUSENTES ES COMÚN
• A MENUDO CONECTADOS A REDES WIFI INSEGURAS
• APLICACIONES PUEDEN SER INSEGURAS Y DESPROTEGIDAS
• MÓVILES LIBERADOS
• ¿QUÉ SUCEDE CUANDO UN EMPLEADO DEJA SU TRABAJO Ó ES DESPEDIDO?
• VECTOR IDEAL PARA ABRIR UNA BRECHA EN EL PERÍMETRO DE UNA ORGANIZACIÓN
ATAQUES EN DISPOSITIVOS IOS
APLICACIONES QUE BUSCAN ACCESO A RECURSOS RESTRINGIDOS
CONTACTOS, EMAILS, MENSAJES
PREVENIDO POR EL MÉTODO APP SANDBOXING
INSTALACIÓN DE PERFILES MALIGNOS Ó ARCHIVOS MOBILECONFIG
COMPAÑIAS DE SERVICIO CELULAR
MOBILE DEVICE MANAGEMENT (MDM)
APPS
CON EL FIN DE CONFIGURAR AJUSTES DEL SISTEMA
EJEMPLOS DE ATAQUES:
WEBSITE CONTROLADO POR HACKER
EMAIL QUE PROMETE LARGA DURACIÓN DE BATERÍA Ó VIDEOS “INTERESANTES”
ARCHIVOS MOBILECONFIG SI ES MALIGNO, PUEDE MANEJAR EL DISPOSITIVO AFECTADO REMOTAMENTE,
MANIPULAR ACTIVIDAD DEL USUARIO, Y SECUESTRAR SESIONES
ATAQUES CONOCIDOS
FRAUDE CONTRA USUARIOS DEL APP
HACKERS ROBARON CREDENCIALES Y CONTRASEÑAS
PERFIL DE USUARIOS AFECTADO
APP GUARDA INFORMACIÓN FINANCIERA PARA RECARGAR VALOR
ATACANTE UTILIZA TARJETA DE REGALO PARA RECARGAR
TRANSACCIONES DE ROBO TOMABAN UNOS SEGUNDOS
ATAQUES CONOCIDOS
TROJAN PARA ANDROID
CARACTERÍSTICAS DE MALWARE Y SPYWARE
AL MENOS 104 APLICACIONES AFECTADAS
APLICACIONES HAN SIDO BAJADAS 3.2M VECES
ANDROID.SPY.277 CLONA APPS
MALWARE COLECTA Y ROBA INFORMACIÓN DE USUARIO
CASOS CONOCIDOS
COLECTA UNA CANTIDAD DE INFORMACIÓN EXHORBITANTE
NUEVAS 172 APPS NO-OFICIALES CREADAS
APPS SOSPECHOSAMENTE ROBAN INFORMACIÓN
APPS OFRECEN TIPS, CLAVES, CANCIONES
A CAMBIO PIDEN ACCESO A DATOS SENSIBLES:
FOTOS, CONTACTOS, CREDENCIALES DE REDES SOCIALES
¿CÓMO SE PUEDE HABILITAR BYOD CON SEGURIDAD? (PÓLIZA DEL USO DE APARATOS ELECTRÓNICOS)
• SEGMENTACIÓN DE LA RED
• DISPOSITIVOS MÓVILES DEBEN SER CONSIDERADOS COMO INSEGUROS Y NO SE DEBE PERMITIR
UNA CONECCIÓN DIRECTA CON LA RED CORPORATIVA QUE ALOJA OTROS RECURSOS DE
PRODUCCIÓN
• DISPOSITIVOS MÓVILES DEBEN SER CONECTADOS A UNA RED INDEPENDIENTE QUE ES IDEALMENTE
AISLADA DE TODAS LAS REDES CORPORATIVAS
EJEMPLO DE SEGMENTACIÓN DE RED INALÁMBRICA - CONFIGURACIÓN
Captura de Pantalla mostrando la
asignación de puertos en un
Controlador de Móviles Aruba
EJEMPLO DE SEGMENTACIÓN DE RED INALÁMBRICA - CABLEADO
MOBILE DEVICE MANAGEMENT GESTIÓN DE DISPOSITIVOS MÓVILES
• MOBILE DEVICE MANAGEMENT (MDM) SOFTWARE ES UTILIZADO PARA ASEGURAR
DISPOSITIVOS CONTRA LAS AMENAZAS DE SEGURIDAD COMUNES
• IDEALMENTE DEBERÍA SER EJECUTADO EN CUALQUIER DISPOSITIVO MÓVIL QUE SERÁ
UTILIZADO PARA ACCESAR, GUARDAR, O TRANSMITIR DATOS CORPORATIVOS
• SIEMPRE SE DEBE ASUMIR QUE EL DISPOSITIVO MÓVIL SERÁ ROBADO O CONECTADO A REDES
DE WIFI INSEGURAS EN CUALQUIER MOMENTO
• LAS SIGUIENTES CAPTURAS DE PANTALLA SON DEL SOFTWARE AIRWATCH, PERO MUCHOS
OTROS PRODUCTOS MDM POSEEN UNA FUNCIONALIDAD SIMILAR
CONDICIONES PARA DISPOSITIVOS EN CUMPLIMIENTO
SI UN DISPOSITIVO ESTÁ COMPROMETIDO
Dispositivos borran sus datos internos y se deshacen
de información en caso de que su seguridad sea
comprometida
PÓLIZAS DE CONTRASEÑA • LA MEJOR ENCRIPTACIÓN EN EL MUNDO NO SIRVE DE NADA SI SE USA “1234” COMO
CONTRASEÑA
RESTRICCIONES SOBRE EL DISPOSITIVO
RESTRICCIONES SOBRE APLICACIONES
OTRAS RESTRICCIONES
FILTRO DE CONTENIDO
TUNELIZACIÓN VPN
RASTREO DE DISPOSITIVOS
USO DE VIRTUALIZACIÓN
• UNA DE LAS MEJORES Y SUBUTILIZADAS FORMAS DE PREVENCIÓN DE QUE DATOS SEAN
COMPROMETIDOS DESDE UN DISPOSITIVO MÓVIL QUE HA SIDO PERDIDO Ó ROBADO, ES
PREVENIR QUE ESOS DATOS JAMÁS ENTREN AL DISPOSITIVO PARA EMPEZAR
• EL ACCESO ÚNICO DE DATOS CORPORATIVOS A TRAVÉS DE UNA CONECCIÓN SEGURA Y UNA
PANTALLA VIRTUAL ES UNA BUENA FORMA DE PROVEER A EMPLEADOS CON ACCESO A
INFORMACIÓN DE LA ORGANIZACIÓN, Y AL MISMO TIEMPO SE PREVIENE QUE ESOS DATOS
SEAN ALMACENADOS EN ALGÚN DISPOSITIVO
• LAS SIGUIENTES CAPTURAS DE PANTALLA MUESTRAN EL SOFTWARE VMWARE HORIZON VIEW,
PERO OTRAS PLATAFORMAS VIRTUALES MANEJAN DATOS DE FORMA SIMILAR
¿QUÉ ES VIRTUALIZACIÓN?
• VIRTUALIZACIÓN PERMITE QUE MÚLTIPLES SISTEMAS INFORMÁTICOS LÓGICOS EXISTAN EN UN
SISTEMA INFORMÁTICO FÍSICO
Fuente de la imagen:
http://cryptumlimited.com/services/
service_specific/virtualization
VENTAJAS DE LA VIRTUALIZACIÓN
• PERMITE LA REDUCCIÓN DE COSTOS DE EQUIPOS FÍSICOS DE SISTEMAS Y REDUCCIÓN DE
COSTOS OPERACIONALES IN TÉRMINOS DE ENERGÍA Y ENFRIAMIENTO DE EQUIPO
• SE LOGRA QUE LOS CENTROS DE PROCESAMIENTO DE DATOS SEAN MÁS EFICIENTES,
MANEJABLES, Y EXTENSIBLES
• LA MANERA COMO CASI TODOS LOS CENTROS DE PROCESAMIENTO DE DATOS MODERNOS
SON MANEJADOS
VIRTUALIZACIÓN
INFRAESTRUCTURA DE PANTALLAS VIRTUALES
• ALOJAMIENTO DE SISTEMAS OPERATIVOS DE ORDENADORES COMO MÁQUINAS VIRTUALES
EN SERVIDORES CENTRALIZADOS
• ORDENADORES SON ACCESADOS A TRAVÉS DE COMPUTADORES LIVIANOS “THIN CLIENTS” O
SOFTWARE QUE ACTÚA COMO UN THIN CLIENT
• PROVEE UNA FORMA FÁCIL DE CENTRALIZAR EL MANEJO DE CENTROS DE INFORMACIÓN
TECNOLÓGICA MASIVOS
• COMPUTADORES LIVIANOS Ó THIN CLIENTS SON POCO PROPENSOS A DAÑARSE
(COMPONENTES SIEMPRE ESTÁTICOS) Y DE MUCHO MENOS RIESGO SI SON ROBADOS, PUES
NO ALMACENA NINGUNA INFORMACIÓN NI DATOS
USO DEL PARADIGMA DE THIN CLIENT EN DISPOSITIVOS MÓVILES
• INSTALAR EL SOFTWARE EN EL DISPOSITIVO MÓVIL QUE LE PERMITIRÁ ACTUAR COMO UN
THIN CLIENT. POR EJEMPLO: VMWARE HORIZON VIEW CLIENT
• UTILIZAR EL SOFTWARE DE THIN CLIENT PARA CONECTAR EL
DISPOSITIVO A UN ORDENADOR VIRTUAL
PANTALLA VIRTUAL EN UN DISPOSITIVO MÓVIL
PREGUNTAS