Marco Teórico

Seguridad en dispositivos móviles

El marco teórico que planteamos en la presente investigación se encuentra enmarcado por
tres variables centrales, estructura de la confidencialidad, ataque, y prevención.
Antecedentes de la investigación
La problemática de la seguridad
Capas de seguridad en dispositivos móviles
Para poder entender la importancia de la seguridad en los dispositivos móviles hay que
conocer las capacidades de estos dispositivos y cómo se ha llegado a ellas. Principalmente,
los dispositivos móviles han vivido una importante revolución en cuanto a las aplicaciones
que pueden ejecutar. Esta revolución ha estado marcada por tres motivos:
1) Un hardware potente, con muchos sensores.
2) Un sistema operativo complejo que facilita un SDK1 sencillo y potente para los
desarrolladores.
3) Un mercado de aplicaciones completamente integrado en el sistema y muy intuitivo, lo
que facilita las transacciones tanto a los usuarios como a los desarrolladores.
Debido a estas nuevas funcionalidades que ofrecen los sistemas operativos para móviles y
a las aplicaciones que se han creado sobre ellos, los dispositivos móviles acaban
almacenando gran cantidad de datos, generalmente confidenciales. Ya no únicamente
guardamos los números de teléfono de nuestros contactos, el registro de llamadas o los
SMS, sino que también almacenamos una gran cantidad de información personal, como
pueden ser cuentas bancarias, documentos o imágenes.
Este aumento de la información personal almacenada provoca que más personas puedan
estar interesadas en obtenerla. Además, la complejidad actual de los sistemas operativos
para móviles ha incrementado los agujeros de seguridad expuestos. Por lo tanto, cuando
utilizamos dispositivos móviles, es recomendable seguir unas prácticas de seguridad, que
serán parecidas a las utilizadas en los ordenadores.
Para poder analizar la seguridad de los dispositivos móviles de manera eficiente, se ha
organizado este módulo en cuatro apartados: la comunicación inalámbrica, el sistema
operativo, la aplicación y el usuario.

Bases teóricas
Actualmente, los dispositivos móviles son un elemento común en la vida diaria de las
personas. A partir del uso masivo de dispositivos móviles, tanto en el ámbito personal como
en el laboral, las organizaciones están empezando a considerar más detenidamente el
suceso y los potenciales problemas de seguridad que los afectan. Los problemas de
seguridad a los que estos dispositivos están expuestos son similares a los que está
expuesto una computadora, pero se ven agravados ya que cuentan con una mayor
exposición al ser más amplia su comunidad de usuarios, que los utiliza tanto en el ámbito
laboral como en el personal. Al decir datos podemos estar refiriéndonos tanto a información
privada del dueño del Smartphone como así también información propia de la organización
puesto que el usuario usa el teléfono para conectarse a servicios provistos por esta, lo cual
se refiere con el nombre de BYOD. El fenómeno “Trae Tu Propio Dispositivo” (BYOD por
sus siglas en inglés, Bring Your Own Device) se basa en la modalidad en la que los
miembros de una organización son autorizados a utilizar sus propios dispositivos móviles
personales (smartphones, tablets, notebooks, etc) en las actividades de la organización
donde trabajan conectados a la red organizacional. El uso de sus dispositivos para realizar
sus tareas laborales en la organización provoca que lo que era un dispositivo personal se
convierta en parte de la red organizacional, con los problemas que esto podría acarrear.
De acuerdo a varios estudios, un malware que afecte a una computadora o a un móvil
puede utilizarse para:

 Robo de Información personal.

 Espionaje de actividad y comportamiento del usuario (Historial de navegación,
mensajes, llamadas, ubicaciones, etc.).
 Envío de SMS Premium que generen un costo al usuario, suscripción a servicios
Pagos.
 Control remoto el dispositivo (Bot de una Botnet).
 Causar comportamiento destructivo al dispositivo (agotamiento de la batería,
reinicios no deseados, consumo de RAM y/o CPU, etc.).
 Enviar spam mediante SMS o emails.
 Robar información personal del usuario y demandando un pago para que el cliente
pueda recuperarla (Ransomware).
La problemática presentada se potencia tanto debido al desconocimiento general sobre los
problemas de seguridad a los que están expuestos como a la falta de información en las
contramedidas que es posible adoptar. Si a ello le sumamos la cantidad de elementos
incluidos en los smartphones se dan otros problemas, como los relacionados con el
espionaje, puesto que un dispositivo comprometido podría permitir consultar su localización
vía GPS, transmitir la información captada por su micrófono o incluso su cámara.
Cuantificando el problema, se pueden sumar los problemas propios de las distintas
plataformas de SO móviles a los de las aplicaciones que corren en ellas. Para citar un caso,
Android, el sistema operativo para dispositivos móviles más utilizado en la actualidad posee
un gran número de versiones, algunas de ellas, hoy en día, sin actualizaciones. De acuerdo
a un relevamiento realizado a fines de febrero de 2015, el 58,7% de los celulares Android
no tiene soporte y debería ser actualizado como mínimo a la versión 4.4 (KitKat). Además,
las actualizaciones se ven demoradas debido a que, en primer lugar, Google libera nuevas
versiones; luego los fabricantes las adaptan para sus dispositivos; y finalmente las
organizaciones de telecomunicaciones lo vuelven a modificar agregando
personalizaciones, como ser el logo de la organización. Una vez finalizado este proceso, el
sistema operativo queda liberado. Esto resulta en una convergencia lenta y en ciertos
equipos hasta imposible, lo que deja algunos dispositivos vulnerables frente a ataques que
explotan vulnerabilidades ya corregidas en versiones posteriores del sistema. Por otro lado,
desde la aparición de los Smartphones han ido surgiendo distintas prácticas cuyo objetivo
es que el usuario obtenga un control total de su equipo, salteando ciertas restricciones
impuestas por el fabricante/desarrollador. Entre estas prácticas podemos mencionar:
rootear un teléfono Android, instalar aplicaciones no oficiales, jailbreak de iPhone, etc. Estas
prácticas se realizan sin tener en cuenta el impacto que tienen sobre la seguridad de los
datos almacenados y transmitidos. Por lo anteriormente detallado, el fenómeno BYOD
constituye una de las amenazas actuales más preocupantes para las organizaciones. Un
smartphone comprometido, automáticamente pone en riesgo:

 La clave de la/s red/es a la que el dispositivo se conecta.

 El usuario de la cuenta de correo utilizada.
 El usuario de la cuenta de mensajería instantánea utilizada.
 Accesos VPN que puedan haber configurados.
 Información de contactos personales.
 Información sensible de la organización que se contenga en el dispositivo.
Algunos de los problemas de seguridad pueden mitigarse mediante el uso de software de
tipo MDM (Mobile Device Management) el cual permite asegurar, monitorear y administrar
dispositivos móviles de manera centralizada. Esto solo puede aplicarse en forma
compulsiva sobre los dispositivos que son propiedad de la organización, pero no así sobre
los dispositivos personales de los integrantes. Al carecer de la posibilidad de gestionar los
equipos, los activos de la organización pueden verse comprometidos tanto cuando circula
información por equipos en poder de los miembros de la organización sin el pertinente
estado de seguridad, como ante la pérdida o robo de uno de estos dispositivos. Por ejemplo,
si el dispositivo no posee un PIN o no está protegido por una contraseña segura, un
atacante puede obtener acceso directo al dispositivo, sus datos, e incluso todo el contenido
que continúa llegando a través de los servicios que continúen activos. Medidas parciales,
como un equipo protegido por contraseña, no lo hacen
completamente inmune, puesto que es posible extraer la tarjeta de memoria y si la misma
no está fuertemente cifrada, el atacante tendrá acceso a sus datos. Debido a todo lo
mencionado, un dispositivo privado no debe ser considerado fiable para su uso con
información de la organización hasta que una adecuada revisión confirme que el mismo
cumple todos los requisitos especificados en la política de seguridad organizacional. En la
actualidad, el tema aquí abordado resulta de interés dado que aún no se cuenta con
información completa y precisa relacionada a qué medidas adoptar, tanto por parte de los
usuarios como por parte de las organizaciones, a fin de preservar la seguridad de la
información contenida en los dispositivos móviles. Además, también es de vital importancia
el estudio de metodologías y técnicas de análisis que permitan determinar la existencia o
no de amenazas reales sobre los dispositivos móviles analizados. Dentro de este marco se
realizaron 3 presentaciones de trabajos relacionados al tema en cuestión, WICC 2014
(Workshop de Investigación en Ciencia de la Computación) Universidad Nacional de Tierra
del Fuego, Ushuaia, presentación de Poster “Seguridad en dispositivos móviles, un enfoque
Práctico” en el marco del área Seguridad Informática; Universidad Nacional de Salta, Salta,
Presentación de Póster “Uso de dispositivos móviles y BYOD: Su impacto en la seguridad”
en el marco del área Seguridad Informática; CACIC 2016 (Congreso Argentino de Ciencias
de la Computación) Universidad Nacional de San Luis, San Luis, publicación del paper
“Dispositivos móviles y el fenómeno del BYOD. Su impacto en la seguridad de las
Organizaciones”
Bases Legales
A la hora de desarrollar aplicaciones móviles debemos tener en cuenta que éstas deben
cumplir determinados aspectos legales para poderlas lanzar al mercado. Además, tanto
como desarrolladores como siendo usuarios de la app, el diseño y poco espacio en la
pantalla del dispositivo móvil nos hace descuidar la legalidad en apps móviles.
Muchos accedemos a la gratuidad de las apps a cambio a la privacidad y los desarrolladores
aceptan carencias y vacíos en la legalidad en apps por lograr llegar a un público más amplio.
Algunos puntos que debemos tener en cuenta son los siguientes:
1. Funcionalidades
Hay que tener muy en cuenta las cosas que podemos hacer y las que no desde la app.
Siempre tenemos que utilizar medios lícitos, por lo que debemos tener claro que lo que no
se pueda hacer offline o mediante campañas de marketing tradicional, no se podrá hacer
desde nuestra app. Siempre tendremos que pedir permiso al usuario para que nos deje
ejecutar determinadas funcionalidades, siempre dentro de la legalidad y marco legal.
2. Derechos propios y de terceros
Antes que nada, debemos tener con las licencias de los recursos que utilicemos, ya sean
librerías de programación, bases de datos, elementos gráficos, etc. Del mismo modo que
debemos leer las condiciones para evitar problemas. Finalmente, recuerda del mismo modo
proteger tu contenido una vez hayas acabado de desarrollar la app; evitarás plagios, copias
o imitaciones de tu trabajo.
3. Menores
Hacemos referencia especialmente a las apps dirigidas a menores de 14 años, como por
ejemplo juegos o aplicaciones educativas. Este target estás especialmente protegido por la
legislación de consumidores y usuarios, tanto por derechos de imagen como por protección
de datos. Es un tema muy delicado que hay que gestionar con cuidado.
8.Informar al usuario
Una gran parte de las aplicaciones móviles pueden ser consideradas como “servicios de la
sociedad de la información”, aunque solamente sea por la publicidad que contienen. Por
eso es que hay que cumplir con las obligaciones que la legislación implica para estos
servicios. La principal obligación más fácil de cumplir es la de informar a los usuarios de los
aspectos marcados por la ley, en secciones comúnmente denominadas “acerca de” o
“quiénes somos”. Estos apartados proveen al usuario de información respecto a los
creadores y quiénes hay detrás de las aplicaciones móviles. Incluye aspectos como el
nombre y dominio de la empresa, los datos de inscripción del Registro Mercantil, NIF, la
adhesión a códigos de conducta, etc.
9. Publicidad
La monetización de la mayoría de las aplicaciones gratuitas puede provenir de distintas
técnicas, algunas más lucrativas que otras. Siempre es recomendable escoger un sistema
en función de las utilidades y los tipos de aplicaciones móviles.
Sin embargo, por regla general está cada vez más extendido el uso de publicidad para
generar los ingresos. Aunque es totalmente lícito que una app incluya publicidad, ésta
deberá aparecer siempre identificada como tal para evitar posibles problemas.
4. Licencia y condiciones de uso
Tenemos que redactar unas licencias de uso y condiciones que el usuario deba aceptar
para poder hacer uso de la app, adecuadas a la normativa y con las que podamos eximirnos
de cuantas responsabilidades podamos, para que no puedan reclamarnos por el mal uso
que se haga de nuestra app.
5. Información y permisos
La aplicación móvil va a necesitar acceder a los contactos de la agenda o a contenidos del
móvil, ya sea por cuestión de pagos, cesión de datos o instalación de cookies o simplemente
compartir contenidos. Es sobre todos estos casos en que el usuario ha de ser informado y
deben ser validadas por el mismo de forma sencilla y lo más clara posible antes de su
instalación. Y no olvides la opción de configuración en caso de que el usuario cambie de
opinión.
6. Markets
Los grandes markets, sean para el sistema operativo que sea, son los que mandan en
última instancia y a la hora de comercializar nuestra aplicación móvil. En general tienen
condiciones estrictas para permitir a las apps el acceder al público y vender.
Algunos aspectos como las comisiones que se deben pagar por el e-commerce desde la
app, o los contenidos prohibidos, los avisos específicos, las condiciones técnicas, etc.
deben ser estudiados al detalle para evitar problemas una vez acabemos de desarrollar
aplicaciones móviles. Es conveniente pues desarrollar la aplicación de forma que su
modificación no sea especialmente compleja para poder volver a subirla conforme a las
condiciones más recientes.
7. Política de Cookies
La necesidad de aceptación de las cookies es tan importante en páginas web como en
dispositivos móviles a la hora de descargar aplicaciones móviles. Dependiendo del tamaño
de la pantalla de los dispositivos móviles, se debería de hacer un aviso informativo con la
información básica sobre qué son las cookies, la finalidad de éstas, quien las instala y como
rechazarlas.

 Sistema de Variables
 Mecanismos de prevención
 Ataques al software
 Ataques en la Web
 Sistemas Operativos
 Actualización
 Vulnerabilidad
Definición de términos Básicos:
Confidencialidad: es la propiedad que asegura que solo los que están autorizados tendrán
acceso a la información. Esta propiedad también se conoce como privacidad.
Integridad: es la propiedad que asegura la no alteración de la información. Por alteración
entendemos cualquier acción de inserción, borrado o sustitución de la información.
Autenticación: es la propiedad que hace referencia a la identificación. Es el nexo de unión
entre la información y su emisor.
No repudio: es la propiedad que asegura que ninguna parte pueda negar ningún
compromiso o acción realizados anteriormente.
Masquerading: Acción en la que el atacante suplanta la identidad de alguna entidad del
sistema para obtener acceso a recursos de este sistema. Este ataque incide directamente
en la propiedad de autenticación. Para prevenirlo, es necesario un buen proceso de
autenticación, tanto por parte del dispositivo móvil como de los puntos de acceso a la red.
Denegación de servicio: Acción en la que el atacante consigue que el servicio no esté
disponible para los usuarios legítimos o que el servicio se retrase o se interrumpa. Este tipo
de ataque es quizá el único que no se puede identificar con ninguna de las propiedades de
seguridad definidas en el apartado anterior.
Confidencialidad de posicionamiento: Acción en la que el atacante obtiene, mediante
diferentes técnicas, la posición física de un dispositivo móvil y, por lo tanto, la de su
propietario. Este tipo de ataque puede afectar seriamente a la privacidad de las personas,
en tanto que pueden ser localizadas en cualquier momento por el mero hecho de tener un
dispositivo móvil en funcionamiento.

Referencias
[1] Enhanced Network Security for Seamless Service Provisioning in the Smart Mobile
Ecosystem
http://www.nemesys-
project.eu/nemesys/files/document/deliverables/NEMESYS_Deliverable_1.1_v4_rev_final.
pdf
[2] Taxonomy: Mobile Malware Threats and Detection Techniques
http://airccj.org/CSCP/vol4/csit42222.pdf
[3] Android Malware Detection System Classification
http://www.scialert.net/fulltext/?doi=rjit.2014.325.341&org=10
[4] Reporte de malware 2014 por F-secure,
https://www.f-secure.com/documents/996508/1030743/Threat_Report_H1_2014.pdf
[5] Android el sistema operativo móvil mas utilizado,
http://www.idc.com/prodserv/smartphone-os-market-share.jsp
[6] Dashboard Platforms versions,
http://developer.android.com/about/dashboards/index.html#Platform
[7] MDM Mobile Device Management,
http://es.wikipedia.org/wiki/Mobile_device_management
[8] Android mantendra su amplio dominio en los proximos cinco años, segun IDC,
http://www.redusers.com/noticias/android-mantendra-su-amplio-dominio-en-los-proximo