Análisis de Symantec de las plataformas iOS de Apple y Android de Google Revela Mayor Seguridad en Comparación con las PCs, pero aún Existen Algunas Brechas

Security Response Una Mirada a la Seguridad de los Dispositivos Móviles Análisis de los enfoques de seguridad en las plataformas iOS de Apple y Android de Google Resumen ejecutivo Carey Nachenberg Vicepresidente, Symantec Corporation IntroducciónContenidos Con. tantos. dispositivos. móviles. abriéndose. camino. en. las. empresas,. los.Introducción............................................................ 1 CIO. y. los. CISO. se. enfrentan. a. una. prueba. de. fuego.. Cada. vez. más. usuarios.Seguridad.Móvil.-.Metas......................................... 2 utilizan. sus. dispositivos. para. acceder. a. servicios. de. la. empresa,. ver. datos.Apple.iOS. ............................................................... 2 . corporativos. y. realizar. negocios.. Además,. muchos. de. estos. dispositivos.Android. .................................................................. 3 . no. son. controlados. por. el. administrador,. lo. que. significa. que. datos.iOS.vs..Android:.Comparación.sobre.Seguridad.... 4 importantes.de.la.empresa.no.están.sujetos.a.las.políticas.de.cumplimiento,.Conclusiones........................................................... 4 seguridad. y. prevención. de. pérdida. de. datos. (DLP). de. la. organización.. Para. complicar. aún. más. las. cosas,. los. dispositivos. móviles. de. hoy. no. están. aislados,. sino. que. están. conectados. a. un. completo. ecosistema. que. soporta. servicios. en. nube. y. basados. en. PC.. El. teléfono. inteligente. típico. se. sincroniza. con. al. menos. un. servicio. basado. en. nube. pública. que. se. encuentra. fuera. del. control. del. administrador.. Muchos. usuarios. sincronizan. sus. dispositivos. directamente. con. sus. computadoras. de. casa. para. realizar. copias. de. seguridad. de. los. datos. y. configuraciones. importantes.. En. ambos. casos,. es. posible. que. se. almacenen. datos. clave. de. la. empresa. en. diversas. ubicaciones. no. seguras. fuera. de. su. control. directo. En. este. contexto,. Symantec. presenta. este. informe,. el. cual. aborda. los. modelos. de. seguridad. de. las. plataformas. Android. de. Google. e. iOS. de. Apple,. las. dos. plataformas. móviles. más. populares. actualmente. en. uso,. para. evaluar. el. impacto. que. tendrán. estos. dispositivos. en. la. seguridad. a. medida. que. son. cada. vez. más. utilizados. en. las. empresas.. Visite.www.symantec.com/la/tendenciasmovilidad.para.más.información.

Security Response Una.Mirada.a.la.Seguridad.de.los.Dispositivos.Móvil..(Resumen.Ejecutivo)Objetivos de seguridad móvil En.lo.que.se.refiere.a.seguridad,.las.dos.plataformas.móviles.más.importantes.comparten.muy.poco.con.sus.sistemas.operativos. de.escritorio.y.para.servidor..A.pesar.de.que.ambas.plataformas.fueron.construidas.en.sistemas.operativos.existentes.(iOS. está. basado. en. el. sistema. operativo. OSX. de. Apple. y. Android. está. basado. en. Linux),. éstos. utilizan. modelos. de. seguridad. mucho.más.elaborados.que.fueron.diseñados.en.su.núcleo.de.implementación..El.objetivo.probablemente.era.implementar.la. seguridad.interna.de.las.plataformas.móviles.en.lugar.de.utilizar.software.de.seguridad.de.terceros. Entonces,.¿Apple.y.Google.tuvieron.éxito.al.intentar.crear.plataformas.seguras?.Para.responder.a.esta.pregunta,.incluimos.un. análisis.del.modelo.de.seguridad.de.cada.plataforma.y.analizaremos.su.implementación.para.determinar.su.efectividad.contra. las.principales.amenazas.de.hoy.en.día,.incluyendo:. • Ataques basados en la web y en redes. Estos.ataques.son.generalmente.iniciados.por.sitios.web.maliciosos.o.sitios.web. legítimos.comprometidos.. • Software malicioso. El.software.malicioso.se.puede.dividir.en.tres.categorías.de.alto.nivel:.virus.informáticos.tradicionales,. gusanos.informáticos.y.troyanos. • Ataques de ingeniería social. Estos. ataques,. como. el. phishing,. se. aprovechan. de. la. ingeniería. social. para. engañar. al. usuario.y.hacer.que.revele.información.importante.o.instale.software.malicioso.en.su.computadora.. • Abuso de disponibilidad de servicios y recursos. El.objetivo.de.muchos.ataques.es.hacer.un.mal.uso.de.la.red,.los.recursos. informáticos.o.la.identidad.de.un.dispositivo.para.fines.ilegítimos.. • Pérdida de datos maliciosa y no intencionada. La. pérdida. de. datos. se. produce. cuando. un. empleado. o. hacker. extrae. información.importante.de.una.red.o.dispositivo.protegido. • Ataques sobre la integridad de los datos del dispositivo. En.un.ataque.a.la.integridad.de.los.datos,.el.agresor.intenta. corromper.o.modificar.los.datos.sin.permiso.del.propietario.iOS de Apple El.sistema.operativo.iOS.de.Apple.que.se.utiliza.en.iPod,.iPhone.y.iPad.es.una.versión.reducida.del.sistema.operativo.OS.X. Mac.de.Apple. Vulnerabilidades Al. momento. en. que. se. redactó. este. informe,. los. investigadores. de. seguridad. habían. descubierto. aproximadamente. 200. vulnerabilidades.diferentes.en.diversas.versiones.del.sistema.operativo.iOS.desde.su.lanzamiento.inicial..La.gran.mayoría. de.estas.vulnerabilidades.correspondía.a.un.nivel.de.severidad.bajo..La.mayoría.permitiría.al.atacante.tomar.control.de.un. solo.proceso,.como.el.proceso.Safari,.pero.no.le.permitiría.tomar.control.del.dispositivo.a.nivel.administrador..Las.demás. vulnerabilidades.correspondían.a.una.severidad.mayor,.y.podrían.permitir.al.atacante.tomar.control.del.dispositivo.a.nivel. administrador,.suministrándole.acceso.a.casi.todos.los.datos.y.servicios.del.dispositivo..Estas.vulnerabilidades.más.severas. se.clasifican.como.vulnerabilidades.de.“escalamiento.de.privilegios”.porque.permiten.que.el.atacante.aumente.sus.privilegios. y.obtenga.el.control.total.del.dispositivo.. Según.los.datos.de.Symantec.al.momento.en.que.se.redactó.esta.investigación,.Apple.tardó.aproximadamente.12.días.en. corregir.cada.vulnerabilidad.una.vez.descubierta. Resumen de la seguridad de iOS A.Symantec.considera.que.el.modelo.de.seguridad.de.iOS.está.bien.diseñado.y.ha.demostrado.poseer.una.gran.resistencia.a. ataques..En.resumen: • El sistema de encriptación de iOS ofrece.una.sólida.protección.para.los.mensajes.de.correo.electrónico.y.sus.archivos. adjuntos,.y.permite.el.borrado.del.dispositivo,.pero.ofrece.poca.protección.contra.los.ataques.a.dispositivos.físicos.de.un. determinado.atacante. • El enfoque de procedencia de iOS garantiza.que.Apple.estudia.de.forma.cuidadosa.cada.aplicación.pública.disponible..A. pesar.de.que.este.enfoque.de.estudio.exhaustivo.no.es.a.toda.prueba.y.puede.ser.evadido.por.un.determinado.atacante.casi. con.seguridad,.ha.demostrado.ser.un.gran.obstáculo.para.los.ataques.de.software.malicioso,.pérdida.de.datos,.integridad. de.datos.y.negación.de.servicio. • El modelo de aislamiento de iOS evita.completamente.los.tipos.de.virus.informáticos.y.gusanos.tradicionales.y.limita.los. datos.a.los.que.el.spyware.puede.acceder..También.limita.la.mayoría.de.los.ataques.basados.en.la.red,.como.por.ejemplo.que. la.memoria.buffer.tome.control.del.dispositivo..Sin.embargo,.no.necesariamente.evita.todos.los.tipos.de.ataques.de.pérdida. de.datos,.abuso.de.recursos.o.integridad.de.los.datos.. • El modelo de permisos de iOS garantiza. que. las. aplicaciones. no. puedan. obtener. la. ubicación. del. dispositivo,. enviar. mensajes.SMS.ni.iniciar.llamadas.sin.el.permiso.del.propietario. Página.2

Security Response Una.Mirada.a.la.Seguridad.de.los.Dispositivos.Móvil..(Resumen.Ejecutivo) •. Ninguna.de.las.tecnologías.de.protección.del.iOS.se.dirige.a.ataques.de.ingeniería.social.como.los.ataques.de.phishing.o. spam. Android Android.es.una.unión.entre.el.sistema.operativo.Linux.y.una.plataforma.basada.en.Java.denominada.Dalvik,.que.es.una.versión. de.la.popular.plataforma.Java..Cada.aplicación.Android.se.ejecuta.dentro.de.su.propia.máquina.virtual,.y.cada.máquina.virtual. es. aislada. en. su. propio. proceso. Linux.. Este. modelo. garantiza. que. ningún. proceso. pueda. acceder. a. los. recursos. de. otros. procesos,.a.menos.que.el.dispositivo.sea.“jail.broken”..Mientras.que.la.máquina.virtual.Java.fue.diseñada.para.ser.un.sistema. seguro,.de.zona.protegida,.capaz.de.contener.programas.potencialmente.maliciosos,.Android.no.se.basa.en.su.máquina.virtual. para.implementar.su.seguridad..Toda.la.protección.es.implementada.directamente.por.el.sistema.operativo.Android.basado. en.Linux. Vulnerabilidades Al. momento. en. que. se. redactó. este. informe,. los. investigadores. de. seguridad. habían. descubierto. un. total. de. 18. vulnerabilidades. diferentes. en. diversas. versiones. del. sistema. operativo. Android. desde. su. lanzamiento. inicial.. La. mayoría. de.estas.vulnerabilidades.correspondían.a.un.nivel.bajo.de.severidad.y.sólo.podrían.permitir.al.atacante.tomar.control.de.un. sólo.proceso,.como.el.proceso.del.navegador.web,.pero.no.le.permitirían.tomar.control.del.dispositivo.a.nivel.administrador.. Las.restantes.vulnerabilidades.correspondían.a.un.nivel.de.severidad.mayor,.y.podrían.permitir.al.atacante.tomar.control.del. dispositivo.a.nivel.raíz,.suministrándole.acceso.a.casi.todos.los.datos.del.dispositivo.. Hasta. la. fecha,. Google. ha. corregido. 14. de. estas. 18. vulnerabilidades.. De. las. cuatro. vulnerabilidades. no. corregidas,. una. corresponde.al.tipo.de.escalamiento.de.privilegios.más.severo..Esta.vulnerabilidad.se.corregirá.en.la.versión.2.3.de.Android,. pero. no. se. ha. corregido. para. las. versiones. anteriores. del. mencionado. sistema. operativo.. Dado. que. la. mayoría. de. los. proveedores.no.han.actualizado.los.teléfonos.de.sus.clientes.de.Android.2.2.a.2.3,.prácticamente.todos.los.teléfonos.con. Android. (al. momento. de. la. redacción. de. este. informe). podrían. ser. vulnerables. a. ataques.. Esta. vulnerabilidad. puede. ser. aprovechada. por. cualquier. aplicación. de. terceros. y. no. requiere. que. el. atacante. tenga. acceso. físico. al. dispositivo.. . Según. los.datos.de.Symantec.al.momento.en.que.se.redactó.este.informe,.Google.tardó.aproximadamente.8.días.en.corregir.cada. vulnerabilidad.una.vez.descubierta. Resumen de la seguridad de Android En. general,. creemos. que. el. modelo. de. seguridad. de. Android. representa. una. mejora. importante. por. sobre. los. modelos. utilizados. por. los. sistemas. operativos. de. escritorio. y. basados. en. servidores;. sin. embargo,. presenta. dos. desventajas. importantes..En.primer.lugar,.su.sistema.de.procedencia.permite.que.los.atacantes.creen.y.distribuyan.software.malicioso. en.forma.anónima..En.segundo.lugar,.aunque.su.sistema.de.permisos.es.extremadamente.potente,.es.el.usuario.el.que.debe. tomar.las.decisiones.importantes.relacionadas.con.la.seguridad,.y.desafortunadamente,.la.mayoría.de.los.usuarios.no.están. capacitados.técnicamente.para.tomar.dichas.decisiones,.lo.que.ya.ha.dado.lugar.a.ataques.de.ingeniería.social..En.resumen: • El enfoque de procedencia de Android garantiza. que. sólo. se. puedan. instalar. aplicaciones. firmadas. digitalmente. en. dispositivos. con. Android.. Sin. embargo,. los. atacantes. pueden. utilizar. certificados. digitales. anónimos. para. firmar. sus. amenazas.y.distribuirlas.por.Internet.sin.ninguna.certificación.de.Google..Los.atacantes.también.pueden.“troyanizar”.o. inyectar.códigos.maliciosos.fácilmente.en.aplicaciones.legítimas.y.redistribuirlos.fácilmente.por.Internet,.firmándolos.con. un.nuevo.certificado.anónimo..En.cuanto.al.aspecto.positivo,.Google.requiere.que.los.autores.de.aplicaciones.que.deseen. distribuir.las.suyas.a.través.de.Android.App.Marketplace.paguen.un.arancel.y.se.registren.en.Google.(compartiendo.su.firma. digital.de.desarrollador.con.Google)..Al.igual.que.con.el.enfoque.de.registro.de.Apple,.éste.representa.un.obstáculo.para.los. atacantes.menos.organizados. • La política de aislamiento predeterminada de Android logra.aislar.en.forma.efectiva.las.aplicaciones.entre.sí.y.de.la. mayoría.de.los.sistemas.del.dispositivo,.por.ejemplo,.del.kernel.del.sistema.operativo.de.Android,.con.diversas.excepciones. significantes..(las.aplicaciones.pueden.leer.todos.los.datos.de.la.tarjeta.SD.sin.restricciones). • El modelo de permisos de Android garantiza.que.las.aplicaciones.sean.aisladas.de.casi.todos.los.sistemas.de.los.dispositivos. principales,.a.menos.que.requieran.acceso.a.dichos.sistemas.explícitamente..Desafortunadamente,.Android.deja.al.usuario. la.última.decisión.acerca.de.otorgar.permiso.a.una.aplicación.o.no,.lo.cual.lo.deja.abierto.a.ataques.de.ingeniería.social.. La.gran.mayoría.de.los.usuarios.no.están.preparados.para.tomar.estas.decisiones,.por.lo.que.son.vulnerables.a.ataques. de.software.malicioso.y.a.todos.los.ataques.secundarios.(ataques.de.denegación.de.servicio,.pérdida.de.datos,.etc.).que. pueden.ser.iniciados.por.software.malicioso.. •. Actualmente,. Android. no. ofrece. ninguna. encriptación. integrada. ni. predeterminada;. sólo. se. basa. en. el. aislamiento. y. el. otorgamiento.de.permisos.para.resguardar.los.datos..Por.ello,.un.simple.jail-break.de.un.teléfono.Android.o.el.robo.de.la. tarjeta.SD.de.un.dispositivo.puede.significar.una.gran.pérdida.de.datos. Página.3

Security Response Una.Mirada.a.la.Seguridad.de.los.Dispositivos.Móvil..(Resumen.Ejecutivo) •. Al. igual. que. con. iOS,. Android. no. posee. ningún. mecanismo. para. evitar. ataques. de. Ingeniería. Social,. como. ataques. de. phishing.u.otros.engaños.basados.en.la.web.(fuera.del.dispositivo).iOS vs. Android: Comparación sobre Seguridad Las. siguientes. tablas. resumen. nuestras. conclusiones. acerca. de. las. diversas. fortalezas. y. debilidades. de. las. plataformas. móviles.iOS.y.Android. . Table.1. Table.2. Resistencia frente a tipos de ataques Implementación de funciones de seguridad Android Resistencia a: iOS Apple Pilares de Android Google iOS Apple seguridad Google Ataques.basados.en.la. Web Control.de.acesso Ataques..malware Procedencia.de. aplicación Ataques.ingeniería. social Encriptación Ataques.de.abuso.y. recursos.de.servicio Aislamiento Pérdida.de.datos.(mal- ciosa.y.accidental) Control.de.acceso. basado.en.permisos Ataque.integridad.de. datos . Leyenda Protección completa Poca protección Buena protección Protección nula Conclusión Protección moderada Hoy.en.día.los.dispositivos.móviles.son.una.bolsa.donde.todo.se.mezcla.cuando.se.trata.de.seguridad..Estas.plataformas.fueron. diseñadas.desde.el.comienzo.para.ser.más.seguras;.sin.embargo,.estos.dispositivos.fueron.diseñados.para.ser.utilizados.por. consumidores,.y.en.algunos.casos,.han.relegado.la.seguridad.en.favor.de.la.facilidad.de.uso..Esta.compensación.contribuyó.a. la.popularidad.masiva.de.las.plataformas,.pero.también.aumentó.el.riesgo.que.implica.la.utilización.de.estos.dispositivos.en. las.empresas. El.hecho.de.que.muchos.empleados.lleven.sus.propios.dispositivos.a.la.empresa.y.los.utilicen.sin.supervisión.para.acceder. a. recursos. corporativos. como. calendarios,. listas. de. contacto,. documentos. corporativos. e. inclusive. para. enviar. y. recibir. mensajes.de.correo.electrónico.aumenta.el.riesgo..A.menudo.también.los.empleados.sincronizan.estos.datos.corporativos.con. servicios.en.la.nube.de.terceros.y.con.sus.laptops.o.PCs.en.sus.hogares..Esta.conectividad.alternativa.produce.“fugas”.de.datos. corporativos.potencialmente.importantes.en.sistemas.de.terceros.que.no.están.bajo.el.control.directo.de.la.organización. Finalmente,.mientras.los.dispositivos.móviles.prometen.mejorar.notablemente.la.productividad,.también.traen.consigo.una. cantidad.de.riesgos.nuevos.que.deben.ser.controlados.por.las.empresas..Esperamos.que.con.la.explicación.de.los.modelos. de.seguridad.detrás.de.cada.plataforma.y.de.los.ecosistemas.de.los.que.participan.estos.dispositivos,.el.lector.pueda.evaluar. estos.dispositivos.y.manejar.los.riesgos.que.éstos.conllevan.con.mayor.efectividad.. Visite.www.symantec.com/la/tendenciasmovilidad.para.más.información. Página.4

Security Response .Cualquier.información.técnica.publicada.por.Symantec.Corporation.es.propiedad.y.está.protegida.por.derechos.de.autor.de..Symantec.Corporation. SIN.GARANTíA...La.información.técnica.se.presenta.tal.cual.y.Symantec..Corporation.no.garantiza.su.uso.o.exactitud..Cualquier.uso.de.la.documentación.técnica.o.la.información.en.este.documento.es. bajo.el.riesgo.del.usuario..La.documentación.puede.incluir.imprecisiones.o.errores.tipográficos..Symantec.se.reserve.el.derecho.de.hacer.cambios.sin.notificación.previa... Sobre Symantec Symantec.es.líder.mundial.en.soluciones.de.seguridad,. almacenamiento.y.administración.de.sistemas.que. ayudan.a.las.empresas.y.consumidores.a.proteger.y. administrar.su.información..Tiene.su.sede.en.Mountain.Sobre el AutorCarey.Nachenberg.es.Vicepresidente.e.investigadora.dentro.de. View,.California.y.operaciones.en.más.de.40.países..Más.la.organización.Symantec.Security,.Technology,.and.Response. información.está.disponible.en.www.symantec.com/laPara.información.sobre.las.oficinas.en.los. Symantec.Corporation Copyright.©.2011.Symantec.Corporation..Derechos. reservados..Symantec.y.el.logotipo.de.Symantec.logo.distintos.países.y.datos.de.contacto,.visite. Corporativo.Mundial son.propiedad.o.marcas.registradas.de..Symantec.nuestro.sitio.Web. 350.Ellis.Street Corporation.o.sus.afiliados.en.los.Estados.Unidos. y.otros.países..Algunos.otros.nombres.pueden.ser.www.symantec.com/la Mountain.View,.CA.94043.USA propiedad.de.sus.respectivos.dueños..

Análisis de Symantec de las plataformas iOS de Apple y Android de Google Revela Mayor Seguridad en Comparación con las PCs, pero aún Existen Algunas Brechas

by CXO Community

Accessibility

Categories

Upload Details

Usage Rights

1 Embed 19

Statistics

Análisis de Symantec de las plataformas iOS de Apple y Android de Google Revela Mayor Seguridad en Comparación con las PCs, pero aún Existen Algunas Brechas Document Transcript