Your SlideShare is downloading. ×
Análisis de Symantec de las plataformas iOS de Apple y Android de Google Revela Mayor Seguridad en Comparación con las PCs, pero aún Existen Algunas Brechas
Análisis de Symantec de las plataformas iOS de Apple y Android de Google Revela Mayor Seguridad en Comparación con las PCs, pero aún Existen Algunas Brechas
Análisis de Symantec de las plataformas iOS de Apple y Android de Google Revela Mayor Seguridad en Comparación con las PCs, pero aún Existen Algunas Brechas
Análisis de Symantec de las plataformas iOS de Apple y Android de Google Revela Mayor Seguridad en Comparación con las PCs, pero aún Existen Algunas Brechas
Análisis de Symantec de las plataformas iOS de Apple y Android de Google Revela Mayor Seguridad en Comparación con las PCs, pero aún Existen Algunas Brechas
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Análisis de Symantec de las plataformas iOS de Apple y Android de Google Revela Mayor Seguridad en Comparación con las PCs, pero aún Existen Algunas Brechas

2,233

Published on

Symantec Corp. (Nasdaq: SYMC) anunció la publicación del informe “A Window into Mobile Device Security: Examining the Security Approaches Employed in Apple’s iOS and y Google’s Android” (Una ventana a …

Symantec Corp. (Nasdaq: SYMC) anunció la publicación del informe “A Window into Mobile Device Security: Examining the Security Approaches Employed in Apple’s iOS and y Google’s Android” (Una ventana a la seguridad de los dispositivos móviles: Analizando los Enfoques de Seguridad en las Plataformas iOS de Apple y Android de Google). Este informe realiza una evaluación técnica exhaustiva de las dos plataformas móviles más populares con el fin de ayudar a las compañías a identificar los riesgos en la seguridad al incorporar dispositivos móviles que utilizan estas plataformas a sus negocios.



“Actualmente los dispositivos móviles son un grupo heterogéneo cuando se trata de seguridad. A pesar de ser más seguros que las computadoras tradicionales, estas plataformas todavía son vulnerables a muchos ataques. Además, los empleados usan cada vez más dispositivos personales, no corporativos, para acceder a recursos sensibles, y al conectar estos dispositivos con servicios de terceros fuera del control de la compañía, exponen datos y activos clave ante posibles atacantes”, afirmó Carey Nachenberg, Vicepresidente e Investigador, Symantec Security Technology and Response.



Uno de los hallazgos destacados es que a pesar de que las plataformas móviles más populares utilizadas en la actualidad fueron diseñadas considerando cuestiones de seguridad, éstas no siempre son suficientes para proteger datos sensibles de activos comerciales que se intercambian a través de estos dispositivos. Otro factor que influye en la protección de datos de activos comerciales clave es que los dispositivos móviles actuales están cada vez más conectados y sincronizados con un completo ecosistema de servicios de cómputo en la nube y de escritorio de terceros, lo que sin duda está fuera del control de las compañías y expone más la información.

Published in: Technology, Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
2,233
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
34
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Security Response Una Mirada a la Seguridad de los Dispositivos Móviles Análisis de los enfoques de seguridad en las plataformas iOS de Apple y Android de Google Resumen ejecutivo Carey Nachenberg Vicepresidente, Symantec Corporation IntroducciónContenidos Con. tantos. dispositivos. móviles. abriéndose. camino. en. las. empresas,. los.Introducción............................................................ 1 CIO. y. los. CISO. se. enfrentan. a. una. prueba. de. fuego.. Cada. vez. más. usuarios.Seguridad.Móvil.-.Metas......................................... 2 utilizan. sus. dispositivos. para. acceder. a. servicios. de. la. empresa,. ver. datos.Apple.iOS. ............................................................... 2 . corporativos. y. realizar. negocios.. Además,. muchos. de. estos. dispositivos.Android. .................................................................. 3 . no. son. controlados. por. el. administrador,. lo. que. significa. que. datos.iOS.vs..Android:.Comparación.sobre.Seguridad.... 4 importantes.de.la.empresa.no.están.sujetos.a.las.políticas.de.cumplimiento,.Conclusiones........................................................... 4 seguridad. y. prevención. de. pérdida. de. datos. (DLP). de. la. organización.. Para. complicar. aún. más. las. cosas,. los. dispositivos. móviles. de. hoy. no. están. aislados,. sino. que. están. conectados. a. un. completo. ecosistema. que. soporta. servicios. en. nube. y. basados. en. PC.. El. teléfono. inteligente. típico. se. sincroniza. con. al. menos. un. servicio. basado. en. nube. pública. que. se. encuentra. fuera. del. control. del. administrador.. Muchos. usuarios. sincronizan. sus. dispositivos. directamente. con. sus. computadoras. de. casa. para. realizar. copias. de. seguridad. de. los. datos. y. configuraciones. importantes.. En. ambos. casos,. es. posible. que. se. almacenen. datos. clave. de. la. empresa. en. diversas. ubicaciones. no. seguras. fuera. de. su. control. directo. En. este. contexto,. Symantec. presenta. este. informe,. el. cual. aborda. los. modelos. de. seguridad. de. las. plataformas. Android. de. Google. e. iOS. de. Apple,. las. dos. plataformas. móviles. más. populares. actualmente. en. uso,. para. evaluar. el. impacto. que. tendrán. estos. dispositivos. en. la. seguridad. a. medida. que. son. cada. vez. más. utilizados. en. las. empresas.. Visite.www.symantec.com/la/tendenciasmovilidad.para.más.información.
  • 2. Security Response Una.Mirada.a.la.Seguridad.de.los.Dispositivos.Móvil..(Resumen.Ejecutivo)Objetivos de seguridad móvil En.lo.que.se.refiere.a.seguridad,.las.dos.plataformas.móviles.más.importantes.comparten.muy.poco.con.sus.sistemas.operativos. de.escritorio.y.para.servidor..A.pesar.de.que.ambas.plataformas.fueron.construidas.en.sistemas.operativos.existentes.(iOS. está. basado. en. el. sistema. operativo. OSX. de. Apple. y. Android. está. basado. en. Linux),. éstos. utilizan. modelos. de. seguridad. mucho.más.elaborados.que.fueron.diseñados.en.su.núcleo.de.implementación..El.objetivo.probablemente.era.implementar.la. seguridad.interna.de.las.plataformas.móviles.en.lugar.de.utilizar.software.de.seguridad.de.terceros. Entonces,.¿Apple.y.Google.tuvieron.éxito.al.intentar.crear.plataformas.seguras?.Para.responder.a.esta.pregunta,.incluimos.un. análisis.del.modelo.de.seguridad.de.cada.plataforma.y.analizaremos.su.implementación.para.determinar.su.efectividad.contra. las.principales.amenazas.de.hoy.en.día,.incluyendo:. • Ataques basados en la web y en redes. Estos.ataques.son.generalmente.iniciados.por.sitios.web.maliciosos.o.sitios.web. legítimos.comprometidos.. • Software malicioso. El.software.malicioso.se.puede.dividir.en.tres.categorías.de.alto.nivel:.virus.informáticos.tradicionales,. gusanos.informáticos.y.troyanos. • Ataques de ingeniería social. Estos. ataques,. como. el. phishing,. se. aprovechan. de. la. ingeniería. social. para. engañar. al. usuario.y.hacer.que.revele.información.importante.o.instale.software.malicioso.en.su.computadora.. • Abuso de disponibilidad de servicios y recursos. El.objetivo.de.muchos.ataques.es.hacer.un.mal.uso.de.la.red,.los.recursos. informáticos.o.la.identidad.de.un.dispositivo.para.fines.ilegítimos.. • Pérdida de datos maliciosa y no intencionada. La. pérdida. de. datos. se. produce. cuando. un. empleado. o. hacker. extrae. información.importante.de.una.red.o.dispositivo.protegido. • Ataques sobre la integridad de los datos del dispositivo. En.un.ataque.a.la.integridad.de.los.datos,.el.agresor.intenta. corromper.o.modificar.los.datos.sin.permiso.del.propietario.iOS de Apple El.sistema.operativo.iOS.de.Apple.que.se.utiliza.en.iPod,.iPhone.y.iPad.es.una.versión.reducida.del.sistema.operativo.OS.X. Mac.de.Apple. Vulnerabilidades Al. momento. en. que. se. redactó. este. informe,. los. investigadores. de. seguridad. habían. descubierto. aproximadamente. 200. vulnerabilidades.diferentes.en.diversas.versiones.del.sistema.operativo.iOS.desde.su.lanzamiento.inicial..La.gran.mayoría. de.estas.vulnerabilidades.correspondía.a.un.nivel.de.severidad.bajo..La.mayoría.permitiría.al.atacante.tomar.control.de.un. solo.proceso,.como.el.proceso.Safari,.pero.no.le.permitiría.tomar.control.del.dispositivo.a.nivel.administrador..Las.demás. vulnerabilidades.correspondían.a.una.severidad.mayor,.y.podrían.permitir.al.atacante.tomar.control.del.dispositivo.a.nivel. administrador,.suministrándole.acceso.a.casi.todos.los.datos.y.servicios.del.dispositivo..Estas.vulnerabilidades.más.severas. se.clasifican.como.vulnerabilidades.de.“escalamiento.de.privilegios”.porque.permiten.que.el.atacante.aumente.sus.privilegios. y.obtenga.el.control.total.del.dispositivo.. Según.los.datos.de.Symantec.al.momento.en.que.se.redactó.esta.investigación,.Apple.tardó.aproximadamente.12.días.en. corregir.cada.vulnerabilidad.una.vez.descubierta. Resumen de la seguridad de iOS A.Symantec.considera.que.el.modelo.de.seguridad.de.iOS.está.bien.diseñado.y.ha.demostrado.poseer.una.gran.resistencia.a. ataques..En.resumen: • El sistema de encriptación de iOS ofrece.una.sólida.protección.para.los.mensajes.de.correo.electrónico.y.sus.archivos. adjuntos,.y.permite.el.borrado.del.dispositivo,.pero.ofrece.poca.protección.contra.los.ataques.a.dispositivos.físicos.de.un. determinado.atacante. • El enfoque de procedencia de iOS garantiza.que.Apple.estudia.de.forma.cuidadosa.cada.aplicación.pública.disponible..A. pesar.de.que.este.enfoque.de.estudio.exhaustivo.no.es.a.toda.prueba.y.puede.ser.evadido.por.un.determinado.atacante.casi. con.seguridad,.ha.demostrado.ser.un.gran.obstáculo.para.los.ataques.de.software.malicioso,.pérdida.de.datos,.integridad. de.datos.y.negación.de.servicio. • El modelo de aislamiento de iOS evita.completamente.los.tipos.de.virus.informáticos.y.gusanos.tradicionales.y.limita.los. datos.a.los.que.el.spyware.puede.acceder..También.limita.la.mayoría.de.los.ataques.basados.en.la.red,.como.por.ejemplo.que. la.memoria.buffer.tome.control.del.dispositivo..Sin.embargo,.no.necesariamente.evita.todos.los.tipos.de.ataques.de.pérdida. de.datos,.abuso.de.recursos.o.integridad.de.los.datos.. • El modelo de permisos de iOS garantiza. que. las. aplicaciones. no. puedan. obtener. la. ubicación. del. dispositivo,. enviar. mensajes.SMS.ni.iniciar.llamadas.sin.el.permiso.del.propietario. Página.2
  • 3. Security Response Una.Mirada.a.la.Seguridad.de.los.Dispositivos.Móvil..(Resumen.Ejecutivo) •. Ninguna.de.las.tecnologías.de.protección.del.iOS.se.dirige.a.ataques.de.ingeniería.social.como.los.ataques.de.phishing.o. spam. Android Android.es.una.unión.entre.el.sistema.operativo.Linux.y.una.plataforma.basada.en.Java.denominada.Dalvik,.que.es.una.versión. de.la.popular.plataforma.Java..Cada.aplicación.Android.se.ejecuta.dentro.de.su.propia.máquina.virtual,.y.cada.máquina.virtual. es. aislada. en. su. propio. proceso. Linux.. Este. modelo. garantiza. que. ningún. proceso. pueda. acceder. a. los. recursos. de. otros. procesos,.a.menos.que.el.dispositivo.sea.“jail.broken”..Mientras.que.la.máquina.virtual.Java.fue.diseñada.para.ser.un.sistema. seguro,.de.zona.protegida,.capaz.de.contener.programas.potencialmente.maliciosos,.Android.no.se.basa.en.su.máquina.virtual. para.implementar.su.seguridad..Toda.la.protección.es.implementada.directamente.por.el.sistema.operativo.Android.basado. en.Linux. Vulnerabilidades Al. momento. en. que. se. redactó. este. informe,. los. investigadores. de. seguridad. habían. descubierto. un. total. de. 18. vulnerabilidades. diferentes. en. diversas. versiones. del. sistema. operativo. Android. desde. su. lanzamiento. inicial.. La. mayoría. de.estas.vulnerabilidades.correspondían.a.un.nivel.bajo.de.severidad.y.sólo.podrían.permitir.al.atacante.tomar.control.de.un. sólo.proceso,.como.el.proceso.del.navegador.web,.pero.no.le.permitirían.tomar.control.del.dispositivo.a.nivel.administrador.. Las.restantes.vulnerabilidades.correspondían.a.un.nivel.de.severidad.mayor,.y.podrían.permitir.al.atacante.tomar.control.del. dispositivo.a.nivel.raíz,.suministrándole.acceso.a.casi.todos.los.datos.del.dispositivo.. Hasta. la. fecha,. Google. ha. corregido. 14. de. estas. 18. vulnerabilidades.. De. las. cuatro. vulnerabilidades. no. corregidas,. una. corresponde.al.tipo.de.escalamiento.de.privilegios.más.severo..Esta.vulnerabilidad.se.corregirá.en.la.versión.2.3.de.Android,. pero. no. se. ha. corregido. para. las. versiones. anteriores. del. mencionado. sistema. operativo.. Dado. que. la. mayoría. de. los. proveedores.no.han.actualizado.los.teléfonos.de.sus.clientes.de.Android.2.2.a.2.3,.prácticamente.todos.los.teléfonos.con. Android. (al. momento. de. la. redacción. de. este. informe). podrían. ser. vulnerables. a. ataques.. Esta. vulnerabilidad. puede. ser. aprovechada. por. cualquier. aplicación. de. terceros. y. no. requiere. que. el. atacante. tenga. acceso. físico. al. dispositivo.. . Según. los.datos.de.Symantec.al.momento.en.que.se.redactó.este.informe,.Google.tardó.aproximadamente.8.días.en.corregir.cada. vulnerabilidad.una.vez.descubierta. Resumen de la seguridad de Android En. general,. creemos. que. el. modelo. de. seguridad. de. Android. representa. una. mejora. importante. por. sobre. los. modelos. utilizados. por. los. sistemas. operativos. de. escritorio. y. basados. en. servidores;. sin. embargo,. presenta. dos. desventajas. importantes..En.primer.lugar,.su.sistema.de.procedencia.permite.que.los.atacantes.creen.y.distribuyan.software.malicioso. en.forma.anónima..En.segundo.lugar,.aunque.su.sistema.de.permisos.es.extremadamente.potente,.es.el.usuario.el.que.debe. tomar.las.decisiones.importantes.relacionadas.con.la.seguridad,.y.desafortunadamente,.la.mayoría.de.los.usuarios.no.están. capacitados.técnicamente.para.tomar.dichas.decisiones,.lo.que.ya.ha.dado.lugar.a.ataques.de.ingeniería.social..En.resumen: • El enfoque de procedencia de Android garantiza. que. sólo. se. puedan. instalar. aplicaciones. firmadas. digitalmente. en. dispositivos. con. Android.. Sin. embargo,. los. atacantes. pueden. utilizar. certificados. digitales. anónimos. para. firmar. sus. amenazas.y.distribuirlas.por.Internet.sin.ninguna.certificación.de.Google..Los.atacantes.también.pueden.“troyanizar”.o. inyectar.códigos.maliciosos.fácilmente.en.aplicaciones.legítimas.y.redistribuirlos.fácilmente.por.Internet,.firmándolos.con. un.nuevo.certificado.anónimo..En.cuanto.al.aspecto.positivo,.Google.requiere.que.los.autores.de.aplicaciones.que.deseen. distribuir.las.suyas.a.través.de.Android.App.Marketplace.paguen.un.arancel.y.se.registren.en.Google.(compartiendo.su.firma. digital.de.desarrollador.con.Google)..Al.igual.que.con.el.enfoque.de.registro.de.Apple,.éste.representa.un.obstáculo.para.los. atacantes.menos.organizados. • La política de aislamiento predeterminada de Android logra.aislar.en.forma.efectiva.las.aplicaciones.entre.sí.y.de.la. mayoría.de.los.sistemas.del.dispositivo,.por.ejemplo,.del.kernel.del.sistema.operativo.de.Android,.con.diversas.excepciones. significantes..(las.aplicaciones.pueden.leer.todos.los.datos.de.la.tarjeta.SD.sin.restricciones). • El modelo de permisos de Android garantiza.que.las.aplicaciones.sean.aisladas.de.casi.todos.los.sistemas.de.los.dispositivos. principales,.a.menos.que.requieran.acceso.a.dichos.sistemas.explícitamente..Desafortunadamente,.Android.deja.al.usuario. la.última.decisión.acerca.de.otorgar.permiso.a.una.aplicación.o.no,.lo.cual.lo.deja.abierto.a.ataques.de.ingeniería.social.. La.gran.mayoría.de.los.usuarios.no.están.preparados.para.tomar.estas.decisiones,.por.lo.que.son.vulnerables.a.ataques. de.software.malicioso.y.a.todos.los.ataques.secundarios.(ataques.de.denegación.de.servicio,.pérdida.de.datos,.etc.).que. pueden.ser.iniciados.por.software.malicioso.. •. Actualmente,. Android. no. ofrece. ninguna. encriptación. integrada. ni. predeterminada;. sólo. se. basa. en. el. aislamiento. y. el. otorgamiento.de.permisos.para.resguardar.los.datos..Por.ello,.un.simple.jail-break.de.un.teléfono.Android.o.el.robo.de.la. tarjeta.SD.de.un.dispositivo.puede.significar.una.gran.pérdida.de.datos. Página.3
  • 4. Security Response Una.Mirada.a.la.Seguridad.de.los.Dispositivos.Móvil..(Resumen.Ejecutivo) •. Al. igual. que. con. iOS,. Android. no. posee. ningún. mecanismo. para. evitar. ataques. de. Ingeniería. Social,. como. ataques. de. phishing.u.otros.engaños.basados.en.la.web.(fuera.del.dispositivo).iOS vs. Android: Comparación sobre Seguridad Las. siguientes. tablas. resumen. nuestras. conclusiones. acerca. de. las. diversas. fortalezas. y. debilidades. de. las. plataformas. móviles.iOS.y.Android. . Table.1. Table.2. Resistencia frente a tipos de ataques Implementación de funciones de seguridad Android Resistencia a: iOS Apple Pilares de Android Google iOS Apple seguridad Google Ataques.basados.en.la. Web Control.de.acesso Ataques..malware Procedencia.de. aplicación Ataques.ingeniería. social Encriptación Ataques.de.abuso.y. recursos.de.servicio Aislamiento Pérdida.de.datos.(mal- ciosa.y.accidental) Control.de.acceso. basado.en.permisos Ataque.integridad.de. datos . Leyenda Protección completa Poca protección Buena protección Protección nula Conclusión Protección moderada Hoy.en.día.los.dispositivos.móviles.son.una.bolsa.donde.todo.se.mezcla.cuando.se.trata.de.seguridad..Estas.plataformas.fueron. diseñadas.desde.el.comienzo.para.ser.más.seguras;.sin.embargo,.estos.dispositivos.fueron.diseñados.para.ser.utilizados.por. consumidores,.y.en.algunos.casos,.han.relegado.la.seguridad.en.favor.de.la.facilidad.de.uso..Esta.compensación.contribuyó.a. la.popularidad.masiva.de.las.plataformas,.pero.también.aumentó.el.riesgo.que.implica.la.utilización.de.estos.dispositivos.en. las.empresas. El.hecho.de.que.muchos.empleados.lleven.sus.propios.dispositivos.a.la.empresa.y.los.utilicen.sin.supervisión.para.acceder. a. recursos. corporativos. como. calendarios,. listas. de. contacto,. documentos. corporativos. e. inclusive. para. enviar. y. recibir. mensajes.de.correo.electrónico.aumenta.el.riesgo..A.menudo.también.los.empleados.sincronizan.estos.datos.corporativos.con. servicios.en.la.nube.de.terceros.y.con.sus.laptops.o.PCs.en.sus.hogares..Esta.conectividad.alternativa.produce.“fugas”.de.datos. corporativos.potencialmente.importantes.en.sistemas.de.terceros.que.no.están.bajo.el.control.directo.de.la.organización. Finalmente,.mientras.los.dispositivos.móviles.prometen.mejorar.notablemente.la.productividad,.también.traen.consigo.una. cantidad.de.riesgos.nuevos.que.deben.ser.controlados.por.las.empresas..Esperamos.que.con.la.explicación.de.los.modelos. de.seguridad.detrás.de.cada.plataforma.y.de.los.ecosistemas.de.los.que.participan.estos.dispositivos,.el.lector.pueda.evaluar. estos.dispositivos.y.manejar.los.riesgos.que.éstos.conllevan.con.mayor.efectividad.. Visite.www.symantec.com/la/tendenciasmovilidad.para.más.información. Página.4
  • 5. Security Response .Cualquier.información.técnica.publicada.por.Symantec.Corporation.es.propiedad.y.está.protegida.por.derechos.de.autor.de..Symantec.Corporation. SIN.GARANTíA...La.información.técnica.se.presenta.tal.cual.y.Symantec..Corporation.no.garantiza.su.uso.o.exactitud..Cualquier.uso.de.la.documentación.técnica.o.la.información.en.este.documento.es. bajo.el.riesgo.del.usuario..La.documentación.puede.incluir.imprecisiones.o.errores.tipográficos..Symantec.se.reserve.el.derecho.de.hacer.cambios.sin.notificación.previa... Sobre Symantec Symantec.es.líder.mundial.en.soluciones.de.seguridad,. almacenamiento.y.administración.de.sistemas.que. ayudan.a.las.empresas.y.consumidores.a.proteger.y. administrar.su.información..Tiene.su.sede.en.Mountain.Sobre el AutorCarey.Nachenberg.es.Vicepresidente.e.investigadora.dentro.de. View,.California.y.operaciones.en.más.de.40.países..Más.la.organización.Symantec.Security,.Technology,.and.Response. información.está.disponible.en.www.symantec.com/laPara.información.sobre.las.oficinas.en.los. Symantec.Corporation Copyright.©.2011.Symantec.Corporation..Derechos. reservados..Symantec.y.el.logotipo.de.Symantec.logo.distintos.países.y.datos.de.contacto,.visite. Corporativo.Mundial son.propiedad.o.marcas.registradas.de..Symantec.nuestro.sitio.Web. 350.Ellis.Street Corporation.o.sus.afiliados.en.los.Estados.Unidos. y.otros.países..Algunos.otros.nombres.pueden.ser.www.symantec.com/la Mountain.View,.CA.94043.USA propiedad.de.sus.respectivos.dueños..

×