análisis de symantec de las plataformas ios de apple y android de google revela mayor seguridad en...
DESCRIPTION
Symantec Corp. (Nasdaq: SYMC) anunció la publicación del informe “A Window into Mobile Device Security: Examining the Security Approaches Employed in Apple’s iOS and y Google’s Android” (Una ventana a la seguridad de los dispositivos móviles: Analizando los Enfoques de Seguridad en las Plataformas iOS de Apple y Android de Google). Este informe realiza una evaluación técnica exhaustiva de las dos plataformas móviles más populares con el fin de ayudar a las compañías a identificar los riesgos en la seguridad al incorporar dispositivos móviles que utilizan estas plataformas a sus negocios. “Actualmente los dispositivos móviles son un grupo heterogéneo cuando se trata de seguridad. A pesar de ser más seguros que las computadoras tradicionales, estas plataformas todavía son vulnerables a muchos ataques. Además, los empleados usan cada vez más dispositivos personales, no corporativos, para acceder a recursos sensibles, y al conectar estos dispositivos con servicios de terceros fuera del control de la compañía, exponen datos y activos clave ante posibles atacantes”, afirmó Carey Nachenberg, Vicepresidente e Investigador, Symantec Security Technology and Response. Uno de los hallazgos destacados es que a pesar de que las plataformas móviles más populares utilizadas en la actualidad fueron diseñadas considerando cuestiones de seguridad, éstas no siempre son suficientes para proteger datos sensibles de activos comerciales que se intercambian a través de estos dispositivos. Otro factor que influye en la protección de datos de activos comerciales clave es que los dispositivos móviles actuales están cada vez más conectados y sincronizados con un completo ecosistema de servicios de cómputo en la nube y de escritorio de terceros, lo que sin duda está fuera del control de las compañías y expone más la información.TRANSCRIPT
Security Response
ContenidosIntroducción............................................................ 1Seguridad.Móvil.-.Metas......................................... 2Apple.iOS................................................................. 2Android.................................................................... 3iOS.vs..Android:.Comparación.sobre.Seguridad.... 4Conclusiones........................................................... 4
IntroducciónCon. tantos. dispositivos. móviles. abriéndose. camino. en. las. empresas,. los.CIO. y. los. CISO. se. enfrentan. a. una. prueba. de. fuego.. Cada. vez. más. usuarios.utilizan. sus. dispositivos. para. acceder. a. servicios. de. la. empresa,. ver. datos.corporativos. y. realizar. negocios.. Además,. muchos. de. estos. dispositivos.no. son. controlados. por. el. administrador,. lo. que. significa. que. datos.importantes.de.la.empresa.no.están.sujetos.a. las.políticas.de.cumplimiento,.seguridad. y. prevención. de. pérdida. de. datos. (DLP). de. la. organización..
Para. complicar. aún. más. las. cosas,. los. dispositivos. móviles. de. hoy. no.están. aislados,. sino. que. están. conectados. a. un. completo. ecosistema.que. soporta. servicios. en. nube. y. basados. en. PC.. El. teléfono. inteligente.típico. se. sincroniza. con. al. menos. un. servicio. basado. en. nube. pública.que. se. encuentra. fuera. del. control. del. administrador.. Muchos. usuarios.sincronizan. sus. dispositivos. directamente. con. sus. computadoras. de.casa. para. realizar. copias. de. seguridad. de. los. datos. y. configuraciones.importantes.. En. ambos. casos,. es. posible. que. se. almacenen. datos. clave. de.la. empresa. en. diversas. ubicaciones. no. seguras. fuera. de. su. control. directo.
En. este. contexto,. Symantec. presenta. este. informe,. el. cual. aborda. los.modelos. de. seguridad. de. las. plataformas. Android. de. Google. e. iOS.de. Apple,. las. dos. plataformas. móviles. más. populares. actualmente.en. uso,. para. evaluar. el. impacto. que. tendrán. estos. dispositivos. en. la.seguridad. a. medida. que. son. cada. vez. más. utilizados. en. las. empresas..
Visite.www.symantec.com/la/tendenciasmovilidad.para.más.información.
Carey Nachenberg Vicepresidente, Symantec Corporation
Resumen ejecutivo
Una Mirada a la Seguridad de los Dispositivos MóvilesAnálisis de los enfoques de seguridad en las plataformas iOS de Apple y Android de Google
Una.Mirada.a.la.Seguridad.de.los.Dispositivos.Móvil..(Resumen.Ejecutivo)
Página.2
Security Response
Objetivos de seguridad móvilEn.lo.que.se.refiere.a.seguridad,.las.dos.plataformas.móviles.más.importantes.comparten.muy.poco.con.sus.sistemas.operativos.de.escritorio.y.para.servidor..A.pesar.de.que.ambas.plataformas.fueron.construidas.en.sistemas.operativos.existentes.(iOS.está. basado. en. el. sistema. operativo. OSX. de. Apple. y. Android. está. basado. en. Linux),. éstos. utilizan. modelos. de. seguridad.mucho.más.elaborados.que.fueron.diseñados.en.su.núcleo.de.implementación..El.objetivo.probablemente.era.implementar.la.seguridad.interna.de.las.plataformas.móviles.en.lugar.de.utilizar.software.de.seguridad.de.terceros.
Entonces,.¿Apple.y.Google.tuvieron.éxito.al.intentar.crear.plataformas.seguras?.Para.responder.a.esta.pregunta,.incluimos.un.análisis.del.modelo.de.seguridad.de.cada.plataforma.y.analizaremos.su.implementación.para.determinar.su.efectividad.contra.las.principales.amenazas.de.hoy.en.día,.incluyendo:.
• Ataquesbasadosenlawebyenredes.Estos.ataques.son.generalmente.iniciados.por.sitios.web.maliciosos.o.sitios.web.legítimos.comprometidos..
• Softwaremalicioso.El.software.malicioso.se.puede.dividir.en.tres.categorías.de.alto.nivel:.virus.informáticos.tradicionales,.gusanos.informáticos.y.troyanos.
• Ataques de ingeniería social. Estos. ataques,. como. el. phishing,. se. aprovechan. de. la. ingeniería. social. para. engañar. al.usuario.y.hacer.que.revele.información.importante.o.instale.software.malicioso.en.su.computadora..
• Abusodedisponibilidaddeserviciosyrecursos.El.objetivo.de.muchos.ataques.es.hacer.un.mal.uso.de.la.red,.los.recursos.informáticos.o.la.identidad.de.un.dispositivo.para.fines.ilegítimos..
• Pérdidadedatosmaliciosayno intencionada.La.pérdida.de.datos.se.produce.cuando.un.empleado.o.hacker.extrae.información.importante.de.una.red.o.dispositivo.protegido.
• Ataquessobrelaintegridaddelosdatosdeldispositivo.En.un.ataque.a.la.integridad.de.los.datos,.el.agresor.intenta.corromper.o.modificar.los.datos.sin.permiso.del.propietario.
iOS de AppleEl.sistema.operativo.iOS.de.Apple.que.se.utiliza.en.iPod,.iPhone.y.iPad.es.una.versión.reducida.del.sistema.operativo.OS.X.Mac.de.Apple.
VulnerabilidadesAl. momento. en. que. se. redactó. este. informe,. los. investigadores. de. seguridad. habían. descubierto. aproximadamente. 200.vulnerabilidades.diferentes.en.diversas.versiones.del.sistema.operativo.iOS.desde.su.lanzamiento.inicial..La.gran.mayoría.de.estas.vulnerabilidades.correspondía.a.un.nivel.de.severidad.bajo..La.mayoría.permitiría.al.atacante.tomar.control.de.un.solo.proceso,.como.el.proceso.Safari,.pero.no.le.permitiría.tomar.control.del.dispositivo.a.nivel.administrador..Las.demás.vulnerabilidades.correspondían.a.una.severidad.mayor,.y.podrían.permitir.al.atacante.tomar.control.del.dispositivo.a.nivel.administrador,.suministrándole.acceso.a.casi.todos.los.datos.y.servicios.del.dispositivo..Estas.vulnerabilidades.más.severas.se.clasifican.como.vulnerabilidades.de.“escalamiento.de.privilegios”.porque.permiten.que.el.atacante.aumente.sus.privilegios.y.obtenga.el.control.total.del.dispositivo..
Según.los.datos.de.Symantec.al.momento.en.que.se.redactó.esta.investigación,.Apple.tardó.aproximadamente.12.días.en.corregir.cada.vulnerabilidad.una.vez.descubierta.
Resumen de la seguridad de iOSA.Symantec.considera.que.el.modelo.de.seguridad.de.iOS.está.bien.diseñado.y.ha.demostrado.poseer.una.gran.resistencia.a.ataques..En.resumen:
• ElsistemadeencriptacióndeiOSofrece.una.sólida.protección.para.los.mensajes.de.correo.electrónico.y.sus.archivos.adjuntos,.y.permite.el.borrado.del.dispositivo,.pero.ofrece.poca.protección.contra.los.ataques.a.dispositivos.físicos.de.un.determinado.atacante.
• ElenfoquedeprocedenciadeiOSgarantiza.que.Apple.estudia.de.forma.cuidadosa.cada.aplicación.pública.disponible..A.pesar.de.que.este.enfoque.de.estudio.exhaustivo.no.es.a.toda.prueba.y.puede.ser.evadido.por.un.determinado.atacante.casi.con.seguridad,.ha.demostrado.ser.un.gran.obstáculo.para.los.ataques.de.software.malicioso,.pérdida.de.datos,.integridad.de.datos.y.negación.de.servicio.
• ElmodelodeaislamientodeiOSevita.completamente.los.tipos.de.virus.informáticos.y.gusanos.tradicionales.y.limita.los.datos.a.los.que.el.spyware.puede.acceder..También.limita.la.mayoría.de.los.ataques.basados.en.la.red,.como.por.ejemplo.que.la.memoria.buffer.tome.control.del.dispositivo..Sin.embargo,.no.necesariamente.evita.todos.los.tipos.de.ataques.de.pérdida.de.datos,.abuso.de.recursos.o.integridad.de.los.datos..
• El modelo de permisos de iOS garantiza. que. las. aplicaciones. no. puedan. obtener. la. ubicación. del. dispositivo,. enviar.mensajes.SMS.ni.iniciar.llamadas.sin.el.permiso.del.propietario.
Una.Mirada.a.la.Seguridad.de.los.Dispositivos.Móvil..(Resumen.Ejecutivo)
Página.3
Security Response
•. Ninguna.de.las.tecnologías.de.protección.del.iOS.se.dirige.a.ataques.de.ingeniería.social.como.los.ataques.de.phishing.o.spam.
AndroidAndroid.es.una.unión.entre.el.sistema.operativo.Linux.y.una.plataforma.basada.en.Java.denominada.Dalvik,.que.es.una.versión.de.la.popular.plataforma.Java..Cada.aplicación.Android.se.ejecuta.dentro.de.su.propia.máquina.virtual,.y.cada.máquina.virtual.es. aislada. en. su. propio. proceso. Linux.. Este. modelo. garantiza. que. ningún. proceso. pueda. acceder. a. los. recursos. de. otros.procesos,.a.menos.que.el.dispositivo.sea.“jail.broken”..Mientras.que.la.máquina.virtual.Java.fue.diseñada.para.ser.un.sistema.seguro,.de.zona.protegida,.capaz.de.contener.programas.potencialmente.maliciosos,.Android.no.se.basa.en.su.máquina.virtual.para.implementar.su.seguridad..Toda.la.protección.es.implementada.directamente.por.el.sistema.operativo.Android.basado.en.Linux.
VulnerabilidadesAl. momento. en. que. se. redactó. este. informe,. los. investigadores. de. seguridad. habían. descubierto. un. total. de. 18.vulnerabilidades. diferentes.en.diversas.versiones.del. sistema.operativo.Android.desde.su. lanzamiento. inicial..La.mayoría.de.estas.vulnerabilidades.correspondían.a.un.nivel.bajo.de.severidad.y.sólo.podrían.permitir.al.atacante.tomar.control.de.un.sólo.proceso,.como.el.proceso.del.navegador.web,.pero.no.le.permitirían.tomar.control.del.dispositivo.a.nivel.administrador..Las.restantes.vulnerabilidades.correspondían.a.un.nivel.de.severidad.mayor,.y.podrían.permitir.al.atacante.tomar.control.del.dispositivo.a.nivel.raíz,.suministrándole.acceso.a.casi.todos.los.datos.del.dispositivo..
Hasta. la. fecha,. Google. ha. corregido. 14. de. estas. 18. vulnerabilidades.. De. las. cuatro. vulnerabilidades. no. corregidas,. una.corresponde.al.tipo.de.escalamiento.de.privilegios.más.severo..Esta.vulnerabilidad.se.corregirá.en.la.versión.2.3.de.Android,.pero. no. se. ha. corregido. para. las. versiones. anteriores. del. mencionado. sistema. operativo.. Dado. que. la. mayoría. de. los.proveedores.no.han.actualizado.los.teléfonos.de.sus.clientes.de.Android.2.2.a.2.3,.prácticamente.todos. los.teléfonos.con.Android. (al. momento. de. la. redacción. de. este. informe). podrían. ser. vulnerables. a. ataques.. Esta. vulnerabilidad. puede. ser.aprovechada.por.cualquier.aplicación.de. terceros.y.no. requiere.que.el.atacante. tenga.acceso. físico.al.dispositivo.. .Según.los.datos.de.Symantec.al.momento.en.que.se.redactó.este.informe,.Google.tardó.aproximadamente.8.días.en.corregir.cada.vulnerabilidad.una.vez.descubierta.
Resumen de la seguridad de AndroidEn. general,. creemos. que. el. modelo. de. seguridad. de. Android. representa. una. mejora. importante. por. sobre. los. modelos.utilizados. por. los. sistemas. operativos. de. escritorio. y. basados. en. servidores;. sin. embargo,. presenta. dos. desventajas.importantes..En.primer.lugar,.su.sistema.de.procedencia.permite.que.los.atacantes.creen.y.distribuyan.software.malicioso.en.forma.anónima..En.segundo.lugar,.aunque.su.sistema.de.permisos.es.extremadamente.potente,.es.el.usuario.el.que.debe.tomar.las.decisiones.importantes.relacionadas.con.la.seguridad,.y.desafortunadamente,.la.mayoría.de.los.usuarios.no.están.capacitados.técnicamente.para.tomar.dichas.decisiones,.lo.que.ya.ha.dado.lugar.a.ataques.de.ingeniería.social..En.resumen:
• El enfoque de procedencia de Android garantiza. que. sólo. se. puedan. instalar. aplicaciones. firmadas. digitalmente. en.dispositivos. con. Android.. Sin. embargo,. los. atacantes. pueden. utilizar. certificados. digitales. anónimos. para. firmar. sus.amenazas.y.distribuirlas.por.Internet.sin.ninguna.certificación.de.Google..Los.atacantes.también.pueden.“troyanizar”.o.inyectar.códigos.maliciosos.fácilmente.en.aplicaciones.legítimas.y.redistribuirlos.fácilmente.por.Internet,.firmándolos.con.un.nuevo.certificado.anónimo..En.cuanto.al.aspecto.positivo,.Google.requiere.que.los.autores.de.aplicaciones.que.deseen.distribuir.las.suyas.a.través.de.Android.App.Marketplace.paguen.un.arancel.y.se.registren.en.Google.(compartiendo.su.firma.digital.de.desarrollador.con.Google)..Al.igual.que.con.el.enfoque.de.registro.de.Apple,.éste.representa.un.obstáculo.para.los.atacantes.menos.organizados.
• LapolíticadeaislamientopredeterminadadeAndroid logra.aislar.en.forma.efectiva. las.aplicaciones.entre.sí.y.de. la.mayoría.de.los.sistemas.del.dispositivo,.por.ejemplo,.del.kernel.del.sistema.operativo.de.Android,.con.diversas.excepciones.significantes..(las.aplicaciones.pueden.leer.todos.los.datos.de.la.tarjeta.SD.sin.restricciones).
• ElmodelodepermisosdeAndroidgarantiza.que.las.aplicaciones.sean.aisladas.de.casi.todos.los.sistemas.de.los.dispositivos.principales,.a.menos.que.requieran.acceso.a.dichos.sistemas.explícitamente..Desafortunadamente,.Android.deja.al.usuario.la.última.decisión.acerca.de.otorgar.permiso.a.una.aplicación.o.no,.lo.cual.lo.deja.abierto.a.ataques.de.ingeniería.social..La.gran.mayoría.de.los.usuarios.no.están.preparados.para.tomar.estas.decisiones,.por.lo.que.son.vulnerables.a.ataques.de.software.malicioso.y.a.todos.los.ataques.secundarios.(ataques.de.denegación.de.servicio,.pérdida.de.datos,.etc.).que.pueden.ser.iniciados.por.software.malicioso..
•. Actualmente,. Android. no. ofrece. ninguna. encriptación. integrada. ni. predeterminada;. sólo. se. basa. en. el. aislamiento. y. el.otorgamiento.de.permisos.para.resguardar.los.datos..Por.ello,.un.simple.jail-break.de.un.teléfono.Android.o.el.robo.de.la.tarjeta.SD.de.un.dispositivo.puede.significar.una.gran.pérdida.de.datos.
Una.Mirada.a.la.Seguridad.de.los.Dispositivos.Móvil..(Resumen.Ejecutivo)
Página.4
Security Response
•. Al. igual. que. con. iOS,. Android. no. posee. ningún. mecanismo. para. evitar. ataques. de. Ingeniería. Social,. como. ataques. de.phishing.u.otros.engaños.basados.en.la.web.(fuera.del.dispositivo).
iOS vs. Android: Comparación sobre SeguridadLas. siguientes. tablas. resumen. nuestras. conclusiones. acerca. de. las. diversas. fortalezas. y. debilidades. de. las. plataformas.móviles.iOS.y.Android.
.
ConclusiónHoy.en.día.los.dispositivos.móviles.son.una.bolsa.donde.todo.se.mezcla.cuando.se.trata.de.seguridad..Estas.plataformas.fueron.diseñadas.desde.el.comienzo.para.ser.más.seguras;.sin.embargo,.estos.dispositivos.fueron.diseñados.para.ser.utilizados.por.consumidores,.y.en.algunos.casos,.han.relegado.la.seguridad.en.favor.de.la.facilidad.de.uso..Esta.compensación.contribuyó.a.la.popularidad.masiva.de.las.plataformas,.pero.también.aumentó.el.riesgo.que.implica.la.utilización.de.estos.dispositivos.en.las.empresas.
El.hecho.de.que.muchos.empleados.lleven.sus.propios.dispositivos.a.la.empresa.y.los.utilicen.sin.supervisión.para.acceder.a. recursos. corporativos. como. calendarios,. listas. de. contacto,. documentos. corporativos. e. inclusive. para. enviar. y. recibir.mensajes.de.correo.electrónico.aumenta.el.riesgo..A.menudo.también.los.empleados.sincronizan.estos.datos.corporativos.con.servicios.en.la.nube.de.terceros.y.con.sus.laptops.o.PCs.en.sus.hogares..Esta.conectividad.alternativa.produce.“fugas”.de.datos.corporativos.potencialmente.importantes.en.sistemas.de.terceros.que.no.están.bajo.el.control.directo.de.la.organización.
Finalmente,.mientras.los.dispositivos.móviles.prometen.mejorar.notablemente.la.productividad,.también.traen.consigo.una.cantidad.de.riesgos.nuevos.que.deben.ser.controlados.por.las.empresas..Esperamos.que.con.la.explicación.de.los.modelos.de.seguridad.detrás.de.cada.plataforma.y.de.los.ecosistemas.de.los.que.participan.estos.dispositivos,.el.lector.pueda.evaluar.estos.dispositivos.y.manejar.los.riesgos.que.éstos.conllevan.con.mayor.efectividad..
Visite.www.symantec.com/la/tendenciasmovilidad.para.más.información.
Table.1.
Resistencia frente a tipos de ataques
Resistencia a: iOS AppleAndroid Google
Ataques.basados.en.la.Web
Ataques..malware
Ataques.ingeniería.social
Ataques.de.abuso.y.recursos.de.servicio
Pérdida.de.datos.(mal-ciosa.y.accidental)
Ataque.integridad.de.datos .
Table.2.
Implementación de funciones de seguridad
Pilares de seguridad iOS Apple
Android Google
Control.de.acesso
Procedencia.de.aplicación
Encriptación
Aislamiento
Control.de.acceso.basado.en.permisos
Leyenda Protección completa Poca protección Buena protección Protección nula Protección moderada
SobreSymantecSymantec.es.líder.mundial.en.soluciones.de.seguridad,.
almacenamiento.y.administración.de.sistemas.que.ayudan.a.las.empresas.y.consumidores.a.proteger.y.
administrar.su.información..Tiene.su.sede.en.Mountain.View,.California.y.operaciones.en.más.de.40.países..Más.
información.está.disponible.en.www.symantec.com/la
Para.información.sobre.las.oficinas.en.los.distintos.países.y.datos.de.contacto,.visite.nuestro.sitio.Web.
www.symantec.com/la
Symantec.CorporationCorporativo.Mundial
350.Ellis.StreetMountain.View,.CA.94043.USA
Copyright.©.2011.Symantec.Corporation..Derechos.reservados..Symantec.y.el.logotipo.de.Symantec.logo.
son.propiedad.o.marcas.registradas.de..Symantec.Corporation.o.sus.afiliados.en.los.Estados.Unidos.y.otros.países..Algunos.otros.nombres.pueden.ser.
propiedad.de.sus.respectivos.dueños..
.Cualquier.información.técnica.publicada.por.Symantec.Corporation.es.propiedad.y.está.protegida.por.derechos.de.autor.de..Symantec.Corporation.
SIN.GARANTíA...La.información.técnica.se.presenta.tal.cual.y.Symantec..Corporation.no.garantiza.su.uso.o.exactitud..Cualquier.uso.de.la.documentación.técnica.o.la.información.en.este.documento.es.bajo.el.riesgo.del.usuario..La.documentación.puede.incluir.imprecisiones.o.errores.tipográficos..Symantec.se.reserve.el.derecho.de.hacer.cambios.sin.notificación.previa...
Security Response
SobreelAutorCarey.Nachenberg.es.Vicepresidente.e.investigadora.dentro.de.la.organización.Symantec.Security,.Technology,.and.Response.