En relación a la nota ¿Qué tan seguras son las claves del celular? , contactamos a Iván Arce, director del Programa de Seguridad en TIC (STIC) de la Fundación Dr. Manuel Sadosky y editor de la revista IEEE Security and Privacy, para que nos explique un poco más sobre los peligros de seguridad en celulares.
TECtv: ¿Son los mismos protocolos de seguridad los que se utilizan en el caso de los dispositivos móviles?
Iván Arce: En general si, los dispositivos móviles modernos (Smartphone, tablets, etc) son computadoras de propósito general que corren sistemas operativos estándar con algunas modificaciones específicas para el hardware que usan. Excepto en lo relacionado con comunicación por radiofrecuencia (CDMA,GSM,LTE,etc) lo demás es bastante similar a lo utilizado en el mundo de las redes de datos y las computadoras
¿Un dispositivo por ser móvil es más vulnerable?
Es una pregunta difícil de responder pero me inclino a pensar que los dispositivos móviles son efectivamente más vulnerables por varios motivos:
Por ejemplo, Un dispositivo móvil se conecta a distintas redes de manera intermitente, incluso puede estar conectado a varias redes al mismo tiempo (p.e. wifi, bluetooth y telefónica) y, a diferencia de lo que sucede con un dispositivo fijo, digamos una PC, las características de seguridad de las redes a las que se conecta no son fácilmente controlables o auditables por el dueño o usuario del dispositivo móvil.
Además en la mayoría de los casos la conexión o asociación con una red inalámbrica se hace de manera automática y transparente, el usuario ni se da cuenta. Esta problemática es similar a la de una laptop solo que en estas últimas generalmente es más sencillo controlar y limitar la conexión automática a redes conocidas y desconocidas.
Un dispositivo móvil tiene, además, un conjunto de otros dispositivos (placa wifi, acelerómetro, gps, micrófono, cámara, chip para comunicación vía radio frecuencia/celular). Todos ellos usan software susceptible de tener bugs y de ser atacados o usados con propósitos maliciosos.
En un dispositivo móvil moderno (Smartphone, Tablet) hay un ecosistema de software en el que interviene diversos actores: el fabricante del equipo, el operador telefónico (si es un Smartphone, el caso más común de dispositivo móvil), el fabricante del sistema operativo, un número no acotado de aplicaciones provistas por diversos fabricantes que a su vez utilizaron un conjunto de componentes reusables de software de terceros (bibliotecas, frameworks, scripts, etc).
La seguridad del dispositivo depende del funcionamiento correcto y de la ausencia de bugs en todos los componentes de ese ecosistema, algo que es muy improbable sobre todo porque el mercado de dispositivos móviles está experimentando un crecimiento importante y es muy volátil por lo que es esperable que para cualquier participante entrar al mercado rápidamente sea más prioritario que atender cuestiones de calidad o específicamente seguridad del software.
El número de dispositivos móviles en el mundo es al menos 1 o 2 órdenes de magnitud mayor que el número de computadoras personales. La escala de los problemas y de las soluciones es necesariamente mayor.
¿Qué medidas se pueden tomar para evitar el “hackeo” de un dispositivo móvil?
Para empezar, se puede mantener el sistema operativo y las aplicaciones actualizadas. Después conviene desinstalar las aplicaciones que no se usan o que no se consideran necesarias. Una de las claves es no instalar aplicaciones nuevas sin verificar muy cuidadosamente que no sean “truchas” (copias de aplicaciones populares pero de otros proveedores). Otra forma es no instalar aplicaciones nuevas que requieran permisos para hacer cosas que no deberían hacer (p.e. una aplicación “linterna” no debería poder conectarse a Internet o mandar SMS)
Es importante desactivar la conexión automática a redes inalámbricas Wifi, bluetooth, 3G, NFC, etc. Conectarse manualmente cuando uno quiere.
Cuando existe la posibilidad, conviene poner un código de desbloqueo al teléfono que no sea fácil de adivinar (no 1111, 1234, 0000, etc) preferentemente de más de 4 dígitos y cambiarlo periódicamente.
Tenemos siempre que asumir que la información almacenada en el celular puede convertirse en pública en cualquier momento.
Todas estas cosas no evitan el “hackeo” del dispositivo móvil pero reducen el riesgo de que suceda y el impacto posterior
¿Hay algún peligro que estén ignorando los fabricantes y programadores de software para celulares en relación a la seguridad informática?
Los programadores de software para celulares, en todos los niveles, están más preocupados por entrar rápido y capturar una parte del mercado que por asegurar la calidad y la seguridad de su software. Además le dan poca importancia a la problemática de seguridad cuando se manifiesta la necesidad de generar y publicar actualizaciones de seguridad/parches para el software que ya está desplegado en cientos de miles o millones de dispositivos.
La problemática de seguridad en dispositivos móviles es compleja porque requiere que todos los actores involucrados se ocupen del asunto, no solo los desarrolladores de software. Los operadores de telefonía celular son el actor con mayor capacidad de impactar positivamente en el ecosistema.
Iván Arce es director del Programa de Seguridad en TIC (STIC) de la Fundación Dr. Manuel Sadosky, una entidad sin fines de lucro público-privada dedicada a promover y robustecer, en todo lo referente a Tecnologías de la Información y Comunicación (TIC), la articulación entre el sistema científico-tecnológico y el sector productivo de la Argentina.
Entre 1996 y 2012 Iván ocupo múltiples roles en Core Security Technologies, una empresa que fundó con 4 amigos en Buenos Aires y que es mundialmente reconocida por su actividad de investigación y desarrollo y por su liderazgo en el segmento de penetration testing del mercado global de software y servicios de seguridad informática.
Antes de eso, trabajó como director de Investigación y Desarrollo de VirtualFon, una pequeña empresa de integración de telefonía y computación, donde fue responsable por el diseño, desarrollo y despliegue de sistemas y aplicaciones de respuesta de voz interactiva (IVR), teleconferencia, reconocimiento de voz, texto a voz (TTS) e integración con centrales de conmutación públicas y privadas para clientes corporativos de América del Sur.
Iván fue estudiante (no graduado) de Ingeniería Electrónica de la UBA, es miembro de ACM, editor de la revista IEEE Security and Privacy desde 2002 y orador frecuente en congresos y conferencias de seguridad informática.
