Trivia No. 16 - Buenas prácticas para usuarios de telefonía móvil

En los últimos años, la telefonía móvil ha ido adquiriendo mayores niveles de prestaciones y los teléfonos de alta gama, se han transformado en un aliado para los usuarios que necesitan interactuar con los mismos recursos que una computadora (herramientas de trabajo, comunicación a bajo costo, múltiples posibilidades de interconexión, entretenimiento, etc).

Los SmartPhones y PocketPC hacen posible realizar las labores cotidianas desde cualquier lugar del mundo ya que incorporan sistemas operativos especialmente creados para soportar diversos tipos de comunicación y con funcionalidades que permiten realizar las tareas cotidianas que podría necesitar cualquier usuario: paquetes de ofimática, lector de archivos en diferentes formatos, multimedia (audio y video), agendas, correo electrónico, aplicaciones, juego; entre otras.

Sin embargo, estas prestaciones pueden tener un costo relativamente elevado dependiendo de la perspectiva desde la cual se analice, y si bien resulta algo extremadamente práctico, estos dispositivos poseen una serie de características que podrían tornarlos inseguros si no se tienen en cuenta una serie de cuestiones a nivel seguridad que, a través de buenas prácticas, es posible mitigar de manera efectiva.

La telefonía celular de alta gama ha roto los esquemas del concepto de seguridad perimetral, ya que al poder establecer una comunicación desde el dispositivo hacia cualquier recurso de red u otro dispositivo en el rango de alcance permitiendo manipular desde ellos documentación sensible de una organización, escapa del ámbito de protección acostumbrado y rompe el concepto de establecer seguridad en el perímetro y en el punto de trabajo.

Otro problema que comienza a afectar a los móviles son los códigos maliciosos. Teniendo en cuenta que cada vez son más las personas que utilizan estos dispositivos y que los mismos ofrecen distintas tecnologías de comunicación inalámbrica como WiFi, Bluetooth, GPRS y EDGE, los creadores de malware están también comenzando a enfocarse en el desarrollo de amenazas informáticas que permitan explotar los sistemas implementados en los dispositivos celulares.

El spam y los códigos maliciosos son cada vez más comunes en estos entornos por lo que resulta importante encontrar un adecuado nivel de seguridad en el teléfono, sobre todo, si el mismo es utilizado para consultar servicios que requieren el uso de información sensible y confidencial como Home-Banking, sistemas comerciales, etc,

Teniendo en cuenta las posibilidades en cuanto a las acciones maliciosas que pueden ser aprovechadas contra usuarios de SmartPhones y PocketPC, existen procedimientos y buenas prácticas a considerar, tanto a nivel hogareño como corporativo:

En el hogar:

• Es fundamental implementar una solución antivirus con capacidades proactivas, como la ofrecida por ESET Mobile Antivirus, ya que se aumenta la seguridad del dispositivo Móvil sin consumir el ancho de banda.

• Es conveniente mantener desactivada las tecnologías de comunicación inalámbrica como Bluetooth e Infrarrojo y activarlas sólo en los casos necesarios durante el tiempo que se requiere, luego volver a desactivarlo, ya que a través de ellos es posible que usuarios malintencionados intenten acceder al equipo.

• Ser cautelosos con la información que se almacena en el dispositivo móvil, ya que es muy común que los usuarios descarguen sus correos o accedan a diferentes servicios ofrecidos en Internet que requieren el acceso de datos personales y sensibles.

En la empresa:

• Es fundamental establecer una política de seguridad clara y concreta que defina el uso correcto de estos dispositivos tanto dentro como fuera de la empresa.

• Crear conciencia en los empleados a través de diferentes actividades sobre los peligros que implica no respetar la normativa tipificada el la política, y los peligros que provoca el uso irresponsable de los dispositivos.

• Brindar acceso limitado y controlado de los usuarios que acceden a los recursos a través de estos dispositivos y registrar el uso de los mismos.

• Si se maneja información confidencial en estos dispositivos, la misma debería permanecer cifrada para evitar su lectura en caso de extravío o robo del dispositivo.

• Controlar el acceso desde el dispositivo al resto de los equipos, ya que los mismos podrían ser utilizados como medio de transporte de malware a la red corporativa o al equipo del usuario.

Creando buenos hábitos de uso, no sólo en relación a los dispositivos de telefonía móvil sino también para cualquier tecnología, se disminuye considerablemente potenciales riesgos y el impacto negativo que provoca el accionar de códigos maliciosos y otras amenazas diseñadas para dispositivos móviles de gama alta.

eset-la.com

Trivia 15: El Scam: ¿qué es exactamente esta amenaza informática?

La aparición de novedosas técnicas de engaño y la profesionalización de los atacantes es moneda corriente en todo tipo de amenazas. La detección de nuevos ataques de Scam, y su posterior análisis, arrojan algunas preguntas: ¿qué hay de nuevo en esta materia?

¿Qué es el Scam?

Es el acto consistente en provocar, mediante un engaño, algún perjuicio patrimonial a alguien con ánimo de lucro. El medio utilizado es la tecnología. Aunque otras amenazas, como el malware o el phishing, también apuntan a objetivos económicos, en el caso del Scam el atacante obtiene dinero inmediato y lucra de forma directa con la víctima.

El Scam surgió en la década del ’90 utilizando al correo electrónico como principal método de difusión. En aquel entonces, las principales técnicas de Ingeniería Social de las que se valía eran mensajes que indicaban al usuario la posibilidad de obtener una ganancia extraordinaria de dinero (por ejemplo: “ganó la lotería británica” o “un millonario reparte su herencia”) o que solicitaban su ayuda caritativa (con mayores índices de ocurrencia luego de catástrofes como por ejemplo Katrina). En el primer caso, si el usuario contestaba el correo luego se le solicitaba el depósito de una suma de dinero determinada para poder cursar las tareas administrativas.

En general, una vez que la víctima entrega el dinero al atacante éste finaliza el contacto con ella, imposibilitando cualquier reclamo o posibilidad de retorno.

Nuevas tendencias

Luego de muchos años sin grandes cambios en las técnicas utilizadas para cometer este delito, en los últimos meses se han visto nuevas variantes para obtener el dinero de los usuarios. Condiciones externas, como la crisis mundial, impactan también en los atacantes, ávidos de medios alternativos para acelerar los tiempos de sus acciones maliciosas.

Una de las nuevas tendencias de engaño utiliza los populares sistemas de cobro por mensajes de texto a través de la telefonía móvil (SMS). El método consiste en la creación de sitios web que ofrecen descargas de aplicaciones variadas a cambio del envío del mensaje. En la campaña de instaladores falsos en español, que ha reportado ESET en los primeros meses del 2009, gran cantidad de sitios de habla hispana solicitaban el envío de un mensaje de texto para la descarga o la instalación de diversas aplicaciones.

El listado de programas afectados es variado, conteniendo incluso aplicaciones que pueden ser descargadas de forma gratuita desde sus sitios oficiales (por ejemplo Mozilla Firefox). Esta técnica, denominada SMS Scam , es realizada masivamente por gran cantidad de páginas web. Los atacantes obtienen ganancias de varios dólares por cada mensaje de texto enviado, según el caso. Si a esto se lo multiplica por la cantidad de usuarios engañados, la tasa de ganancia para ellos es elevada.

Otra de las tendencias observadas en aumento es la denominada “scammers rusas”. La técnica, que comenzó a observarse en los últimos años, aparece día a día con mayor frecuencia en las bandejas de entrada. En su formato clásico, consiste simplemente en un nuevo pretexto para engañar al usuario: el mismo es contactado por correo electrónico por una supuesta mujer rusa, que quiere huir de su país en búsqueda del “hombre de sus sueños”. Luego de intercambiar algunos correos, la mujer solicita al hombre el depósito de una suma de dinero, supuestamente para costear el trámite de visa, o incluso los pasajes en avión.

Nótese que a diferencia del SMS Scam, se trata de un delito más personalizado (el atacante debe contestar cada correo recibido) pero obteniendo sumas de dinero mayores ante cada víctima.

Por último, hemos detectado una nueva evolución de esta técnica: la creación de sitios web como redes sociales para contactar hombres y mujeres . Cuando los usuarios navegan por el sitio web (al cual llega a través de un spam), observarán gran cantidad de mujeres intentando iniciar un contacto amoroso. El sitio requiere que los usuarios posean crédito para visualizar los mensajes, cobrando a cada víctima que espera que el amor golpee a su puerta, a través de un correo no solicitado.

Conclusiones

Claramente los atacantes han comenzado a utilizar tanto su ingenio, como nuevas soluciones tecnológicas para continuar propagando la amenaza del scam.

Desde este punto de vista, podemos afirmar que la amenaza ha evolucionado en el sentido de:

Nuevas historias: la descarga de aplicaciones y los contactos amorosos, entre otros, han suplantado a los clásicos anuncios de premios o solicitudes de donaciones.
Nuevos soportes: los atacantes ya no sólo se apoyan en el correo electrónico, sino también en la creación de falsos sitios web para engañar a las víctimas.
Nuevos métodos de cobro: el histórico depósito bancario ha sido complementado con cobro por mensajería de texto o cobro vía Internet.

Sin embargo, a diferencia de lo que ocurre con otras amenazas, la evolución del scam no resulta de radical importancia, dado que los métodos de prevención no se han visto modificados, a pesar de la utilización de nuevas técnicas por parte de los atacantes. Dicha evolución, no ha tenido un impacto radical en la peligrosidad de la amenaza, que se mantiene similar desde el surgimiento de la misma.

Los principales métodos de precaución siguen vigentes:

• Evitar leer información no confiable sin validar las fuentes
• No utilizar dinero en ningún tipo de servicio del cual no se posean referencias ni posibilidad de hacer un seguimiento del mismo
• Eliminar cualquier tipo de correo no solicitado, preferentemente con herramientas anti-spam como las incluidas en ESET Smart Security

En conclusión, no hace falta ninguna nueva precaución ni herramienta para no ser víctima de Scam: la conciencia del usuario y su educación en seguridad informática serán lo que lo prevenga da caer en este tipo de engaños.

eset-la.com