|
||||||
Con el término Botnets Móviles (Mobile Botnets o convertir los móviles en una red de zombies es decir, equipos controlados remotamente sin el permiso del usuario) intentamos denominar aquellos Bots específicamente diseñadas para atacar dispositivos móviles como smartphones, intentando tener acceso completo al dispositivo y cediendo su control al constructor de dicho Botnet. Esta tendencia es una de las que se ha pronosticado que se convertirá en una de las amenazas más importantes durante los próximos años, dado que el uso de tales dispositivos ha crecido de forma exponencial durante el último lustro, tanto en el ámbito personal como en el empresarial. En este último caso sobre todo debido a la tendencia del BYOD (Bring Your Own Device). Algunos pueden considerar que esta amenaza es únicamente teórica o solamente objeto de estudio académico pero, desgraciadamente, ya existen ejemplos prácticos de ataques que, si bien no han conseguido resultados demasiado “jugosos” desde el punto de vista del atacante, sí que son una muestra de dónde se puede llegar con este tipo de amenazas tecnológicas. Desde la aparición del primer gusano orientado a dispositivos móviles (Cabir) en 2004, pasando por el primer botnet para este tipo de dispositivos (SymbOS.Yxes) en 2009, la técnicas tanto de C&C (o Command and Control es decir el canal a través del que reciben comandos los bots para realizar accione no deseadas) como de ocultación de estas amenazas se han refinado progresivamente. |
En las técnicas de C&C se ha pasado del uso preferente de SMS como método de comunicación al uso de http sobre wifi. Entre las técnicas de ocultación se encuentran por ejemplo los diseños específicos para evitar el agotamiento anormal de la batería, el uso moderado de los canales de comunicación de datos 3G (o evitar su uso excepto cuando la conexión del dispositivo es a través de wifi), intentos de superar las técnicas comunes de defensa como DNS sinkholes, IP reputation, C&C server shutdown..etc.
El proceso de infección de estas piezas de software malicioso puede realizarse usando diferentes métodos que dependen del estado del Smartphone:
• Smartphone normal (sin jailbreak o rooting): Aplicación infectada con un “local root/jailbreak exploit”
• Smartphone “rooted” o “jailbreaked” (¿Que es esto?): Aplicación infectada
• Ataque Remoto: Exploit root remoto (para dispositivos rooted o no)
Existen ejemplos ilustrativos de todos los anteriores métodos pero cabe destacar que ningún fabricante parece invulnerable ante cualquiera de los ataques anteriores.
Ejemplos de los ataques de este tipo incluyen el Ikee-B worm que afectó a los dispositivos iPhone, el malware Dream Droid que tomó el control de un número estimado de 260,000 dispositivos Android a través de la infección de unas decenas de aplicaciones aparentemente inócuas,. La variante de ZeuS (Zitmo) dirigida contra usuarios de BlackBerry u otros como CommWarrior y Sexy Space que afectaban a dispositivos Symbian.
Si esta es la situación para años anteriores, la predicción para los próximos años muestra la tendencia de que el malware móvil se convertirá en una amenaza mayor y más “profesionalizada”.
El hecho adicional que muchos de estos dispositivos se conectan a través de redes wifi corporativas cuando ya están infectados y que los sistemas tradicionales no son capaces de detectar estos dispositivos móviles infectados hacen de la amenaza algo mucho más preocupante tanto en el ámbito personal como en el empresarial. En el ámbito personal porque cada vez tenemos un mayor número de datos sensibles alojados en nuestro dispositivo Smartphone y además surgen nuevas aplicaciones y usos de nuestros dispositivos que los hacen aún más sensibles como aplicaciones que guardan nuestros passwords y PINs, aplicaciones de pago móvil, acceso a banca electrónica… y en el ámbito empresarial porque los dispositivos de este tipo son cada vez más utilizados, con un acceso a datos más sensibles y con un control a veces limitado por parte de los administradores de la compañía, en gran parte debido al anteriormente mencionado BYOD (que algunos malintencionados interpretan como Bring Your Own Disaster).
Si bien, como comentábamos antes, los daños de este tipo de malware han sido limitados (fraude de SMSs y llamadas telefónicas – también denominado pickpoketing), a nadie se le escapan las posibilidades criminales de ataques diseñados ex profeso para este tipo de plataformas. Un dato que puede darnos una idea de la magnitud de la amenaza es que en algunos estudios se estima que la probabilidad anual de que un usuario de Android entre en contacto con malware ha pasado de un 1% a un 4%. Los vectores de ataque basados en web son considerados también un factor importante estimándose en más de un 30% la probabilidad de que un usuario de Android se dirigiera a un enlace inseguro durante 2011, incluso los dispositivos iOS han sido objetivo específico de sitios web diseñados especialmente para su “jailbreak”. Todos estos datos demuestran que la amenaza es real y crece de forma paralela a la penetración de estos dispositivos en el mercado empresarial y residencial.
Todo lo anterior exige que nuestras redes empresariales cuenten con medidas específicamente diseñadas para detectar y bloquear este tipo de amenazas utilizando para ello tecnologías multicapa adecuadas. O, por el contrario, sufriremos, dentro de nuestras redes corporativas, el uso malicioso de dispositivos móviles tanto para atacar objetivos externos (SPAM, DDoS…) como para atacar objetivos internos (robo de información, DoS…)
• Tendrás acceso gratuito a todos los eventos organizados por ISMS Forum Spain, incluyendo las dos Jornadas Internacionales de Seguridad de la Información anuales.
• Contarás con descuentos especiales para matricularte en las actividades formativas organizadas por ISMS Forum Spain, como cursos o seminarios.
• Accederás a descuentos exclusivos para socios de ISMS Forum en distintos eventos y cursos organizados por colaboradores de la Asociación.
• Podrás darte de alta en el Registro de Profesionales Certificados de España y poner a disposición del mercado, si lo deseas, tus datos de contacto. El único requisito es poseer una o varias certificaciones (CCSK, CDPP, CIMS, CISA, CISSP, L.A. ISO 27001, etc.).
• Recibirás la newsletter de la Asociación y tendrás acceso a la descarga gratuita de estudios y publicaciones fruto de la labor de los Grupos de Trabajo de ISMS Forum Spain u otros de especial interés para el sector.
• Gracias al networking podrías incrementar tu red de contactos e intercambiar experiencias con otros profesionales de la Seguridad de la Información que desarrollan su labor en empresas, administraciones públicas, universidades y centros de investigación, otras asociaciones y organismos de todos los sectores.
• Podrás formar parte de los grupos de trabajo de las distintas iniciativas de ISMS Forum (Data Privacy Institute (DPI), Cloud Security Alliance España (CSA-ES), Cyber Security Center (CSC), cursos de formación, etc.), y participar directamente en el desarrollo de sus actividades.
• Podrán hacer visible su compromiso con la Seguridad de la Información y materializar la Responsabilidad Social Corporativa.
• Tendrán la capacidad para nombrar a ocho trabajadores de la empresa como socios de pleno derecho.
• Si eres microempresa, de menos de 10 trabajadores, podrás nombrar hasta dos trabajadores como socios de pleno derecho.
Si te haces socio de ISMS Forum, formarás parte de la mayor red activa de organizaciones y expertos comprometidos con la Seguridad de la Información en España.