El impacto del Spyware móvil en la protección del Endpoint
El descubrimiento del spyware Pegasus puso en evidencia que no hay ningún sistema 100% seguro ni inaccesible, sobre todo, cuando se descubrió que este programa malicioso afectaba principalmente a los iPhone. Apple siempre se ha vanagloriado de la seguridad de la plataforma iOS, sin embargo, una brecha de seguridad —ya corregida por los californianos— permitió que el temido spyware accediera a dichos móviles, y lo que resulta más grave, en ataques Zero Click (sin necesidad de acción alguna por parte de la víctima). Este descubrimiento ha puesto en evidencia el riesgo que supone utilizar los móviles en el ámbito laboral, pero ¿cómo puede hacerse de forma segura?
Pegasus, un spyware desarrollado por la empresa de seguridad NSO Group
Este programa malicioso accede al contenido de los móviles aprovechando una vulnerabilidad existente en la plataforma de mensajería de Apple, iMessages. Si bien Pegasus es un viejo conocido —el software comenzó a estar operativo en 2016—, se conoció el pasado mes de agosto el alcance de su impacto y la gravedad del mismo. Periodistas, abogados, políticos… el programa espía ha sido propagado de forma masiva y ante el desconocimiento de sus propietarios.
¿Qué sucede una vez Pegasus accede al dispositivo? Este spyware tiene acceso al GPS y todos los sensores del iPhone, además de toda la información contenida en el mismo, con lo que se convierte en una poderosa herramienta al servicio del espionaje. NSO Group, la firma de seguridad israelí que lo creó, no se hace responsable de cualquier uso malintencionado de este software, ya que sostienen que fue desarrollado para ser empleado por gobiernos y agencias militares. En cualquier caso, y desde el punto de vista de las organizaciones, Pegasus supone un serio aviso sobre la importancia de proteger los endpoints y no bajar la guardia.
Cómo proteger los endpoint ante este tipo de amenazas
Hasta la llegada de los móviles, los responsables de ciberseguridad en IT tenían bien clara cuál era la frontera a proteger: justo el lugar en el que la redes externas e internas se encontraban. Bastaba, con proteger esa frontera con un firewall y el grueso de las amenazas quedaban bajo control. Sin embargo, con la eclosión de los teléfonos móviles esa barrera se diluye. ¿En qué punto deja el uso del móvil ser personal y pasa a ser laboral? “Existen muchas maneras de abordar este problema”, explica Trevor Collins, Analista de Seguridad en WatchGuard. “La forma más restrictiva consiste en prohibir por completo el uso de móviles para conectarse a las redes corporativas, o bien permitir su acceso de forma libre”, explica este experto.
¿Cuál es, entonces, la mejor forma de equilibrar la seguridad con el uso del móvil? “Nosotros proponemos algo intermedio”, sugiere Collins. Partiendo de la base de que ningún sistema es totalmente inexpugnable, se puede abordar esta problemática con la siguiente estrategia combinada que plantea el analista de WatchGuard:
- Establecer políticas de uso. Prohibir expresamente a los empleados de la organización el envío de contraseñas, tokens o certificados mediante aplicaciones de mensajería o email en el dispositivo móvil. En su lugar, Collins sugiere emplear un gestor de contraseñas.
- Educar sobre las ciberamenazas. Formar a los empleados de la organización sobre cómo se comportan los ciberatacantes y qué buscan exactamente supone una importante barrera de alerta, puesto que, de esta manera, un enlace inesperado despertará más suspicacias. Collins insiste en que no es costoso para la organización mantener informados a los empleados sobre los últimos ciberataques dirigidos a dispositivos móviles.
- Protegerse con herramientas de seguridad. Emplear la autenticación MFA que proteja del robo de contraseñas y el phising, así como crear una arquitectura Zero Trust, en la que solo se puedan acceder mediante el móvil a determinados servidores de la organización.
Más allá de estos sabios consejos, establecer una protección de los endpoints con tecnologías avanzadas de seguridad como WatchGuard EPDR, una solución que unifica la protección de los endpoints (EPP) junto con la detección y respuesta (EDR) ante un eventual ciberataque como el acontecido mediante Pegasus.