OUCH! | Febrero 2012
E N E S T A
E D I C I Ó N
• Obtén aplicaciones
• Configura y usa las aplicaciones
• Actualiza las aplicaciones
• Realiza compras desde la aplicación
Asegura las aplicaciones de tu dispositivo móvil
EDITOR INVITADO
Kevin Johnson es el editor invitado para esta edición. Kevin
es consultor de seguridad sénior en Secure Ideas, está a
cargo de MySecurityScanner.com. Además, es instructor
sénior en el SANS Institute. Puedes encontrar más
información en www.secureideas.net y
www.mysecurityscanner.com.
RESUMEN
Los dispositivos móviles se han convertido en una de las
principales herramientas que utilizamos tanto en nuestra
vida personal como en la profesional. Uno de los aspectos
que hacen tan poderosos a estos dispositivos, son las
miles de aplicaciones que podemos utilizar. Sin embargo,
con el inmenso poder y flexibilidad de las aplicaciones
viene una serie riesgos de los que debes ser consciente.
En este boletín abordamos los peligros de las aplicaciones
para dispositivos móviles, cómo puedes instalarlas,
utilizarlas y mantenerlas seguras.
Obtén aplicaciones
El primer paso al usar aplicaciones, es asegurarse de
descargarlas siempre de una fuente segura y confiable. Los
cibercriminales crean aplicaciones maliciosas que parecen
ser auténticas, pero en realidad están infectadas con virus
o gusanos. Si instalas de manera inadvertida una de estas
aplicaciones, los cibercriminales pueden tomar el control de
tu dispositivo móvil. Cuando descargas aplicaciones de
fuentes conocidas y de confianza, reduces la posibilidad de
instalar una aplicación infectada. Sin embargo, aún en
tiendas de aplicaciones en línea reconocidas, se pueden
encontrar algunas aplicaciones maliciosas. Esto ocurre
específicamente en ciertos dispositivos, como por ejemplo
Android, donde las tiendas de aplicaciones no están
estrictamente controladas. Para reducir el riesgo, evita
descargar aplicaciones que sean muy recientes, que poca
gente haya descargado o que tengan muy pocos
comentarios. Entre más tiempo esté disponible una
aplicación, o más comentarios positivos tenga, es más
probable que la aplicación resulte confiable. Finalmente,
instala sólo las aplicaciones que necesitas y utilizas. Cada
aplicación adicional conlleva el potencial de nuevas
vulnerabilidades, así que si dejas de utilizar una aplicación,
elimínala de tu dispositivo móvil.
Por otro aparte, puede que estés tentado a realizar un
“jailbreak” o “rooteo” a tu propio dispositivo móvil, el
proceso que permite hackear e instalar aplicaciones no
aprobadas, o modificar su funcionalidad. Recomendamos
no realizar esto, ya que el “jailbreaking” no sólo evita o
elimina muchos de los controles de seguridad integrados
en el dispositivo móvil, sino que a menudo anula cualquier
garantía o contrato de soporte.
© T h e S A N S I n s t i t u t e 2 0 1 2
http://www.securingthehuman.org
Asegura las aplicaciones de tu dispositivo móvil
OUCH! | Febrero 2012
Configura y usa las aplicaciones
Una vez que instalaste la aplicación desde una fuente
confiable, el siguiente paso es asegurarse de configurarla
de manera segura, y proteger tu privacidad. Instalar y/o
configurar ciertas aplicaciones requiere que concedas
ciertos privilegios y permisos. Dependiendo del dispositivo,
estas aplicaciones pedirán autorización. Piensa siempre
antes de autorizar cualquier acceso, ¿tu aplicación
realmente necesita estos permisos? Por ejemplo, algunas
aplicaciones utilizan servicios de geolocalización. Si
permites que una aplicación sepa tu ubicación, podrías
permitirle a su autor seguir tus movimientos. Además,
cualquier mensaje que publiques podría incluir tu
ubicación, permitiendo a cualquiera conocer dónde te
encuentras o comprobar dónde has estado. Si no estás de
acuerdo con los permisos que te solicita una aplicación,
simplemente busca otra que se ajuste mejor a tus
expectativas.
Sé cuidadoso al utilizar aplicaciones que soliciten o
almacenen información sensible. Incluso si la aplicación es
legítima, no hay garantía de que el desarrollador maneje
buenas prácticas de programación para proteger tu
información mientras la almacena en el dispositivo o la
transmite en internet. Las aplicaciones que refuerzan la
información sensible pueden ser muy convenientes, pero
también son objetivos de los cibercriminales. Lee la
descripción detallada de la aplicación y los comentarios de
otros usuarios para ver si hay antecedentes de problemas
de seguridad.
Actualiza las aplicaciones
Las aplicaciones, al igual que tu computadora y el sistema
operativo de tu dispositivo móvil, se deben actualizar para
estar al día. Continuamente, los criminales cibernéticos
buscan y encuentran debilidades en las aplicaciones;
La clave para mantener seguras
las aplicaciones en tus
dispositivos móviles, es
instalarlas únicamente de fuentes
confiables y seguras; así como
tenerlas siempre actualizadas.
además, desarrollan ataques para aprovechar estas
vulnerabilidades. Los desarrolladores que crearon tus
aplicaciones, también diseñaron y publicaron
actualizaciones para reparar esas vulnerabilidades, y
proteger los dispositivos. Verificar e instalar actualizaciones
© T h e S A N S I n s t i t u t e 2 0 1 2
http://www.securingthehuman.org
OUCH! | Febrero 2012
Asegura las aplicaciones de tu dispositivo móvil
periódicamente es lo más recomendable. Te aconsejamos
monitorear tu tienda de aplicaciones, y actualizar las que
tengas instaladas al menos una vez al mes. Además,
puedes configurar algunas aplicaciones para que se
actualicen automáticamente, pero ten en cuenta que esto
también podría aprobar permisos si lo solicita la aplicación.
Realiza compras desde la aplicación
Hoy en día, muchas aplicaciones permiten la compra de
características adicionales, nuevos contenidos o la
eliminación de publicidad. Un error común que algunas
personas cometen es almacenar localmente sus
credenciales de tienda de aplicaciones en su dispositivo, ya
que esto les permite comprar fácilmente futuras
aplicaciones. Es muy recomendable que no permitas que
tu dispositivo móvil guarde estas credenciales, tampoco
información de inicio de sesión o información de pago.
Aunque conveniente, esta información podría estar
disponible (o ser mal utilizada) para cualquiera que acceda
a tu dispositivo móvil, o en caso de que tu dispositivo fuera
hackeado de forma remota. Otra opción es utilizar tarjetas
de regalo o tarjetas de crédito virtuales que se utilizan una
sola vez.
Conclusión
Te recomendamos que sigas cada una de las mejores
prácticas discutidas aquí. Los dispositivos móviles y sus
aplicaciones, son todavía un campo relativamente nuevo y
de rápido crecimiento. Además, uno de los desafíos que
enfrentamos es la existencia de pocas opciones
disponibles de software de seguridad para ayudar a
protegerte a ti y a tus aplicaciones. Recuerda: ¡Tú eres la
mejor defensa para tus dispositivos móviles!
Recursos
Algunos de los enlaces mostrados a continuación, se
redujeron para mejorar la legibilidad a través del servicio de
TinyURL. Con el fin de mitigar problemas de seguridad,
OUCH! siempre utiliza la característica de vista previa de
TinyURL (preview), la cual muestra el enlace destino
solicitando permiso antes de abrirlo.
Podcast (seguridad en aplicaciones móviles, enfoque
Android): http://preview.tinyurl.com/7s4gkt4
5 formas de proteger tus aplicaciones móviles:
http://preview.tinyurl.com/8a3n4n5
iPhone Security Overview:
http://preview.tinyurl.com/783hg2v
iPhone App Insecurity:
http://preview.tinyurl.com/3w5a5cc
MÁS INFORMACIÓN
Suscríbete al boletín mensual OUCH!, el boletín de
consejos sobre seguridad. Accede a los archivos de
OUCH! y aprende más acerca de las soluciones
preventivas de seguridad que SANS tiene para ti.
Visítanos en http://www.securingthehuman.org.
VERSIÓN EN ESPAÑOL
UNAM-CERT, equipo de respuesta a incidentes en México
reconocido ante FIRST, es una referencia en seguridad de
la información en este país. Sitio web
http://www.seguridad.unam.mx, síguelo en Twitter
@unamcert.
concede
el
permiso
para
distribuir
este
boletín
siempre
y
cuando
se
referencie
la
fuente,
la
distribución
no
sea
modificada
ni
usada
con
fines
comerciales.
Para
traducción
o
más
información,
por
favor
contacte
a:
[email protected].
OUCH!
es
publicado
bajo
el
programa
Securing
The
Human
de
SANS
y
es
distribuido
bajo
la
licencia
Creative
Commons
BY-‐NC-‐ND
3.0.
Se
Versión
en
español
a
cargo
de
UNAM-‐CERT:
Mayra
Villeda,
Francisco
Martínez,
Galvy
Cruz,
Mario
Martínez,
Célica
Martínez
Consejo
Editorial:
Bill
Wyman,
Walt
Scrivens,
Phil
Hoffman,
Lance
Spitzner
© T h e S A N S I n s t i t u t e 2 0 1 2
z
http://www.securingthehuman.org
Comentarios de: OUCH 2012 - Asegura las aplicaciones de tu dispositivo móvil (0)
No hay comentarios