1. Internet

White paper de Symantec
Cómo garantizar la seguridad al hacer
compras mediante dispositivos móviles:
amenazas y soluciones
Cómo garantizar la seguridad al hacer compras mediante dispositivos móviles: amenazas y soluciones
Índice
Resumen ejecutivo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
La generalización de los smartphones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Software malicioso para dispositivos móviles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Compra segura mediante dispositivos móviles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
2
Cómo garantizar la seguridad al hacer compras mediante dispositivos móviles: amenazas y soluciones
Resumen ejecutivo
Hoy en día los consumidores usan los dispositivos móviles en cualquier momento, en cualquier lugar y, cada vez con más
frecuencia, para hacer compras o realizar transacciones bancarias. Si bien resulta muy cómodo, el envío de datos tan
confidenciales por una red móvil está expuesto a una cantidad de amenazas que no deja de aumentar.
Las vulnerabilidades de los sistemas móviles aumentaron en un 93 % en el año 20111 y el sistema operativo Android cada
vez es blanco de más amenazas2. Los hackers atacan a los consumidores y a las empresas con métodos como la recopilación
de datos, el seguimiento y el envío de contenido. Como consecuencia de las brechas de seguridad, disminuye la confianza de
los clientes, lo que para las empresas se traduce en una reducción de las ventas.
Sin embargo, si adoptan una estrategia eficaz para garantizar la seguridad de las tecnologías móviles mediante el uso de
certificados SSL y otros métodos, las empresas ofrecerán servicios de compras por Internet exentos de peligros, con lo que
sus clientes estarán protegidos y tendrán la certeza de que sus datos confidenciales no caerán en manos de personas no
autorizadas.
En este white paper, comentamos los resultados de una investigación realizada recientemente por Symantec para
destacar la importancia y la difusión de las tecnologías móviles, así como el efecto que están teniendo en las empresas.
Analizamos los tipos de software malicioso basado en el navegador que afectan a los dispositivos móviles, para luego
centrarnos en la responsabilidad de las empresas: si quieren garantizar la seguridad de los consumidores y proteger sus
datos confidenciales, deben adoptar una estrategia eficaz en materia de seguridad móvil, con certificados SSL entre otros
instrumentos.
1
2
Informe de Symantec sobre las amenazas para la seguridad en Internet, 2011.
Estudio sobre el estado de las tecnologías móviles en EMEA, Symantec, 2012.
3
Cómo garantizar la seguridad al hacer compras mediante dispositivos móviles: amenazas y soluciones
Introducción
Hace ya diez años o más que las compras por Internet están muy extendidas, pero la generalización de las transacciones
mediante dispositivos móviles es una novedad reciente, debida al uso masivo de los smartphones. Del mismo modo que
cada vez hay más dispositivos de este tipo en circulación, también ha aumentado muchísimo la cantidad de datos que se
transmiten mediante tecnologías móviles3.
Sin embargo, la difusión de plataformas como Android ha ido acompañada de un aumento en la cantidad de software
malicioso que explota el mercado de la tecnología móvil, concentrado en unos pocos sistemas operativos4.
En consecuencia, han aumentado las brechas de seguridad, lo cual podría hacer que los usuarios confiaran menos en los
dispositivos móviles y no se sintieran seguros al realizar transacciones por Internet. Los consumidores necesitan garantías
sobre la identidad y la seguridad de los sitios web de comercio electrónico que visitan mediante sus dispositivos móviles.
De lo contrario, dejarán de usar este tipo de servicios.
Para que sus clientes confíen siempre en sus sitios web de comercio móvil, adopte en su empresa una solución de seguridad
completa que contribuya a proteger los datos confidenciales y que le avise en caso de peligro de ataque o hacking. Entre
otros recursos de confianza, son imprescindibles el cifrado SSL y el análisis contra software malicioso en tiempo real.
3
4
Mobile and UK Web traffic (Tecnologías móviles y tráfico web en el Reino Unido), Tecmark, 2011 [PDF].
Ventas mundiales de dispositivos móviles a los usuarios por proveedor en el primer trimestre de 2012 (miles de unidades).
4
Cómo garantizar la seguridad al hacer compras mediante dispositivos móviles: amenazas y soluciones
La generalización de los smartphones
Los smartphones, los tablets y otros tipos de dispositivos móviles se están convirtiendo en muy poco tiempo en el
instrumento habitual para acceder a servicios en línea. Actualmente hay más de 4000 millones de dispositivos de este tipo
en circulación. Los usuarios recurren a ellos para realizar transacciones financieras y operaciones comerciales, así como
para comunicaciones personales, e incluso hay gente que ya nunca accede a Internet mediante un equipo de sobremesa5.
Una cantidad cada vez mayor de estos dispositivos se emplean para tareas laborales, además de para hacer compras. Su
utilidad se considera más importante que los riesgos que puedan presentar, pero, según una encuesta reciente6, la seguridad
es el aspecto de las tecnologías móviles que más preocupa a los gerentes informáticos. En concreto, despiertan dudas los
peligros en caso de pérdida del dispositivo, fugas de datos, acceso no autorizado a recursos empresariales e infecciones con
software malicioso. Uno de cada cuatro encuestados dijo que los riesgos de la informática móvil son entre bastante altos y
altísimos, y los peligros que parecen estar difundiéndose con más rapidez son el spam, el phishing y el software malicioso.
Las empresas de todos los tamaños se están viendo afectadas por el aumento de los riesgos relacionados con las tecnologías móviles.
Fuente: Estudio sobre el estado de las tecnologías móviles en EMEA, 2012.
Estas preocupaciones están justificadas. Las empresas de todos los tamaños se están viendo afectadas por el aumento
de los riesgos relacionados con las tecnologías móviles. Han sufrido perjuicios de distintos tipos, como reducción de
la productividad, gastos financieros directos y pérdidas de datos. En los últimos doce meses, el coste medio de estos
problemas en todo el mundo ha ascendido a 247 000 $, pero la cifra alcanza los 259 000 $ si se tiene en cuenta únicamente
la zona EMEA7. Por lo general, las empresas de todos los tamaños están padeciendo los mismos tipos de problemas, pero
a una escala distinta: el promedio global de pérdidas en las pequeñas empresas ha sido de 126 000 $, mientras que en las
grandes ha llegado a los 429 000 $8.
Casi un tercio (el 30 %) de los gerentes informáticos aseguran que la seguridad de su empresa se ha visto amenazada
debido al uso de dispositivos móviles personales para acceder a los datos de la compañía9.
The Mobile Only Internet Generation (La generación que accede a Internet únicamente mediante dispositivos móviles), estudio de OnDevice, 2010.
Estudio sobre el estado de las tecnologías móviles en EMEA, Symantec, 2012.
9
Trusted Mobility Index (Índice de confianza en las tecnologías móviles), Juniper, 2012.
5
6 78
5
Cómo garantizar la seguridad al hacer compras mediante dispositivos móviles: amenazas y soluciones
Software malicioso para dispositivos móviles
Este tipo de amenazas son consecuencia de la generalización del software malicioso móvil que ha acompañado a la difusión
de los dispositivos inteligentes. A la luz de lo que ha ocurrido con las amenazas dirigidas contra los ordenadores portátiles y
de sobremesa, se trata de una tendencia totalmente previsible.
Cantidad total de familias de software
malicioso móvil 2010-2012
ENE
DIC ENE
DIC
El número de variantes de ataques con software malicioso móvil está creciendo con
más rapidez que la cantidad de familias de software malicioso móvil. Fuente: Informe
de Symantec sobre las amenazas para la seguridad en Internet, 2011.
Si observamos la forma en que ha evolucionado el software
malicioso dirigido contra ordenadores, vemos que son necesarios
tres factores para que este tipo de amenaza se generalice en el
mundo de la tecnología móvil: una plataforma de uso extendido,
herramientas de desarrollo con una gran accesibilidad y una
motivación suficiente entre los ciberdelincuentes, es decir, un
aliciente financiero10.
La consolidación de Android como sistema operativo móvil con más
aceptación en el mundo lo convierte en una plataforma cada vez más
atractiva para los creadores de software malicioso. Así, la tendencia
ascendente en su cuota de mercado se refleja en el aumento de las
amenazas para dispositivos móviles durante el año 201111.
Además, Android es un sistema operativo abierto, lo que facilita el trabajo de
escritura y distribución de aplicaciones a los desarrolladores, incluidos los que
crean software malicioso. En concreto, como no hay una única tienda de Android
para las aplicaciones ni un control centralizado de lo que se publica, resulta fácil
crear troyanos muy similares a aplicaciones de éxito. Los usuarios de Android
tienen que aprobar explícitamente el conjunto de permisos especificados para cada
aplicación12, pero, cuando aparece una larga lista de permisos en letra pequeña, la
mayoría de la gente tiende a aceptarlos sin leer todo el texto, lo que hace que sea
fácil descargar software malicioso junto con la aplicación.
La cantidad de vulnerabilidades en los dispositivos móviles está aumentando
con rapidez. De hecho, en 2011 Symantec contabilizó 315 vulnerabilidades en
los sistemas operativos de dispositivos móviles, mientras que en 2010 la cifra se
reducía a 163, lo que equivale a un aumento del 93,3 %13.
Tipos de amenazas
Las actividades más habituales de este tipo de software malicioso consisten en
recopilar datos del dispositivo, espiar al usuario y enviar mensajes SMS a tarifas
altas. En el año 2011, ciertas familias de software malicioso, como Opfake,
migraron de plataformas más antiguas a Android. Opfake se oculta detrás de
distintos contenidos y aplicaciones, como un instalador del navegador Opera o una
película pornográfica, que exigen realizar un pago mediante mensaje SMS. Las
últimas variedades de Opfake han recurrido al polimorfismo en el servidor para
evitar la detección tradicional basada en firmas14.
Efectos del software malicioso
móvil en los teléfonos
Principales actividades de
los peligros móviles
28 %
Recopilación
de datos
24 %
25 %
Envío de
contenido
Seguimiento
del usuario
16 %
Amenazas
tradicionales
7%
Cambio de
configuración
Las actividades más habituales de este tipo de software
malicioso consisten en recopilar datos del dispositivo,
espiar al usuario y enviar mensajes SMS a tarifas altas.
Fuente: Informe de Symantec sobre las amenazas para la
seguridad en Internet, 2011.
Motivations of Recent Android Malware (Motivaciones del software malicioso reciente contra Android), Symantec, 2011.
Gartner, mayo de 2012.
12
Informe de Symantec sobre las amenazas para la seguridad en Internet, 2011.
13
Threat Activity Trends (Tendencias en la evolución de las amenazas), 2012, Symantec.
14
Android.Opfake In-Depth (Estudio detallado sobre Android.Opfake), Symantec, 2012.
10
11
6
Cómo garantizar la seguridad al hacer compras mediante dispositivos móviles: amenazas y soluciones
Los dispositivos móviles también son vulnerables a los tipos de ataques basados en navegador que afectan a los
ordenadores de sobremesa, como los anuncios maliciosos, ventanas emergentes que parecen anuncios (sobre todo aquellos
que advierten de que el equipo del usuario podría estar infectado) y piden a los usuarios que hagan clic en ellos. Si el usuario
se preocupa y hace clic en el llamado scareware (código malicioso que trata de asustar), el sitio web al que llegará tal vez
trate de infectar su dispositivo o pedirle dinero a cambio de eliminar la amenaza, que en realidad no existe15.
Otro ejemplo son las descargas no autorizadas, aplicaciones que descargan código malicioso no deseado cuando el usuario
da su consentimiento para instalar una aplicación (a veces, sin comprobar los permisos con atención) o hace clic en un
anuncio o en un enlace malicioso.
Servicio
Confianza
moderada (%)
Confianza escasa
o nula (%)
Operaciones
bancarias en línea
51
16
Servicios sanitarios
44
20
Compras en Internet 60
18
Correo electrónico
empresarial
45
13
Redes sociales
36
39
Fuente: Trusted Mobility Index (Índice de confianza en las tecnologías móviles), Juniper.
Pérdida de confianza
La propia naturaleza de los dispositivos móviles hace que el
peligro que supone el software malicioso sea aún mayor.
Los smartphones forman parte de la vida privada de un
individuo: almacenan todo tipo de datos personales y
confidenciales, con lo que constituyen un blanco muy
atractivo. Además, los usuarios suelen aceptar que las
aplicaciones detecten dónde se encuentran y lo que están
haciendo, muchas veces sin comprobar bien la funcionalidad
del programa en cuestión16. Esta forma de actuar puede
llevar a contraer infecciones provocadas por descargas no
autorizadas u otro tipo de software malicioso.
En el mercado del comercio móvil, esta difusión de software malicioso podría provocar una disminución de ventas
considerable debido a la pérdida de confianza por parte de los consumidores. De hecho, la confianza de los usuarios en los
dispositivos móviles ya está flaqueando. Por ejemplo, en Alemania, el 24 % de los consumidores han dicho que no confían en
los dispositivos móviles, mientras que, si observamos los datos de todo el mundo, el 63 % han manifestado dudas sobre este
asunto17.
Una parte considerable de los compradores de Estados Unidos, el Reino Unido, Alemania, China y Japón han declarado
tener una confianza escasa o nula en numerosos servicios comerciales. Los bancos son los que más se han esforzado
por demostrar a los clientes que se toman muy en serio la seguridad en Internet, pero el resultado ha sido solo un ligero
aumento en el nivel de seguridad percibido18.
La mayoría de los consumidores (el 63 %) consideran que la responsabilidad de proteger sus datos confidenciales
corresponde a las empresas. Otro dato interesante es que nueve de cada diez encuestados han dicho que las empresas para
las que trabajan deberían proteger los dispositivos móviles19.
Cómo defenderse de los peligros del malware en 2012, Symantec, 2012.
Trusted Mobility Index (Índice de confianza en las tecnologías móviles), Juniper, 2012.
17 18 19
Ibid.
15
16
7
Cómo garantizar la seguridad al hacer compras mediante dispositivos móviles: amenazas y soluciones
Compra segura mediante dispositivos móviles
Como hemos visto, su empresa podría sufrir las consecuencias negativas de este aumento del software malicioso móvil y
la consiguiente pérdida de confianza en las transacciones en línea, sobre todo si ofrece servicios de compras por Internet.
La clave para conservar la confianza de los consumidores es ser conscientes de las amenazas que afectan a los dispositivos
móviles y asumir la responsabilidad de proteger los datos confidenciales de los clientes. Para ello, debe contar con sitios
web seguros y fiables, lo que le ayudará a ampliar la clientela y lograr que los internautas completen sus transacciones.
En concreto, se trata de demostrar que los sitios web no tengan código malicioso, que estén protegidos frente a los ataques
y que no dejen lugar a dudas sobre su identidad.
Seguridad proactiva y constante
Al comprar por Internet, los clientes buscarán indicios de fiabilidad, como símbolos o indicadores de seguridad en la barra
de direcciones del navegador. Este tipo de signos demuestran
que el sitio web es legítimo y que cuenta con certificados
Extended Validation (EV) SSL, los cuales constituyen una
defensa férrea y permiten a los clientes hacer compras con toda
tranquilidad.
La tecnología SSL (Secure Sockets Layer o «capa de sockets
seguros») permite cifrar información en línea confidencial, como
los datos personales y de inicio de sesión de sus clientes. Las
autoridades de certificación comprueban una serie de datos
exclusivos sobre su empresa para establecer las credenciales
de su sitio web de comercio móvil. Los certificados EV SSL, que
brindan un método de autenticación más riguroso, constituyen
una defensa férrea y permiten a los clientes comprar en su sitio
web con toda tranquilidad. Symantec propone los certificados
EV SSL para garantizar al máximo la seguridad de los sitios web.
Además, Symantec ha desarrollado Code Signing para Android,
Cuando se realizan compras con un Windows Phone, un dispositivo Android o un iPhone,
aparecen una serie de símbolos o indicadores de seguridad que demuestran que el sitio
un servicio basado en la nube con el objetivo de ayudar a
web es legítimo y que cuenta con certificados Extended Validation (EV) SSL.
los desarrolladores de aplicaciones a seguir una serie de
prácticas recomendadas. Ofrecemos un portal de firma de código seguro para el proceso de autenticación que permite
almacenar y proteger las claves de firma. Por otro lado, si el desarrollador lo desea, almacenamos las aplicaciones firmadas
y garantizamos la seguridad de las aplicaciones y sus distintas versiones, con lo que se evitan pérdidas de código en caso
de fallo de los servidores o sistemas alojados en las instalaciones de la empresa. Estas capas de seguridad y autenticación
adicionales ayudan a distinguir a los desarrolladores serios de los que pretenden introducir código malicioso.
Seguridad proactiva en tiempo real
Los sitios web de comercio electrónico están entre los que tienen más puntos vulnerables, como el riesgo de descargas
no autorizadas, y un sitio web cualquiera puede llegar a tener miles de vulnerabilidades que varían a medida que cambia
dicho sitio web. Desde el punto de vista tecnológico, las defensas en tiempo real identifican con rapidez posibles puntos de
entrada por los que se pueda dañar, descargar o manipular los datos o las funciones de un sitio web. Un buen complemento
de la protección existente es el análisis y la elaboración de informes automatizados sobre las vulnerabilidades de un sitio
web y las posibles amenazas que lo atañen.
El objetivo de un sistema de evaluación de vulnerabilidad es detectar los puntos débiles de su sitio web de comercio móvil
que suelen sufrir ataques e informar sobre ellos. Los informes de vulnerabilidad deberían clasificar los problemas por tipos y
nivel de riesgo, así como proponer medidas correctivas. De este modo, podrá detectar y solucionar con rapidez problemas de
seguridad críticos, con lo que le resultará más fácil proteger su sitio web. Los certificados Symantec Premium SSL incluyen
una herramienta de evaluación de vulnerabilidad gratis.
8
Cómo garantizar la seguridad al hacer compras mediante dispositivos móviles: amenazas y soluciones
El análisis contra software malicioso es otra forma de proteger el sitio web de comercio móvil en tiempo real, pues avisa
si detecta una infección. El código malicioso se puede ocultar en el código fuente del sitio web y puede resultar difícil
detectarlo sin llevar a cabo un análisis exhaustivo línea a línea. Además, una de las consecuencias de la infección podría ser
que su sitio web acabara en una lista negra y que los motores de búsqueda lo excluyeran.
Este tipo de protección debería sumarse al uso de programas tradicionales contra software malicioso, que se centran en el
dispositivo cliente. La mayoría de las soluciones de análisis están diseñadas para impedir que los empleados descarguen
o instalen software malicioso, y no para evitar que el sitio web de la empresa lo distribuya. El servicio de análisis contra
software malicioso de Symantec, que también se incluye con los certificados SSL, supervisa el sitio web de comercio móvil
a diario y proporciona una lista de las páginas infectadas, indicando el código que causa el problema. A continuación, podrá
aplicar la medida correctiva pertinente en el sitio web.
Conclusión
Si su empresa aborda de forma global la seguridad de los sitios web, sobre todo los de comercio electrónico, podrá inspirar
confianza en línea en todo momento al tiempo que se defiende de los hackers. Se prevé que el gasto global realizado
mediante dispositivos móviles supere los 171 500 millones de dólares en el año 201220, lo que significa un aumento del
61,9 % con respecto a 2011, así que es de vital importancia mantener la reputación en Internet de su empresa. Existe
una serie de servicios complementarios, como el cifrado SSL, la evaluación de vulnerabilidad y el análisis contra software
malicioso, que detectan posibles problemas, los analizan, avisan de su existencia y le defienden de ellos, con lo que
garantizan la seguridad de sus clientes y protegen la reputación de su empresa.
Como estos servicios inspiran una mayor tranquilidad y confianza, los internautas visitarán su sitio web de comercio móvil
sin temor, lo cual se traducirá a su vez en un aumento de las transacciones y una mejora de los resultados comerciales de la
empresa.
20
Nota de prensa, Gartner, 2012.
9
Cómo garantizar la seguridad al hacer compras mediante dispositivos móviles: amenazas y soluciones
Más información
Visite nuestro sitio web
www.verisign.es
Para contactar con un especialista en nuestros productos
Llame al 900 93 1298 o al +41 26 429 7727.
Acerca de Symantec
Symantec es líder mundial en soluciones de gestión de sistemas, almacenamiento y seguridad. Su objetivo es ayudar
a empresas y particulares a gestionar y proteger sus datos en un mundo cada vez más dominado por la información.
Nuestros servicios y programas garantizan una protección más completa y eficaz frente a una mayor cantidad de riesgos,
lo que es sinónimo de tranquilidad sea cual sea el medio donde se utilice o almacene la información.
Symantec Spain S.L.
Parque Empresarial La Finca – Somosaguas,
Paseo del Club Deportivo, Edificio 13, oficina D1, 28223, Pozuelo de Alarcón, Madrid, España
www.symantec.es
© 2012 Symantec Corporation. Todos los derechos reservados. Symantec, el logotipo de Symantec y el emblema del círculo con la marca de verificación son marcas comerciales o marcas registradas
de Symantec Corporation o sus filiales en los Estados Unidos y otros países. VeriSign, VeriSign Trust y otras marcas relacionadas son marcas comerciales o marcas registradas de VeriSign, Inc., sus filiales
o subsidiarias en los Estados Unidos y otros países, otorgadas bajo licencia a Symantec Corporation. Los demás nombres pueden ser marcas comerciales de sus respectivos propietarios.
10