White paper de Symantec Cómo garantizar la seguridad al hacer compras mediante dispositivos móviles: amenazas y soluciones Cómo garantizar la seguridad al hacer compras mediante dispositivos móviles: amenazas y soluciones Índice Resumen ejecutivo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 La generalización de los smartphones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Software malicioso para dispositivos móviles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Compra segura mediante dispositivos móviles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 2 Cómo garantizar la seguridad al hacer compras mediante dispositivos móviles: amenazas y soluciones Resumen ejecutivo Hoy en día los consumidores usan los dispositivos móviles en cualquier momento, en cualquier lugar y, cada vez con más frecuencia, para hacer compras o realizar transacciones bancarias. Si bien resulta muy cómodo, el envío de datos tan confidenciales por una red móvil está expuesto a una cantidad de amenazas que no deja de aumentar. Las vulnerabilidades de los sistemas móviles aumentaron en un 93 % en el año 20111 y el sistema operativo Android cada vez es blanco de más amenazas2. Los hackers atacan a los consumidores y a las empresas con métodos como la recopilación de datos, el seguimiento y el envío de contenido. Como consecuencia de las brechas de seguridad, disminuye la confianza de los clientes, lo que para las empresas se traduce en una reducción de las ventas. Sin embargo, si adoptan una estrategia eficaz para garantizar la seguridad de las tecnologías móviles mediante el uso de certificados SSL y otros métodos, las empresas ofrecerán servicios de compras por Internet exentos de peligros, con lo que sus clientes estarán protegidos y tendrán la certeza de que sus datos confidenciales no caerán en manos de personas no autorizadas. En este white paper, comentamos los resultados de una investigación realizada recientemente por Symantec para destacar la importancia y la difusión de las tecnologías móviles, así como el efecto que están teniendo en las empresas. Analizamos los tipos de software malicioso basado en el navegador que afectan a los dispositivos móviles, para luego centrarnos en la responsabilidad de las empresas: si quieren garantizar la seguridad de los consumidores y proteger sus datos confidenciales, deben adoptar una estrategia eficaz en materia de seguridad móvil, con certificados SSL entre otros instrumentos. 1 2 Informe de Symantec sobre las amenazas para la seguridad en Internet, 2011. Estudio sobre el estado de las tecnologías móviles en EMEA, Symantec, 2012. 3 Cómo garantizar la seguridad al hacer compras mediante dispositivos móviles: amenazas y soluciones Introducción Hace ya diez años o más que las compras por Internet están muy extendidas, pero la generalización de las transacciones mediante dispositivos móviles es una novedad reciente, debida al uso masivo de los smartphones. Del mismo modo que cada vez hay más dispositivos de este tipo en circulación, también ha aumentado muchísimo la cantidad de datos que se transmiten mediante tecnologías móviles3. Sin embargo, la difusión de plataformas como Android ha ido acompañada de un aumento en la cantidad de software malicioso que explota el mercado de la tecnología móvil, concentrado en unos pocos sistemas operativos4. En consecuencia, han aumentado las brechas de seguridad, lo cual podría hacer que los usuarios confiaran menos en los dispositivos móviles y no se sintieran seguros al realizar transacciones por Internet. Los consumidores necesitan garantías sobre la identidad y la seguridad de los sitios web de comercio electrónico que visitan mediante sus dispositivos móviles. De lo contrario, dejarán de usar este tipo de servicios. Para que sus clientes confíen siempre en sus sitios web de comercio móvil, adopte en su empresa una solución de seguridad completa que contribuya a proteger los datos confidenciales y que le avise en caso de peligro de ataque o hacking. Entre otros recursos de confianza, son imprescindibles el cifrado SSL y el análisis contra software malicioso en tiempo real. 3 4 Mobile and UK Web traffic (Tecnologías móviles y tráfico web en el Reino Unido), Tecmark, 2011 [PDF]. Ventas mundiales de dispositivos móviles a los usuarios por proveedor en el primer trimestre de 2012 (miles de unidades). 4 Cómo garantizar la seguridad al hacer compras mediante dispositivos móviles: amenazas y soluciones La generalización de los smartphones Los smartphones, los tablets y otros tipos de dispositivos móviles se están convirtiendo en muy poco tiempo en el instrumento habitual para acceder a servicios en línea. Actualmente hay más de 4000 millones de dispositivos de este tipo en circulación. Los usuarios recurren a ellos para realizar transacciones financieras y operaciones comerciales, así como para comunicaciones personales, e incluso hay gente que ya nunca accede a Internet mediante un equipo de sobremesa5. Una cantidad cada vez mayor de estos dispositivos se emplean para tareas laborales, además de para hacer compras. Su utilidad se considera más importante que los riesgos que puedan presentar, pero, según una encuesta reciente6, la seguridad es el aspecto de las tecnologías móviles que más preocupa a los gerentes informáticos. En concreto, despiertan dudas los peligros en caso de pérdida del dispositivo, fugas de datos, acceso no autorizado a recursos empresariales e infecciones con software malicioso. Uno de cada cuatro encuestados dijo que los riesgos de la informática móvil son entre bastante altos y altísimos, y los peligros que parecen estar difundiéndose con más rapidez son el spam, el phishing y el software malicioso. Las empresas de todos los tamaños se están viendo afectadas por el aumento de los riesgos relacionados con las tecnologías móviles. Fuente: Estudio sobre el estado de las tecnologías móviles en EMEA, 2012. Estas preocupaciones están justificadas. Las empresas de todos los tamaños se están viendo afectadas por el aumento de los riesgos relacionados con las tecnologías móviles. Han sufrido perjuicios de distintos tipos, como reducción de la productividad, gastos financieros directos y pérdidas de datos. En los últimos doce meses, el coste medio de estos problemas en todo el mundo ha ascendido a 247 000 $, pero la cifra alcanza los 259 000 $ si se tiene en cuenta únicamente la zona EMEA7. Por lo general, las empresas de todos los tamaños están padeciendo los mismos tipos de problemas, pero a una escala distinta: el promedio global de pérdidas en las pequeñas empresas ha sido de 126 000 $, mientras que en las grandes ha llegado a los 429 000 $8. Casi un tercio (el 30 %) de los gerentes informáticos aseguran que la seguridad de su empresa se ha visto amenazada debido al uso de dispositivos móviles personales para acceder a los datos de la compañía9. The Mobile Only Internet Generation (La generación que accede a Internet únicamente mediante dispositivos móviles), estudio de OnDevice, 2010. Estudio sobre el estado de las tecnologías móviles en EMEA, Symantec, 2012. 9 Trusted Mobility Index (Índice de confianza en las tecnologías móviles), Juniper, 2012. 5 6 78 5 Cómo garantizar la seguridad al hacer compras mediante dispositivos móviles: amenazas y soluciones Software malicioso para dispositivos móviles Este tipo de amenazas son consecuencia de la generalización del software malicioso móvil que ha acompañado a la difusión de los dispositivos inteligentes. A la luz de lo que ha ocurrido con las amenazas dirigidas contra los ordenadores portátiles y de sobremesa, se trata de una tendencia totalmente previsible. Cantidad total de familias de software malicioso móvil 2010-2012 ENE DIC ENE DIC El número de variantes de ataques con software malicioso móvil está creciendo con más rapidez que la cantidad de familias de software malicioso móvil. Fuente: Informe de Symantec sobre las amenazas para la seguridad en Internet, 2011. Si observamos la forma en que ha evolucionado el software malicioso dirigido contra ordenadores, vemos que son necesarios tres factores para que este tipo de amenaza se generalice en el mundo de la tecnología móvil: una plataforma de uso extendido, herramientas de desarrollo con una gran accesibilidad y una motivación suficiente entre los ciberdelincuentes, es decir, un aliciente financiero10. La consolidación de Android como sistema operativo móvil con más aceptación en el mundo lo convierte en una plataforma cada vez más atractiva para los creadores de software malicioso. Así, la tendencia ascendente en su cuota de mercado se refleja en el aumento de las amenazas para dispositivos móviles durante el año 201111. Además, Android es un sistema operativo abierto, lo que facilita el trabajo de escritura y distribución de aplicaciones a los desarrolladores, incluidos los que crean software malicioso. En concreto, como no hay una única tienda de Android para las aplicaciones ni un control centralizado de lo que se publica, resulta fácil crear troyanos muy similares a aplicaciones de éxito. Los usuarios de Android tienen que aprobar explícitamente el conjunto de permisos especificados para cada aplicación12, pero, cuando aparece una larga lista de permisos en letra pequeña, la mayoría de la gente tiende a aceptarlos sin leer todo el texto, lo que hace que sea fácil descargar software malicioso junto con la aplicación. La cantidad de vulnerabilidades en los dispositivos móviles está aumentando con rapidez. De hecho, en 2011 Symantec contabilizó 315 vulnerabilidades en los sistemas operativos de dispositivos móviles, mientras que en 2010 la cifra se reducía a 163, lo que equivale a un aumento del 93,3 %13. Tipos de amenazas Las actividades más habituales de este tipo de software malicioso consisten en recopilar datos del dispositivo, espiar al usuario y enviar mensajes SMS a tarifas altas. En el año 2011, ciertas familias de software malicioso, como Opfake, migraron de plataformas más antiguas a Android. Opfake se oculta detrás de distintos contenidos y aplicaciones, como un instalador del navegador Opera o una película pornográfica, que exigen realizar un pago mediante mensaje SMS. Las últimas variedades de Opfake han recurrido al polimorfismo en el servidor para evitar la detección tradicional basada en firmas14. Efectos del software malicioso móvil en los teléfonos Principales actividades de los peligros móviles 28 % Recopilación de datos 24 % 25 % Envío de contenido Seguimiento del usuario 16 % Amenazas tradicionales 7% Cambio de configuración Las actividades más habituales de este tipo de software malicioso consisten en recopilar datos del dispositivo, espiar al usuario y enviar mensajes SMS a tarifas altas. Fuente: Informe de Symantec sobre las amenazas para la seguridad en Internet, 2011. Motivations of Recent Android Malware (Motivaciones del software malicioso reciente contra Android), Symantec, 2011. Gartner, mayo de 2012. 12 Informe de Symantec sobre las amenazas para la seguridad en Internet, 2011. 13 Threat Activity Trends (Tendencias en la evolución de las amenazas), 2012, Symantec. 14 Android.Opfake In-Depth (Estudio detallado sobre Android.Opfake), Symantec, 2012. 10 11 6 Cómo garantizar la seguridad al hacer compras mediante dispositivos móviles: amenazas y soluciones Los dispositivos móviles también son vulnerables a los tipos de ataques basados en navegador que afectan a los ordenadores de sobremesa, como los anuncios maliciosos, ventanas emergentes que parecen anuncios (sobre todo aquellos que advierten de que el equipo del usuario podría estar infectado) y piden a los usuarios que hagan clic en ellos. Si el usuario se preocupa y hace clic en el llamado scareware (código malicioso que trata de asustar), el sitio web al que llegará tal vez trate de infectar su dispositivo o pedirle dinero a cambio de eliminar la amenaza, que en realidad no existe15. Otro ejemplo son las descargas no autorizadas, aplicaciones que descargan código malicioso no deseado cuando el usuario da su consentimiento para instalar una aplicación (a veces, sin comprobar los permisos con atención) o hace clic en un anuncio o en un enlace malicioso. Servicio Confianza moderada (%) Confianza escasa o nula (%) Operaciones bancarias en línea 51 16 Servicios sanitarios 44 20 Compras en Internet 60 18 Correo electrónico empresarial 45 13 Redes sociales 36 39 Fuente: Trusted Mobility Index (Índice de confianza en las tecnologías móviles), Juniper. Pérdida de confianza La propia naturaleza de los dispositivos móviles hace que el peligro que supone el software malicioso sea aún mayor. Los smartphones forman parte de la vida privada de un individuo: almacenan todo tipo de datos personales y confidenciales, con lo que constituyen un blanco muy atractivo. Además, los usuarios suelen aceptar que las aplicaciones detecten dónde se encuentran y lo que están haciendo, muchas veces sin comprobar bien la funcionalidad del programa en cuestión16. Esta forma de actuar puede llevar a contraer infecciones provocadas por descargas no autorizadas u otro tipo de software malicioso. En el mercado del comercio móvil, esta difusión de software malicioso podría provocar una disminución de ventas considerable debido a la pérdida de confianza por parte de los consumidores. De hecho, la confianza de los usuarios en los dispositivos móviles ya está flaqueando. Por ejemplo, en Alemania, el 24 % de los consumidores han dicho que no confían en los dispositivos móviles, mientras que, si observamos los datos de todo el mundo, el 63 % han manifestado dudas sobre este asunto17. Una parte considerable de los compradores de Estados Unidos, el Reino Unido, Alemania, China y Japón han declarado tener una confianza escasa o nula en numerosos servicios comerciales. Los bancos son los que más se han esforzado por demostrar a los clientes que se toman muy en serio la seguridad en Internet, pero el resultado ha sido solo un ligero aumento en el nivel de seguridad percibido18. La mayoría de los consumidores (el 63 %) consideran que la responsabilidad de proteger sus datos confidenciales corresponde a las empresas. Otro dato interesante es que nueve de cada diez encuestados han dicho que las empresas para las que trabajan deberían proteger los dispositivos móviles19. Cómo defenderse de los peligros del malware en 2012, Symantec, 2012. Trusted Mobility Index (Índice de confianza en las tecnologías móviles), Juniper, 2012. 17 18 19 Ibid. 15 16 7 Cómo garantizar la seguridad al hacer compras mediante dispositivos móviles: amenazas y soluciones Compra segura mediante dispositivos móviles Como hemos visto, su empresa podría sufrir las consecuencias negativas de este aumento del software malicioso móvil y la consiguiente pérdida de confianza en las transacciones en línea, sobre todo si ofrece servicios de compras por Internet. La clave para conservar la confianza de los consumidores es ser conscientes de las amenazas que afectan a los dispositivos móviles y asumir la responsabilidad de proteger los datos confidenciales de los clientes. Para ello, debe contar con sitios web seguros y fiables, lo que le ayudará a ampliar la clientela y lograr que los internautas completen sus transacciones. En concreto, se trata de demostrar que los sitios web no tengan código malicioso, que estén protegidos frente a los ataques y que no dejen lugar a dudas sobre su identidad. Seguridad proactiva y constante Al comprar por Internet, los clientes buscarán indicios de fiabilidad, como símbolos o indicadores de seguridad en la barra de direcciones del navegador. Este tipo de signos demuestran que el sitio web es legítimo y que cuenta con certificados Extended Validation (EV) SSL, los cuales constituyen una defensa férrea y permiten a los clientes hacer compras con toda tranquilidad. La tecnología SSL (Secure Sockets Layer o «capa de sockets seguros») permite cifrar información en línea confidencial, como los datos personales y de inicio de sesión de sus clientes. Las autoridades de certificación comprueban una serie de datos exclusivos sobre su empresa para establecer las credenciales de su sitio web de comercio móvil. Los certificados EV SSL, que brindan un método de autenticación más riguroso, constituyen una defensa férrea y permiten a los clientes comprar en su sitio web con toda tranquilidad. Symantec propone los certificados EV SSL para garantizar al máximo la seguridad de los sitios web. Además, Symantec ha desarrollado Code Signing para Android, Cuando se realizan compras con un Windows Phone, un dispositivo Android o un iPhone, aparecen una serie de símbolos o indicadores de seguridad que demuestran que el sitio un servicio basado en la nube con el objetivo de ayudar a web es legítimo y que cuenta con certificados Extended Validation (EV) SSL. los desarrolladores de aplicaciones a seguir una serie de prácticas recomendadas. Ofrecemos un portal de firma de código seguro para el proceso de autenticación que permite almacenar y proteger las claves de firma. Por otro lado, si el desarrollador lo desea, almacenamos las aplicaciones firmadas y garantizamos la seguridad de las aplicaciones y sus distintas versiones, con lo que se evitan pérdidas de código en caso de fallo de los servidores o sistemas alojados en las instalaciones de la empresa. Estas capas de seguridad y autenticación adicionales ayudan a distinguir a los desarrolladores serios de los que pretenden introducir código malicioso. Seguridad proactiva en tiempo real Los sitios web de comercio electrónico están entre los que tienen más puntos vulnerables, como el riesgo de descargas no autorizadas, y un sitio web cualquiera puede llegar a tener miles de vulnerabilidades que varían a medida que cambia dicho sitio web. Desde el punto de vista tecnológico, las defensas en tiempo real identifican con rapidez posibles puntos de entrada por los que se pueda dañar, descargar o manipular los datos o las funciones de un sitio web. Un buen complemento de la protección existente es el análisis y la elaboración de informes automatizados sobre las vulnerabilidades de un sitio web y las posibles amenazas que lo atañen. El objetivo de un sistema de evaluación de vulnerabilidad es detectar los puntos débiles de su sitio web de comercio móvil que suelen sufrir ataques e informar sobre ellos. Los informes de vulnerabilidad deberían clasificar los problemas por tipos y nivel de riesgo, así como proponer medidas correctivas. De este modo, podrá detectar y solucionar con rapidez problemas de seguridad críticos, con lo que le resultará más fácil proteger su sitio web. Los certificados Symantec Premium SSL incluyen una herramienta de evaluación de vulnerabilidad gratis. 8 Cómo garantizar la seguridad al hacer compras mediante dispositivos móviles: amenazas y soluciones El análisis contra software malicioso es otra forma de proteger el sitio web de comercio móvil en tiempo real, pues avisa si detecta una infección. El código malicioso se puede ocultar en el código fuente del sitio web y puede resultar difícil detectarlo sin llevar a cabo un análisis exhaustivo línea a línea. Además, una de las consecuencias de la infección podría ser que su sitio web acabara en una lista negra y que los motores de búsqueda lo excluyeran. Este tipo de protección debería sumarse al uso de programas tradicionales contra software malicioso, que se centran en el dispositivo cliente. La mayoría de las soluciones de análisis están diseñadas para impedir que los empleados descarguen o instalen software malicioso, y no para evitar que el sitio web de la empresa lo distribuya. El servicio de análisis contra software malicioso de Symantec, que también se incluye con los certificados SSL, supervisa el sitio web de comercio móvil a diario y proporciona una lista de las páginas infectadas, indicando el código que causa el problema. A continuación, podrá aplicar la medida correctiva pertinente en el sitio web. Conclusión Si su empresa aborda de forma global la seguridad de los sitios web, sobre todo los de comercio electrónico, podrá inspirar confianza en línea en todo momento al tiempo que se defiende de los hackers. Se prevé que el gasto global realizado mediante dispositivos móviles supere los 171 500 millones de dólares en el año 201220, lo que significa un aumento del 61,9 % con respecto a 2011, así que es de vital importancia mantener la reputación en Internet de su empresa. Existe una serie de servicios complementarios, como el cifrado SSL, la evaluación de vulnerabilidad y el análisis contra software malicioso, que detectan posibles problemas, los analizan, avisan de su existencia y le defienden de ellos, con lo que garantizan la seguridad de sus clientes y protegen la reputación de su empresa. Como estos servicios inspiran una mayor tranquilidad y confianza, los internautas visitarán su sitio web de comercio móvil sin temor, lo cual se traducirá a su vez en un aumento de las transacciones y una mejora de los resultados comerciales de la empresa. 20 Nota de prensa, Gartner, 2012. 9 Cómo garantizar la seguridad al hacer compras mediante dispositivos móviles: amenazas y soluciones Más información Visite nuestro sitio web www.verisign.es Para contactar con un especialista en nuestros productos Llame al 900 93 1298 o al +41 26 429 7727. Acerca de Symantec Symantec es líder mundial en soluciones de gestión de sistemas, almacenamiento y seguridad. Su objetivo es ayudar a empresas y particulares a gestionar y proteger sus datos en un mundo cada vez más dominado por la información. Nuestros servicios y programas garantizan una protección más completa y eficaz frente a una mayor cantidad de riesgos, lo que es sinónimo de tranquilidad sea cual sea el medio donde se utilice o almacene la información. Symantec Spain S.L. Parque Empresarial La Finca – Somosaguas, Paseo del Club Deportivo, Edificio 13, oficina D1, 28223, Pozuelo de Alarcón, Madrid, España www.symantec.es © 2012 Symantec Corporation. Todos los derechos reservados. Symantec, el logotipo de Symantec y el emblema del círculo con la marca de verificación son marcas comerciales o marcas registradas de Symantec Corporation o sus filiales en los Estados Unidos y otros países. VeriSign, VeriSign Trust y otras marcas relacionadas son marcas comerciales o marcas registradas de VeriSign, Inc., sus filiales o subsidiarias en los Estados Unidos y otros países, otorgadas bajo licencia a Symantec Corporation. Los demás nombres pueden ser marcas comerciales de sus respectivos propietarios. 10
© Copyright 2024