Conclusiones clave
- Dos informes recientes destacan que los atacantes persiguen cada vez más el eslabón más débil de la cadena de seguridad: las personas.
- Los expertos creen que la industria debe introducir procesos para que las personas se adhieran a las mejores prácticas de seguridad.
-
Una capacitación adecuada puede convertir a los propietarios de dispositivos en los mejores defensores contra los atacantes.
Muchas personas no aprecian el alcance de la información confidencial en sus teléfonos inteligentes y creen que estos dispositivos portátiles son intrínsecamente más seguros que las PC, según informes recientes.
Al enumerar los principales problemas que afectan a los teléfonos inteligentes, los informes de Zimperium y Cyble indican que ninguna cantidad de seguridad integrada es suficiente para evitar que los atacantes comprometan un dispositivo si el propietario no toma medidas para protegerlo.
"Creo que el principal desafío es que los usuarios no logran establecer una conexión personal entre estas mejores prácticas de seguridad y sus propias vidas personales", dijo Avishai Avivi, CISO de SafeBreach, a Lifewire por correo electrónico. "Sin comprender que tienen un interés personal en hacer que sus dispositivos sean seguros, esto seguirá siendo un problema".
Amenazas móviles
Nasser Fattah, presidente del Comité Directivo de América del Norte en Shared Assessments, le dijo a Lifewire por correo electrónico que los atacantes persiguen los teléfonos inteligentes porque brindan una superficie de ataque muy grande y ofrecen vectores de ataque únicos, incluido el phishing por SMS o el smishing.
Además, los propietarios habituales de dispositivos son objeto de ataques porque son fáciles de manipular. Para comprometer el software, es necesario que haya una falla no identificada o sin resolver en el código, pero las tácticas de ingeniería social de hacer clic y cebo son perennes, Chris Goettl, vicepresidente de gestión de productos de Ivanti, le dijo a Lifewire por correo electrónico.
Sin comprender que tienen un interés personal en hacer que sus dispositivos sean seguros, esto seguirá siendo un problema.
El informe Zimperium señala que menos de la mitad (42 %) de las personas aplicaron correcciones de alta prioridad dentro de los dos días posteriores a su lanzamiento, el 28 % requirió hasta una semana, mientras que el 20 % tardó hasta dos semanas en parchear sus teléfonos inteligentes.
"A los usuarios finales, en general, no les gustan las actualizaciones. A menudo interrumpen sus actividades de trabajo (o juego), pueden cambiar el comportamiento en su dispositivo e incluso pueden causar problemas que pueden ser un inconveniente más prolongado", opinó Goettl..
El informe de Cyble mencionó un nuevo troyano móvil que roba códigos de autenticación de dos factores (2FA) y se propaga a través de una aplicación falsa de McAfee. Los investigadores creen que la aplicación maliciosa se distribuye a través de fuentes distintas a Google Play Store, que es algo que la gente nunca debería usar, y solicita demasiados permisos, que nunca deberían otorgarse.
Pete Chestna, CISO de Norteamérica en Checkmarx, cree que somos nosotros quienes siempre seremos el eslabón más débil en seguridad. Él cree que los dispositivos y las aplicaciones deben protegerse y curarse a sí mismos o ser resistentes al daño, ya que la mayoría de las personas no pueden ser molestadas. Según su experiencia, las personas conocen las prácticas recomendadas de seguridad para cosas como las contraseñas, pero optan por ignorarlas.
"Los usuarios no compran en función de la seguridad. No lo usan en función de la seguridad. Ciertamente nunca piensan en la seguridad hasta que les han sucedido cosas malas personalmente. Incluso después de un evento negativo, sus memorias son cortas ", observó Chestna.
Los propietarios de dispositivos pueden ser aliados
Atul Payapilly, fundador de Verifiably, lo ve desde un punto de vista diferente. Leer los informes le recuerda los incidentes de seguridad de AWS que se informan a menudo, le dijo a Lifewire por correo electrónico. En estos casos, AWS estaba funcionando según lo diseñado, y las infracciones fueron en realidad el resultado de permisos incorrectos establecidos por la gente que usa la plataforma. Eventualmente, AWS cambió la experiencia de la configuración para ayudar a las personas a definir los permisos correctos.
Esto resuena con Rajiv Pimplaskar, director ejecutivo de Dispersive Networks. "Los usuarios se centran en la elección, la comodidad y la productividad, y es responsabilidad de la industria de la ciberseguridad educar y crear un entorno de seguridad absoluta, sin comprometer la experiencia del usuario".
La industria debe comprender que la mayoría de nosotros no somos especialistas en seguridad, y no se puede esperar que entendamos los riesgos teóricos y las implicaciones de no instalar una actualización, cree Erez Yalon, vicepresidente de investigación de seguridad en Checkmarx. "Si los usuarios pueden enviar una contraseña muy simple, lo harán. Si se puede usar el software aunque no se haya actualizado, se usará", compartió Yalon con Lifewire por correo electrónico.
Goettl se basa en esto y cree que una estrategia eficaz podría ser restringir el acceso desde dispositivos no compatibles. Por ejemplo, un dispositivo con jailbreak, o uno que tiene una mala aplicación conocida, o está ejecutando una versión del sistema operativo que se sabe que está expuesta, pueden usarse como activadores para restringir el acceso hasta que el propietario corrija el paso en falso de seguridad.
Avivi cree que, si bien los proveedores de dispositivos y los desarrolladores de software pueden hacer mucho para ayudar a minimizar lo que el usuario estará expuesto en última instancia, nunca habrá una panacea o una tecnología que realmente pueda reemplazar el software húmedo.
"La persona que puede hacer clic en el enlace malicioso que superó todos los controles de seguridad automatizados es la misma que puede denunciarlo y evitar verse afectado por un día cero o un punto ciego tecnológico", dijo Avivi..
