CCN-CERT, del Centro Criptológico Nacional(CCN), adscrito al Centro Nacional de Inteligencia (CNI), ha hecho pública su Guía CCN-STIC 827 de Gestión y Uso de Dispositivos Móviles en la que analiza la problemática derivada del uso de estos equipos, particularmente dentro de las organizaciones. El CERT Gubernamental Nacional ofrece, además, una serie de recomendaciones a tener en cuenta, tanto en el uso personal como profesional de estos dispositivos, y muy especialmente por todas aquellas administraciones públicas que deben cumplir con el Esquema Nacional de Seguridad.
Entre los riesgos señalados se encuentran:
– Movilidad: su uso en múltiples lugares (organización, domicilio particular, lugares públicos, hoteles…) favorece el extravío o hurto, con el consiguiente acceso no autorizado al dispositivo y/o a la información almacenada o transmitida, instalación de código dañino en las aplicaciones móviles, etc.
– Contenidos y aplicaciones no confiables: tanto en su configuracón como en su uso. Descargas fuera de la web o tienda oficial, acceso a contenidos como QR (Quick Response Codes), que suelen contener direcciones URL imposible de detectar si son o no maliciosas, etc.
– Redes inseguras: redes públicas o redes privadas comunes, en donde es imposible disponer de mecanismos para controlar la seguridad. Permite ataques de tipo man-in-the-middle (intercepción de la comunicación entre dos puntos al modificar los datos en tránsito sin el conocimiento de las partes).
– Interconexión con otros sistemas (portátil, ordenador…) para sincronizar cotenidos o con un tercero a través de wi-fi, lo que provoca almacenamiento de datos en ubicaciones no confiables, el intercambio no autorizado de datos o transmisión de infecciones con malware de uno a otro equipo.
– Servicios de localización a través de sistemas GPS, en coordinación con otros (redes sociales, navegación, …) lo que afecta a la privacidad del usuario y de su relación con la la organización, facilitando la creación de mapas geográficos de movimientos y de actividad.
Algunas recomendaciones
– Activación de las características de seguridad del propio dispositivo
– Autenticación de acceso al dispositivo y a los recursos corporativos accesibles a través de él.
– No almacenar información sensible o, en su defecto, cifrarla .
– Uso de redes privadas virtuales (VPN), autenticación mutua y desactivación de interfaces de red, no utilizando redes wi-fin inseguras.
– Permitir sólo descargas provenientes de “listas blancas”, con los permisos estrictamente necesarios y a través de pasarelas web seguras.
– Sensibilización de usuarios.
