Construya un entorno de nube móvil y más seguro

Vulnerabilidades comunes de la nube móvil y soluciones para asegurarlas

Los usuarios y los proveedores de acceso de dispositivos móviles a entornos nube pueden esperar que los cyber-ataques continúen explotando las debilidades de los entornos nube; sin embargo, muchas lecciones de los primeros días del aseguramiento de los entornos de escritorio han sido llevados a la computación en nube. En este artículo, el autor presenta problemas de seguridad de la nube móvil, observando el estado actual de las violaciones de seguridad en la nube, las vulnerabilidades de los dispositivos nube móviles, y mostrando cómo responder a tales vulnerabilidades. También habla sobre futuros problemas potenciales en el aseguramiento de la nube móvil y sobre oportunidades para desarrolladores.

Preston A. Cox, Mobile cloud consultant

Preston CoxPreston Cox es consultor sobre nube móvil con experiencia en un amplio rango de desarrollo de aplicaciones. Completó una exitosa carrera con una de las mayores compañías de defensa aeroespacial del mundo, y bajo el espíritu de "convertir espadas en arados", está co-construyendo una empresa de aplicaciones móviles para geolocalización — EventRadar, LLC. También está creando una presencia colaborativa en la nube para una organización multinacional sin ánimo de lucro. En su tiempo libre, Preston crea aplicaciones para iPhone orientadas a la familia. Él es miembro de ACM, IEEE, Linux Foundation, y del CSIX Cloud Computing SIG.



25-07-2011

Los cyber-ataques contra las plataformas móviles, especialmente contra los teléfonos inteligentes, aumentaron el 2010 según el McAfee Threats Report: Fourth Quarter 2010 publicado por McAfee Labs (vea Recursos). La necesidad de entender las amenazas y qué hacer con respecto a ellas es obvia, dado el incremento y auge actual en la convergencia de plataformas móviles y de la computación nube, que define la computación en nube móvil.

El informe de McAfee también sugiere que el entorno de amenaza móvil fluye a medida que aparecen nuevas plataformas móviles y a medida que los criminales exploran nuevas vulnerabilidades. Este entorno de amenaza en evolución está afectando a algunas empresas. Por ejemplo, últimamente Google ha estado en las titulares debido a las dificultades para completar contratos para llevar servicios de e-mail basados en la nube, para algunos estados y gobiernos locales. Parte del problema, según los comunicados de prensa de Google, se relaciona con el cambio de los lineamientos de seguridad federales, que dificulta la entrega de una solución.

¿Qué puede hacerse para protegerse frente al creciente y cambiante entorno de amenazas a la seguridad? La seguridad de los sistemas de escritorio es un problema que las empresas han enfrentado por años. Las lecciones aprendidas se han llevado a la computación en nube. De hecho, la seguridad en nube es un tema que muchos proveedores han resuelto y que presentan como una característica de sus ofrecimientos de nube. Algunos proveedores promocionan sus certificaciones de seguridad obtenidas de entidades reguladoras. Aún así, hay una percepción sobre que las lecciones aprendidas en el mundo de los sistemas de escritorio, se convirtieron todas en lecciones olvidadas muy rápidamente en el mundo móvil. Los dispositivos móviles todavía son percibidos por muchos como vulnerables a ataques de seguridad.

Este artículo responde a problemas de seguridad de la nube móvil observando el estado actual de las violaciones de seguridad en la nube, las vulnerabilidades de los dispositivos nube móviles, y mostrando cómo resolver tales vulnerabilidades. También se trata sobre problemas futuros del aseguramiento de la nube móvil y se señalas oportunidades para los desarrolladores.

Computación en nube móvil y amenazas a la seguridad

Hubo una época en la que los piratas informáticos eran motivados por la notoriedad y por la curiosidad. Sin embargo, nuevos reportes en años recientes muestran que ahora la motivación principal para la piratería informática son las ganancias financieras. Por ejemplo, para el momento en que se escribió este artículo, el diario británico The Register, reportó el arresto de un grupo de individuos que utilizaban una cadena de Troyanos de software malicioso (malware) en un intento para sustraer US$ 1,7 millones de cuentas bancarias finlandesas. Otra noticia reciente incluye reportes de un aumento del 400% en malware Android.

El informe McAfee mencionado antes enuncia que mientras el crecimiento de la amenaza móvil es constante, el volumen de amenazas es mucho menor que el que hay para las computadoras personales. Sin embargo, las predicciones señalan que el mercado de la nube móvil estará avaluado en US$ 9,4 mil millones para el 2014. A medida que crece la nube móvil con la proliferación creciente de teléfonos inteligentes, es posible esperar que los teléfonos inteligentes sean cada vez más atractivos para los criminales que busquen una entrada más hacia negocios en la nube potencialmente lucrativos. Ahora es un buen momento para entender la amenaza de seguridad a la nube móvil y para comenzar a prepararse para un aumento inevitable en las amenazas de seguridad. Comience observando el estado actual de la piratería informática, para tener un poco más de perspectiva sobre la amenaza a la seguridad en la nube móvil.

Cuando se discuten las amenazas a la seguridad en la nube móvil, la principal preocupación son las amenazas a los teléfonos móviles y a las plataformas de pizarras digitales. Estas amenazas se pueden dividir en tres categorías:

  • Amenazas físicas
  • Amenazas a la seguridad de la red móvil
  • La amenaza del malware

Amenazas físicas

Hay tres tipos básicos de amenazas físicas a los dispositivos móviles: préstamos, pérdidas y robo. De estas tres, el robo es la más obvia porque el acto en sí es malicioso. Es difícil hallar estadísticas para estas categorías, pero algunos informes indican que las pérdidas físicas pueden variar de 12 a 35 millones por año. (Estos números son para teléfonos celulares, pues aún no hay estadísticas disponibles para teléfonos inteligentes ni para pizarras digitales) Es aún más difícil hallar datos sobre robos.

Prestar el un dispositivo móvil a un miembro de la familia o a un amigo puede parecer inofensivo, pero genera la posibilidad de permitir que esa persona acceda a datos o aplicaciones a los cuales no está autorizada. También existe la posibilidad de permitir el acceso a algún sitio en Internet que pueda representar un peligro para el teléfono inteligente al descargar malware, por ejemplo.

Los dispositivos móviles que se pierden o que son robados aumentan el problema del uso malintencionado de los datos que hay en ellos, así como el uso malintencionado del dispositivo en sí. Los dispositivos móviles presentan capacidades de bloqueo con base en números pin o en contraseñas. Sin embargo, estas capacidades no son usadas por sus propietarios con mucha frecuencia. Aunque incluso cuando se habilita el recurso de bloqueo, hay formas de revertirlo. Por ejemplo, es posible lograr acceso a un iPhone haciendo automontaje del teléfono inteligente mediante una conexión Universal Serial Bus (USB) a una computadora, y traspasando el bloqueo. La evasión de los bloqueos de otros tipos de teléfonos inteligentes es posible de formas similares.

Los desarrolladores pueden agregar una capa adicional de seguridad a nivel de datos y de aplicaciones cuando los datos críticos son controlados por su software. Ciertamente, no todas las aplicaciones acceden a datos críticos, pero los desarrolladores de las que lo hacen pueden mejorar la seguridad de sus aplicaciones integrando controles de acceso.

Los desarrolladores también pueden conocer dónde se almacenan los datos en un teléfono inteligente. Las tarjetas Suscriber Identity Module (SIM) normalmente contienen los datos del suscriptor y de contacto, y mensajes de texto. Estas tarjetas pueden ser removidas fácilmente de muchos dispositivos y las puede leer cualquiera. Los desarrolladores no deben almacenar ningún dato en las tarjetas SIM que no necesite almacenarse allí.

La nube móvil también puede ofrecer cierto grado de protección contra la pérdida de datos resultante de la pérdida o el robo de un teléfono inteligente. Los desarrolladores deben habilitar las copias de seguridad y la sincronización de datos con la nube, debería ser obligatorio en las pólizas de negocios, y debería ser exigido a conciencia por los usuarios.

Amenazas a la seguridad de la red móvil

Uno de los recursos más interesantes de los teléfonos inteligentes es la cantidad de formas en que los usuarios pueden acceder a ellos. Además del acceso mediante una red celular, a la mayoría también se puede acceder vía Wi-Fi y Bluetooth, y a algunos se puede acceder mediante identificación por radio frecuencia (RFID). La red celular (3G o 4G) permite el acceso a servicios telefónicos, desde luego, y a servicios de Internet así como a comunicaciones Short Messaging Service (SMS). Las otras interfaces (Wi-Fi, Bluetooth, infrarroja y RFID) principalmente se utilizan para el intercambio de datos. Desde una perspectiva de seguridad, todas las interfaces tienen el potencial para exponer información sensible y para recibir datos posiblemente maliciosos. Esto les hace potencialmente vulnerables en una variedad de formas, como se describe en la Tabla 1.

Tabla 1. Vulnerabilidades de seguridad de red móvil con base en el tipo de acceso
Tipo de accesoVulnerabilidad
BluetoothBluetooth es una popular red de área personal wireless (WPAN) de transmisión de rango corto para la transmisión de voz digital y de datos, que los teléfonos inteligentes usan principalmente para conectarse con dispositivos externos, como son los audífonos. Esta tecnología es susceptible a piratería de forma similar a los SMS, pero dado su rango corto puede no ser atractiva para los piratas informáticos.
CelularLos teléfonos inteligentes usan las tecnologías móviles para conectarse a redes celulares para intercambiar voz y datos. La conexión de datos siempre está activada. Se pueden soportar múltiples bandas de frecuencia de radio (RF) y tecnologías, para facilitar un rango más amplio de servicio itinerante a través de las redes. Esto abre el potencial para forzar a un teléfono inteligente para que se registre a un sitio de llamadas malicioso usando un protocolo menos seguro.
InfrarrojosLas interfaces de red infrarrojas se utilizan principalmente para el intercambio de datos, paro también se pueden usar para controlar ciertos dispositivos, como televisores. Los infrarrojos requieren una proximidad y una línea de visión para funcionar. Las interfaces infrarrojas ofrecen el potencial para transmitir datos sensibles y para recibir datos que potencialmente pueden ser dañinos de alguna forma. Los datos pueden ser dañinos si contienen software ejecutable que pueda causar que el dispositivo receptor se comporte erróneamente o que falle.
RFIDEl RFID se utiliza para transmitir una señal de radio que contenga información para identificar un elemento. Se utiliza principalmente para etiquetar inventarios. Ahora que los dispositivos móviles están comenzando a incorporar dispositivos RFID activos, podrán transmitir su ubicación o su estado. Una implicación de seguridad obvia es que la tecnología permitirá la detección de intrusos, en el evento en que se detecte una señal RFID no autorizada. De forma inversa, cuando se detecta in identificador particular, posiblemente se puede lanzar un ataque dirigido.
SMSEl SMS evolucionó a partir de un protocolo anterior para el envío de mensajes cortos a buscapersonas radiales. El SMS se utiliza para intercambiar mensajes entre dispositivos de teléfono de líneas domiciliarias fijas y teléfonos celulares. Algunas demostraciones han mostrado que este servicio es susceptible a ataques que pueden denegar el servicio o tal vez incluso insertar malware en el teléfono inteligente. Un ataque así posiblemente podría obtener información de identificación única almacenada en el dispositivo.

Los SMS a veces son utilizados en autenticación de dos factores donde, por ejemplo, un inicio de sesión de un sitio requiere que se responda con claves desechables enviadas mediante mensajes SMS. A medida que la vulnerabilidad aumenta para la mensajería SMS, a los desarrolladores se les aconseja utilizar diferentes bandas de mensajería para autenticación con dos factores.
Wi-FiWi-Fi es una tecnología de red wireless de acceso local (WLAN) que se utiliza comúnmente para establecer conexión con Internet a través de un dispositivo, con una interfaz Ethernet con conexión física. Las conexiones Wi-Fi cerradas se destacan por su débil esquema de protocolo de cifrado. Todas las zonas de cobertura Wi-Fi son también susceptibles a ataques “hombre en el medio”, en los que un pirata informático intercepta comunicaciones entre un usuario y un dispositivo Wi-Fi.

La amenaza del malware

El malware ha sido por bastante tiempo una amenaza para los computadores personales y de escritorio. Los teléfonos inteligentes, que son computadores sofisticados con todos los recursos, están siendo objeto de una creciente atención por parte de los creadores de malware.

La nube móvil ofrece una solución para esta amenaza, que no está disponible para los teléfonos inteligentes en general. El software autorizado puede almacenarse y distribuirse desde la nube. Cuando se detecta o se sospecha malware, el software del teléfono inteligente puede restaurarse desde copias de seguridad confiables en la nube.


Asegurando la nube móvil

En general, los desarrolladores no esperan que la nube móvil esté libre de amenazas de seguridad, más de lo que esperarían que cualquier otro modelo de tecnologías de la información (TI) utilizado para soportar negocios lo hiciera. En cambio, los desarrolladores perciben la seguridad en términos como reducción, mitigación y disuasión de riesgos.

Tradicionalmente, los desarrolladores piensan en la seguridad de las TI en términos de perímetros de defensa. Eso significa que mantienen sus recursos informáticos dentro de un espacio confinado que se defiende física y electrónicamente.

La computación móvil en nube empeora la situación mucho más, desde un punto de vista de la seguridad, porque los dispositivos móviles relevantes (teléfonos inteligentes y pizarras digitales) interactúan con el mundo externo más íntimamente y mediante un conjunto más amplio de tecnologías.

Dos modelos de seguridad emergentes ofrecen enfoques razonables para asegurar la nube tecnológica:

  • Data Centric Security Model
  • La Prevención de Pérdida de Datos

Cada modelo puede implementarse de forma independiente del otro, pero juntos se complementan muy bien para ayudar a asegurar los datos en reposo y los datos en tránsito sobre una red.

Data Centric Security Model

El Data Centric Security Model (DCSM) ofrece un enfoque para proteger datos al asociarlos con un nivel de una variedad de niveles y luego definiendo un control de acceso para cada nivel. Los niveles o categorías de datos pueden establecerse arbitrariamente, pero normalmente agrupan datos según el nivel de daño que pueda ocurrir si alguien accede a los datos con intenciones maliciosas.

La mayoría de las empresas usan datos que se pueden categorizar de forma diferente. Por ejemplo, una base de datos de una compañía podría incluir datos del cliente (número de seguridad social, datos de tarjeta de crédito), datos corporativos (fusiones y adquisiciones, datos financieros) y propiedad intelectual (código fuente, listas de precios).

La categorización de datos es a menudo una función de requisitos de negocios y regulaciones. La regulación de seguridad US Health Insurance Portability and Accountability Act (HIPAA), es un ejemplo de seguridad de datos por mandato gubernamental. Después de que se establecen las categorías, se pueden escribir e imponer reglas de control de acceso.

En este caso, la nube móvil posiblemente podría mejorar el cumplimiento de las reglas de control de acceso. Por ejemplo, el acceso de un usuario a una categoría particular de datos podría requerir que el dispositivo móvil de usuario informe su ubicación geográfica en algún lugar de los Estados Unidos, o de lo contrario se negaría el acceso.

La Prevención de Pérdida de Datos

La Prevención de Pérdida de Datos (DLP) es una metodología que intenta no solo impedir la pérdida de datos, sino también detectar los datos que están en riesgo de perderse o de utilizarse fraudulentamente. Los enfoques DLP se encargan de datos en movimiento, datos en reposo y datos en uso, los cuales se describen en la Tabla 2.

Tabla 2. Tipos de datos DLP
Tipos de datosDescription
Datos en movimientoSe refiere a la supervisión de tráfico en la red para identificar contenido que esté siendo enviado a través de canales de comunicación específicos, con el fin de determinar la idoneidad de ese canal para los datos. Si no hay coincidencia entre los datos y el canal, esto podría indicar una amenaza de seguridad potencial.
Datos en reposoIncluye el escaneo de almacenamientos y de otros repositorios de contenido, para identificar dónde está ubicado el contenido sensible. Si el contenedor no está autorizado para esos datos, entonces se señalan acciones correctivas.
Datos en usoSignifica supervisión de los datos con los que interactúan los usuarios. Si un usuario intenta transferir datos sensibles hacia un dispositivo no autorizado, el usuario puede ser alterado o la acción puede ser bloqueada.

Esta tecnología emergente de DLP es una buena oportunidad para desarrolladores e investigadores. La buena identificación de firmas de amenaza será un problema constante a medida que emergen nuevos tipos de amenazas. La detección de reglas y el cumplimiento de políticas de seguridad, son necesarias. Además, la implementación es un área fértil para el crecimiento. Por ejemplo, los DLP-bots — pequeñas aplicaciones que se ejecutan en teléfonos inteligentes y pizarras digitales — podrían ser un vehículo para implementar DLP en la nube móvil.


Futuro de la seguridad de la nube móvil

La computación en nube móvil es un mercado emergente guiado por la popularidad y la creciente proliferación de teléfonos inteligentes y computadoras de pizarra móvil. En la medida en que ingresen nuevos dispositivos móviles al mercado y evolucionen, con certeza los problemas de seguridad también crecerán. Hay muchas tendencias que pueden influenciar el crecimiento del mercado.

Una tendencia posible es la incorporación de hipervisores a los teléfonos móviles. Un hypervisor es un programa que permite que múltiples sistemas operativos compartan una misma computadora. Un popular ejemplo de un hipervisor es Xen, de Xen.org. Este desarrollo tiene por objeto simplificar los problemas de administración de los teléfonos inteligentes. También tiene el potencial para simplificar la administración de la seguridad.

Otra tendencia es el crecimiento de lo que se conoce como la Internet de las Cosas. El crecimiento de los dispositivos inteligentes que pueden interactuar con Internet se está dando a una tasa muy superior a la de las tecnologías computacionales tradicionales. Se estima que más de un billón de dispositivos se conectarán a Internet en los próximos años, y la mayoría de estos serán dispositivos independientes. Los medidores inteligentes instalados por algunas compañías de servicios públicos son un ejemplo. El crecimiento en la variedad de dispositivos móviles que pueden interactuar con la nube indudablemente traerá consigo nuevas preocupaciones en cuanto a seguridad.


En conclusión

La computación en nube móvil está lista para convertirse en un mercado gigante. Tal mercado gigante atraerá la atención de criminales que desearán sacar ganancias fáciles al encontrar y aprovechar las debilidades de la tecnología de nube móvil. Además, el enorme crecimiento en la variedad de dispositivos conectados a Internet generará necesidades de seguridad en el futuro. Este artículo presentó algunos de los problemas que son pertinentes para la planeación sobre cómo proporcionar seguridad para la nube móvil.

Recursos

Aprender

Obtener los productos y tecnologías

Comentar

Comentarios

developerWorks: Ingrese

Los campos obligatorios están marcados con un asterisco (*).


¿Necesita un IBM ID?
¿Olvidó su IBM ID?


¿Olvidó su Password?
Cambie su Password

Al hacer clic en Enviar, usted está de acuerdo con los términos y condiciones de developerWorks.

 


La primera vez que se registra en developerWorks, se crea un perfil para usted. Información sobre su perfil (nombre, país/región y compañia) estará disponible al público y acompañará cualquiera de sus publicaciones. Puede actualizar su cuenta IBM en cualquier momento.

Toda la información enviada es segura.

Elija su nombre para mostrar



La primera vez que inicia sesión en developerWorks se crea un perfil para usted, teniendo que elegir un nombre para mostrar en el mismo. Este nombre acompañará el contenido que usted publique en developerWorks.

Por favor elija un nombre de 3 - 31 caracteres. Su nombre de usuario debe ser único en la comunidad developerWorks y debe ser distinto a su dirección de email por motivos de privacidad.

Los campos obligatorios están marcados con un asterisco (*).

(Por favor elija un nombre de 3 - 31 caracteres.)

Al hacer clic en Enviar, usted está de acuerdo con los términos y condiciones de developerWorks.

 


Toda la información enviada es segura.


static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=90
Zone=Cloud computing
ArticleID=742240
ArticleTitle=Construya un entorno de nube móvil y más seguro
publish-date=07252011