Navegadores móviles, el próximo reto de la seguridad empresarial

Un encuesta realizada recientemente por F-Secure encontró que cerca del 30% de los usuarios norteamericanos de teléfonos móviles acceden a Internet, un porcentaje muy similar al de otras regiones. Lo que sorprende es que dos tercios de estos usuarios dijeron que no tienen ningún software de seguridad en sus terminales, y eso teniendo en cuenta que estamos asistiendo a un aumento de la navegación a través del móvil y que normalmente el usuario visita las mismas páginas que con un PC.

Según los expertos, los departamentos de Tecnologías de la Información necesitan centrarse en tres áreas: evaluar la arquitectura de seguridad y características en el navegador móvil y el sistema operativo sobre el que se utilice; trabajar con los usuarios en prácticas seguras a la hora de navegar; y crear un sistema de administración de dispositivos portátiles sólido.

Para Charlie Miller, analista de software de seguridad de Independent Security Evaluators (ISE), las vulnerabilidades de los navegadores son la manera más fácil para conseguir ejecutar código en un smartphone, y “esto es porque los navegadores son muy complejos si los comparamos con la mayoría de los programas que hay en un smartphone”.

Los navegadores hacen peticiones a los sitios web, descargan páginas HTML, imágenes, archivos PDF, música y vídeos, y aplicaciones. Dependiendo del diseño del navegador, y el sistema operativo sobre el que funcione, estas descargas y archivos ejecutables pueden crear una serie de problemas, algunos accidentales y otros intencionados, según los expertos. Y el resultados es que los usuarios móviles corporativos podrían encontrarse con un terminal no operativo, o que han comprometido sus datos personales o los de la empresa.

Un área en la que está aumentando la preocupación es la de los widgets de Internet, bits de código descargable embebido en una página web. Son cada vez más populares en los terminales porque suponen una manera rápida de enviar o recibir datos, sin tener que atravesar múltiples pasos con un navegador móvil. La mayoría de estos programas están disponibles online a través de tiendas de aplicaciones en Internet como AppStore.

El problema de los widgets es que aunque son buenos porque se puede certificar la aplicación, sus datos no se pueden controlar porque el usuario no puede ver los datos antes de que se descarguen. Un ejemplo de este problema potencial, pero en el terreno de los PC de sobremesa fue el widget Secret Crush de Facebook de 2008 que pretendía revelar quién tenía un secreto sobre un usuario pero que finalmente lo que hacía era descargar un programa de adware.

Para la seguridad empresarial el punto de inicial es el sistema operativo del terminal. La clave es si el sistema operativo hace uso de una arquitectura sandbox para la aplicación en el que cada aplicación se ejecuta en un espacio separado definido por la memoria y los permisos del sistema operativo. De esta forma su actividad, sea buena o maliciosa, no puede afectar a otras aplicaciones o acceder a otras partes del sistema operativo. Por lo tanto con un sandbox se puede bloquear un entorno de ejecución basado en cosas como las características de la aplicación y limitar su acceso a ciertos ajustes, APIS, datos, etc.

Actuando de una manera similar, algunos sistemas operativos tienen un componente no ejecutable, un mecanismo que sirve para esconder o bloquear la ejecución de código malicioso. El sandbox unido al bloqueo de ejecución son características incluidas en Windows Mobile que impiden que se pueda instalar código del que no se tiene confianza.

El sistema operativo Android para terminales móviles está basado en el kernel de Linux, desarrollado originariamente para ordenadores mainframe. El kernel, por tanto, estaba diseñado para separar múltiples usuarios simultáneamente y proteger a cada uno de las aplicaciones y recursos de los demás. Y lo que ha hecho Android fue sustituir múltiples aplicaciones por múltiples usuarios, cada una de ellas con sus propios procesos.

Dentro del sistema operativo los navegadores pueden añadir protecciones y alertas. Mobile Internet Explorer cuenta con una serie de zonas seguras y alerta a los usuarios cuando abandonan una sesión SSL cifrada, por ejemplo. Pero al final siempre hay un factor clave, y es la propia decisión del usuario.

En el terreno empresarial habría que identificar qué elementos de seguridad se pueden controlar en el dispositivo móvil y automatizar su configuración. Además está apareciendo un estándar de seguridad que quiere extender los certificados de validación de SSL que está tardando en adaptarse a los dispositivos móviles como un mecanismo antiphishing. Lo que hace este certificado es alertar mostrar a los usuarios una serie de códigos de colores que confirman que un sitio web está validado con un certificado SSL. Actualmente la versión móvil de Internet Explorer es uno de los pocos navegadores móviles que actualmente lo soportan.

Por otra parte, los navegadores son la aplicación móvil que mejor puede monitorizarse, configurarse y gestionarse. Y una gestión efectiva significa que se pueden controlar la descarga de archivos, limpiar las cachés de los dispositivos, desplegar paquetes antivirus y mejorar el uso de redes privadas virtuales.