Por Marcos Nehme, Director, Systems Engineer Latin America & Caribbean at RSA Security
El cambio reciente en las plataformas de aplicación empresarial de escritorios a dispositivos móviles produjo muchos beneficios emocionantes, que las organizaciones pudieron identificar y aprovechar para proporcionar un lugar de trabajo más flexible y cómodo. Lamentablemente, ciertos individuos y grupos con intenciones menos honorables también se dieron cuenta de ese cambio. Es más, un informe de ISACA predice un aumento importante de publicidad maliciosa y otros malware para dispositivos móviles en 2016, a medida que los cibercrimilares se aprovechan de esta lucrativa tendencia.
Con eso en mente, es esencial que las organizaciones se hagan las siguientes preguntas a medida que se preparan para un mundo móvil cada vez más hostil:
¿Cómo se puede cuantificar el riesgo de aplicaciones móviles?
Como el malware se oculta dentro de aplicaciones que parecen legítimas, a las organizaciones les cuesta cada vez más cuantificar ese riesgo específico. A pesar de esos retos, Ernst & Young colaboró recientemente con Interactive Advertising Bureau para calcular algunas cifras básicas, como informa Forbes. Con un enfoque en el sector de publicidad digital, el estudio descubrió que la publicidad digital, la piratería y el tránsito no válido se unieron para formar un conjunto de factores maliciosos que le cuesta al sector US$8,200 millones por año. Solo la publicidad maliciosa significó una pérdida de ingresos de US$1,100 millones.
Otra razón por la cual la publicidad maliciosa es tan difícil de cuantificar es que, con el paso del tiempo, es cada vez más sofisticada. Lo que antes era solo una imagen con un vínculo a contenido malicioso evolucionó a un método extremadamente sutil y pasivo de inyección que no requiere casi ninguna interacción con la víctima.
La misma tecnología que permite que las publicidades sean animadas y muestren contenido interactivo ahora permite que los criminales ejecuten código malicioso en el dispositivo con solo visualizarlas. A medida que aumenta la complejidad de la publicidad maliciosa, las estrategias que usan las organizaciones para combatirla también deben evolucionar.
¿Cómo se puede integrar esta cuantificación en una estrategia de seguridad móvil exitosa?
Para vencer la creciente amenaza de la publicidad maliciosa, no alcanza con seguir la estrategia de “navegación segura”. Después de todo, según CIO, la publicidad maliciosa afectó a una cantidad récord de usuarios el año pasado cuando algunos de los sitios web más populares mostraron publicidades maliciosas sin saberlo. Conclusión: Lo que necesita para luchar contra una amenaza inteligente es una estrategia inteligente.
El proceso de integración de protección contra publicidad maliciosa en la estrategia actual contra amenazas móviles comienza con los datos. Las herramientas que están impulsadas por esos datos le permiten analizar de manera más exhaustiva el tránsito a veces oculto de las aplicaciones móviles, y los puntos de acceso son la clave para detectar las amenazas antes de que puedan provocar daños. Esas herramientas incluyen monitores a nivel de red y aplicación que pueden detectar patrones de tránsito que se alejan de las normas establecidas. Este proceso destacará aplicaciones y publicidades que están preparando rutas no autorizadas o desviando el tránsito a destinos maliciosos.
Una vez que estén implementados los servicios de monitoreo, el próximo paso debería ser aprovechar el flujo de datos. Las plataformas de monitoreo de seguridad ayudan mucho a aumentar la visibilidad de amenazas móviles, ya que combinan todas las fuentes de amenazas para realizar análisis automatizados y manuales. Las fuentes, como el ambiente de tránsito y los escaneos de terminales, y los sistemas de administración de acceso de identidad proporcionan una visión general del estado del ambiente móvil. El proceso de consolidación de las vistas de seguridad de dispositivos móviles, datos, redes y terminales también lo ayudará a simplificar la administración de infraestructura y reducir la presión de amenazas móviles.
Al final, la publicidad maliciosa es solo una pieza más del complejo rompecabezas de la seguridad cibernética. Cuando implementa herramientas enfocadas en los datos y plataformas de seguridad administrada para analizar la información que se genera, puede estar un poco más tranquilo porque sabe que tiene una perspectiva de seguridad integral de su infraestructura móvil.
