user_mobilelogo

Por Nedys Garibaldo

Nedys Garibaldo

 

En la actualidad vivimos en la era de la información. El tener acceso a la información, donde sea y cuando sea, es equivalente a poder. Diversos dispositivos móviles nos brindan, la capacidad de acceder a la información del negocio y poder tomar decisiones, sin importar nuestra ubicación; lo cual es clave en el manejo de negocios, hoy en día. Sin embargo, los riesgos sobre esa información incrementan notablemente.

Entre los principales incidentes en materia de seguridad de las aplicaciones móviles podemos indicar que la mayor parte de las veces, el propio usuario es engañado, ya que descarga y da privilegios a software malicioso.   En casos de pérdida o robo del terminal o actuando a distancia pero cerca del dispositivo se puede realizar el robo de la información, debido a que si no están convenientemente protegidos, los datos almacenados por las aplicaciones pueden ser accedidos fácilmente.

 

Como mencionamos antes, las amenazas pueden venir desde muchas fuentes ya sea de ataques basados en la web y en redes, software malicioso (virus informáticos tradicionales, gusanos informáticos y troyanos), ataques de ingeniería social (phishing), pérdida de datos maliciosa y no intencionada, ataques sobre la integridad de los datos del dispositivo.

Uno de los retos principales para mantener la confianza en los negocios online, es el de la seguridad de las aplicaciones móviles, para lo cual a continuación, detallaremos algunos puntos que deben ser considerados al momento de desarrollar una aplicación orientada a dispositivos móviles en la organización:

 

1. Es importante, seguir las normas de codificación segura aplicables a los lenguajes de programación usados.

2. En la fase de diseño de la aplicación, se aconseja, realizar análisis de riesgo preliminar para identificar objetivos y requisitos generales de seguridad, identificar y valorar la criticidad de la información a ser usada por la aplicación.

3. Efectuar pruebas de posibles casos de abuso, además de las pruebas funcionales que verifican la funcionalidad de los usuarios legítimos de la aplicación.

4. Ejecutar las aplicaciones con los mínimos privilegios requeridos a nivel de sistema operativo y evitar que la aplicación se ejecute con privilegios de administración.

5. Distribuir la aplicación sólo desde apps-store oficiales y monitorizar la existencia de posibles versiones fraudulentas de las aplicaciones.

6. En la medida de lo posible se debe evitar el almacenamiento de información sensible (contraseñas, claves de cifrado, datos personales etc...) en el dispositivo móvil, de ser necesario el almacenarla se recomienda utilizar el espacio reservado a la aplicación, utilizando técnicas de cifrado de la información.  Esta información sensible no debe estar visible en caches, o ficheros de log de la aplicación.

7. Al transmitir los datos mediante nuestras aplicaciones debemos utilizar cifrado de las comunicaciones con SSL/TLS o STS, algoritmos de cifrado fuertes y claves de cifrado robustas, establecer la conexión de la aplicación con el servidor sólo al verificar que el certificado del servidor corresponde con la entidad legítima.  También, es importante, no utilizar SMS o MMS para el envío de información sensible.

8. En el proceso de autenticación, autorización y gestión del usuario en nuestra aplicación es aconsejable brindarle al usuario la posibilidad de cambiar la contraseña de acceso en cualquier momento, mantener logs de aplicación registrando todas las actividades sensibles por parte del usuario (evitando almacenar información sensible de forma evidente), valorar el uso de autenticación fuerte de dos factores.

 

A pesar de todas las inversiones que pueden hacerse con software y licencias de seguridad, la principal vulnerabilidad recae en los usuarios. Deben concientizarse del impacto que generan los dispositivos móviles a las organizaciones para evitar descuidos y brechas de seguridad que pongan en peligro al negocio.