Jose Antonio Perea Yustres

Jefe de la Unidad de Innovación, Gestión Tecnológica y Movilidad en la SGAD (SEFP-MINHAFP) y miembro del Comité Operativo del Centro de Estudios en Movilidad.

1.- Sistema de defensa frente a amenazas móviles (MTD). Definición

Podemos definir la defensa contra amenazas móviles MTD (Mobile Threat Defense) como un grupo de herramientas proactivas de defensa contra amenazas que utilizan una combinación de gestión de vulnerabilidades, detección de anomalías, perfiles de comportamiento, emulación de códigos, prevención de intrusiones, firewall de host y tecnologías de seguridad de transporte para proteger dispositivos móviles y datos con respuestas automáticas a través del EMM corporativo, para mitigar el riesgo.

Las soluciones MTD combinan comprobaciones basadas en firmas con detección de anomalías de comportamiento en el dispositivo, la red y la capa de aplicación. Además, se focalizan en la protección individual más que en la monitorización, asociándose los fabricantes de estas soluciones MTD con las suites EMM, para colaborar con las plataformas de administración de dispositivos móviles y poder actuar en el caso de que sea identificada una amenaza en un dispositivo.

La sinergia entre las soluciones EMM y MTD es lo que va a permitir la mitigación del riesgo basándose en información en tiempo real y en el intercambio de inteligencia. La solución EMM de la Organización aplicará las políticas sobre los dispositivos, en combinación con la inteligencia y detección que proporcionan las soluciones MTD.

Los ciberdelincuentes se concentran en tres vectores principales para realizar ataques a dispositivos móviles:

• Redes.Los ataques de red permiten a los ciberdelincuentes seleccionar sus objetivos, minimizando el riesgo potencial de descubrimiento y concentrando sus esfuerzos únicamente en el objetivo específico. Los ciberdelincuentes pueden configurar fácilmente un hotspot falso, o secuestrar uno existente.
• Aplicaciones móviles. Los ataques basados en aplicaciones móviles maliciosas proporcionan a los ciberdelincuentes las mayores capacidades, lo que les permite comprometer prácticamente cualquier objetivo. Las aplicaciones móviles maliciosas se pueden encontrar en muchos mercados de aplicaciones, tanto oficiales como alternativos.
• Dispositivo.Tanto iOS como Android están plagados de vulnerabilidades que se pueden explotar, y los desarrolladores de aplicaciones móviles luchan constantemente por corregirlas. Desde el momento en que se descubre una vulnerabilidad hasta el momento de su parcheo, los cibercriminales pueden usarla para atacar a usuarios indefensos.

Las soluciones MTD proporcionan seguridad en estos cuatro niveles:

1. Anomalías de comportamiento del dispositivo. Las herramientas de MTD proporcionan detección de anomalías de comportamiento mediante el seguimiento de los patrones de uso esperados y aceptables.
2. Evaluaciones de vulnerabilidad. Las herramientas de MTD inspeccionan los dispositivos en busca de debilidades de configuración que conducirán a la ejecución de malware.
3. Seguridad de red. Las herramientas de MTD supervisan el tráfico de red y desactivan las conexiones sospechosas hacia y desde dispositivos móviles.
4. Escaneos de aplicaciones. Las herramientas de MTD identifican aplicaciones "con fugas" (es decir, aplicaciones que pueden poner en riesgo los datos empresariales) y aplicaciones maliciosas, a través del análisis de reputación y el análisis de códigos.

Las premisas del servicio MTD son:

• Detección de Malware ZeroDay. La solución tiene que tener la capacidad de detección de software malicioso desconocido mediante técnicas avanzadas de detección. No sólo tiene que proteger ante las amenazas conocidas, sino también ante las que aún están por descubrirse. Cada día hay nuevas formas de malware que tienen que ser prevenidos mediante la solución sin llegar a caer en falsos positivos que puedan dar lugar a desatender las alertas por falta de confianza en ellas. Además del software o motores de automatización que intervenga en a la categorización y detección de las amenazas, la solución tiene que contar con un equipo humano detrás que se pueda encargar de realizar el análisis en los casos más profundos. Además, desde la consola de gestión centralizada se tiene que tener visibilidad de todas las alertas de software malicioso y poder integrarse con otros fabricantes para poder realizar una mitigación inmediata del dispositivo.
• Detección de ataques Man in the Middle. La solución tiene que ser capaz de detectar cuando los dispositivos se encuentran bajo un ataque de este estilo y poder prevenirlos. Además, la solución tiene que dar un análisis del tipo de ataque detectado en el dispositivo. Los tipos de ataque a detectar son SSL bumping y SSL Stripping. 
• Detección de Wifis no seguras. Gracias a la tecnología de detección de ataques Man in the Middle se puede determinar también si la wifi a la que se está conectando el dispositivo es legítima o no. La solución tiene que poder alertar y dar la visibilidad de las redes wifis a las que los dispositivos se han conectado. No sólo eso, sino que también desde la consola de gestión central se tiene que poder geolocalizar la red wifi para determinar dónde se encuentra el dispositivo y dar así la inteligencia necesaria para la interpretación de la alerta.
• Protección Anti-Phising vía SMS. La solución tiene que disponer de la capacidad de detección de phishing llegados a través de SMS. Gracias a este tipo de ataque se puede llegar a producir un robo de credenciales y fraude bancario. La detección de las direcciones webs maliciosas incluidas en los mensajes de texto tiene que ser inmediata. Como complemento, también se tiene que poder detectar url maliciosas dentro de direcciones url acortadas.
• Capacidad de implementar protección SS7. La solución tiene que poder detectar cuando la red telefónica del dispositivo está bajo un ataque contra el protocolo SS7. Gracias a este tipo de ataques se puede llegar realizar escuchas de llamadas, redirección de llamadas, lecturas de mensajes de texto y redirección de estos. La solución tiene que tener la capacidad de detectar este tipo de ataques.
• Protección ataques Bluetooth. La solución tiene que poder detectar cuando los dispositivos se encuentran bajo un ataque de Bluetooth del estilo de la vulnerabilidad Blueborne por la cual el atacante podría conseguir un control completo del dispositivo.

Por lo tanto, la defensa contra amenazas móviles puede y debe combinarse con la plataforma EMM para evolucionarlo de forma eficaz en EMM de próxima generación que pueda adelantarse a los atacantes y detener las amenazas en cualquier lugar. En lugar de reaccionar a los ataques después de los hechos, MTD permitirá a la Organización proteger proactivamente los dispositivos y automatizar la remediación.