Eusebio Nieva Hernández Director Técnico de Check Point para España y Portugal Eusebio Nieva Hernández es desde el año 2001 el Director Técnico de Check Point para España y Portugal. Es diplomado en Informática por la Universidad de Extremadura, tiene una extensa formación en Gestión de Sistemas y Redes y cuenta con amplia experiencia en el sector.

Con el término Botnets Móviles (Mobile Botnets o convertir los móviles en una red de zombies es decir, equipos controlados remotamente sin el permiso del usuario) intentamos denominar aquellos Bots específicamente diseñadas para atacar dispositivos móviles como smartphones, intentando tener acceso completo al dispositivo y cediendo su control al constructor de dicho Botnet. Esta tendencia es una de las que se ha pronosticado que se convertirá en una de las amenazas más importantes durante los próximos años, dado que el uso de tales dispositivos ha crecido de forma exponencial durante el último lustro, tanto en el ámbito personal como en el empresarial. En este último caso sobre todo debido a la tendencia del BYOD (Bring Your Own Device). Algunos pueden considerar que esta amenaza es únicamente teórica o solamente objeto de estudio académico pero, desgraciadamente, ya existen ejemplos prácticos de ataques que, si bien no han conseguido resultados demasiado “jugosos” desde el punto de vista del atacante, sí que son una muestra de dónde se puede llegar con este tipo de amenazas tecnológicas. Desde la aparición del primer gusano orientado a dispositivos móviles (Cabir) en 2004, pasando por el primer botnet para este tipo de dispositivos (SymbOS.Yxes) en 2009, la técnicas tanto de C&C (o Command and Control es decir el canal a través del que reciben comandos los bots para realizar accione no deseadas) como de ocultación de estas amenazas se han refinado progresivamente.

En las técnicas de C&C se ha pasado del uso preferente de SMS como método de comunicación al uso de http sobre wifi. Entre las técnicas de ocultación se encuentran por ejemplo los diseños específicos para evitar el  agotamiento anormal de la batería, el uso moderado de los canales de comunicación de datos 3G (o evitar su uso excepto cuando la conexión del dispositivo es a través de wifi), intentos de superar las técnicas comunes de defensa como DNS sinkholes, IP reputation, C&C server shutdown..etc.

El proceso de infección de estas piezas de software malicioso puede realizarse usando diferentes métodos que dependen del estado del Smartphone:

 •  Smartphone normal (sin jailbreak o rooting): Aplicación infectada con un “local root/jailbreak exploit”
 •  Smartphone “rooted” o “jailbreaked” (¿Que es esto?): Aplicación infectada
 •  Ataque Remoto: Exploit root remoto (para dispositivos rooted o no)

Existen ejemplos ilustrativos de todos los anteriores métodos pero cabe destacar que ningún fabricante parece invulnerable ante cualquiera de los ataques anteriores.

Ejemplos de los ataques de este tipo incluyen el Ikee-B worm que afectó a los dispositivos iPhone, el malware Dream Droid que tomó el control de un número estimado de 260,000 dispositivos Android a través de la infección de unas decenas de aplicaciones aparentemente inócuas,. La variante de ZeuS (Zitmo) dirigida contra usuarios de BlackBerry u otros como CommWarrior y Sexy Space que afectaban a dispositivos Symbian.

Si esta es la situación para años anteriores, la predicción para los próximos años muestra la tendencia de que el malware móvil se convertirá en una amenaza mayor y más “profesionalizada”.

El hecho adicional que muchos de estos dispositivos se conectan a través de redes wifi corporativas cuando ya están infectados y que los sistemas tradicionales no son capaces de detectar estos dispositivos móviles infectados hacen de la amenaza algo mucho más preocupante tanto en el ámbito personal como en el empresarial. En el ámbito personal porque cada vez tenemos un mayor número de datos sensibles alojados en nuestro dispositivo Smartphone y además surgen nuevas aplicaciones y usos de nuestros dispositivos que los hacen aún más sensibles como aplicaciones que guardan nuestros passwords y PINs, aplicaciones de pago móvil, acceso a banca electrónica… y en el ámbito empresarial porque los dispositivos de este tipo son cada vez más utilizados, con un acceso a datos más sensibles y con un control a veces limitado por parte de los administradores de la compañía, en gran parte debido al anteriormente mencionado BYOD (que algunos malintencionados interpretan como Bring Your Own Disaster).

Si bien, como comentábamos antes, los daños de este tipo de malware han sido limitados (fraude de SMSs y llamadas telefónicas - también denominado pickpoketing), a nadie se le escapan las posibilidades criminales de ataques diseñados ex profeso para este tipo de plataformas. Un dato que puede darnos una idea de la magnitud de la amenaza es que en algunos estudios se estima que la probabilidad anual de que un usuario de Android entre en contacto con malware ha pasado de un 1% a un 4%. Los vectores de ataque basados en web son considerados también un factor importante estimándose en más de un 30% la probabilidad de que un usuario de Android se dirigiera a un enlace inseguro durante 2011, incluso los dispositivos iOS han sido objetivo específico de sitios web diseñados especialmente para su “jailbreak”. Todos estos datos demuestran que la amenaza es real y crece de forma paralela a la penetración de estos dispositivos en el mercado empresarial y residencial.

Todo lo anterior exige que nuestras redes empresariales cuenten con medidas específicamente diseñadas para detectar y bloquear este tipo de amenazas utilizando para ello tecnologías multicapa adecuadas. O, por el contrario, sufriremos, dentro de nuestras redes corporativas, el uso malicioso de dispositivos móviles tanto para atacar objetivos externos (SPAM, DDoS…) como para atacar objetivos internos (robo de información, DoS…)