viernes, 23 de septiembre de 2011

Seguridad en telefonía móvil. 3 Conceptos de seguridad en telefonía móvil

3. Seguridad en telefonía móvil

3.1 Características de los dispositivos actuales
Los teléfonos móviles ( o celulares como se les conoce en el mundo sajón) se han convertido en una herramienta indispensable hoy en día. Su reducido tamaño y relativo bajo coste hacen de ellos la herramienta ideal, no sólo para llamadas de voz, envío de mensajes de texto o manejo de información personal (PIM) (p.e. Agenda telefónica, calendarios y anotaciones) sino que pueden incluir numerosas funciones hasta hace poco propias de ordenadores personales: envío de e-mail, navegación Web, almacenamiento y modificación de documentos, realización de presentaciones, acceso remoto a datos,....

Los teléfonos móviles son, por tanto, similares a otros sistemas electrónicos como pueden ser PDA o incluso ordenadores personales, pero presentan algunas características específicas que los hacen diferentes al resto de dispositivos y que además repercute de modo directo en cuanto a los requerimientos de seguridad. Probablemente la mayor diferencia con respecto al resto de dispositivos reside en que son capaces de soportar comunicaciones a través de más de un interfaz de radio a sistemas de comunicaciones inalámbricas.


En cuanto a sus características técnicas, los teléfonos móviles suelen ser de tamaño compacto, alimentados por baterías y ligeros. Disponen de varios tipos de ROM y de RAM y en la actualidad se están extendiendo el uso de pantallas táctiles. Incluyen un módulo de radio, un procesador de señal digital y un micrófono y un altavoz. Suelen usar una Flash ROM, una memoria de tipo persistente para almacenar los datos de usuario. El sistema operativo del móvil reside también en una ROM. Suelen contener cámara de fotos y vídeo, receptor de GPS (Global Positioning System).

Suelen incluir slots para tarjetas de tamaño reducido (por ejemplo Mini secure Digital (MiniSD) con lo que nos permiten ampliar el espacio de almacenamiento o conectarnos a otros periféricos , como por ejemplo con las tarjetas Wi-Fi SD Input Output (SDIO). Además de la posibilidad de conectarnos a las redes de telefonía habituales, suelen permitir otros tipos de comunicaciones como infrarrojos (IrDA), Bluetooth, actualmente numerosos dispositivos incluyen Wi-Fi y se espera que dentro de poco comiencen a incorporar WiMAX (Worldwide Interoperability).

Aunque todas estas características proporcionan numerosas ventajas conllevan también una serie de inconvenientes y riesgos, entre los que podríamos incluir los siguientes:
  • Debido a su reducido tamaño es más común su robo o pérdida lo que hace que el acceso a la información que albergan o el acceso remoto a la misma sean relativamente más sencillos.
  • Las redes de comunicación, las sincronizaciones con nuestros equipos de mesa y las tarjetas de almacenamiento que conectamos a nuestros teléfonos se pueden emplear para la distribución de malware. Una vez instalado en nuestros equipos pueden iniciar un amplio abanico de ataques y replicarse a sí mismo.
  • Al igual que los ordenadores, los celulares son víctimas de spam pero en este caso a través de mensajes de voz o texto además de los usuales correos electrónicos. Además del engorro de tener que borrarlos en este caso además pueden conllevar el cargo de una cantidad económica en concepto de datos entrantes. Además, igualmente, puede ser usado para intentos de phising.
  • También podemos ser víctimas del espionaje de nuestras llamadas, mensajes o de la información transmitida de modo inalámbrico de varios modos. La instalación de software espía es la más sencilla, pero también se podría capturar la información transmitida espiando las comunicaciones (ondas).
  • Otro problema puede ser la localización de cualquier usuario registrado a través del móvil, que puede ser empleado con fines ilegítimos.
  • También suelen guardar un registro de nuestras llamadas y mensajes, el cual si tienen acceso a nuestro terminal podría revelar información confidencial.
  • Es posible clonar algunos teléfonos. Aunque estas técnicas eran relativamente sencillas con los terminales analógicos, hoy en día con el auge de las redes digitales es más complicado aunque algunos terminales “tempranos” se han mostrado vulnerables.
  • Por último, en la actualidad se realizan pagos mediante el uso del teléfono móvil y se espera que dichos pagos sean, no sólo más frecuentes, sino que incluso puedan llegar a ser un método de pago predominante.
Todo ello hace que los requisitos y mecanismos de seguridad sean uno de los objetivos primordiales en cada una de las nuevas generaciones de telefonía móvil. En cualquier caso, el número de incidentes debidos por ejemplo a malware en móviles hasta el momento, han sido limitados debido entre otras cosas a que no hay, hasta la fecha, un sistema operativo predominante en estos dispositivos lo que complica este tipo de ataques. Ésto podría cambiar en los próximos años si tal y como auguran los directivos de algunas compañías la tendencia del mercado es la predominancia de android y los nuevos ios de apple y windows phone. Además hemos de tener en cuenta que si bien el código abierto facilita y posibilita la revisión del mismo también facilita su expansión y conocimiento por usuarios desarrolladores de malware.

Otro factor que por el momento, ha servido para asegurar los sistemas es que las operadoras emplean sistemas cerrados dónde ejercen un control absoluto sobre los dispositivos, las aplicaciones y sus redes.
3.2.- Aspectos generales de seguridad.
Partiendo de la la base de que el único dispositivo seguro es aquel que se encuentra desconectado y encerrado en algún lugar inexpugnable es evidente que nunca se puede tener la certeza absoluta de la seguridad de un sistema informático. En cualquier caso la seguridad informática englobará un conjunto de técnicas encaminadas a obtener altos niveles de seguridad en los sistemas informáticos y de comunicación.

Las ventajas derivadas de la movilidad conllevan también una serie de desventajas en lo que se refiere a la seguridad de las comunicaciones por tratarse de un medio de comunicación compartido y accesible, que todo el mundo puede escuchar. Teniendo esto en cuenta, se ha de alcanzar cierto grado de compromiso entre la seguridad necesaria y los datos, ya que unas medidas de seguridad excesiva pueden sobrecargar aplicaciones y procesador en nuestro terminal y que podrían ser, por ejemplo, innecesarias en el caso de estar visionando una película o insuficientes en el caso de transacciones bancarias. Atendiendo a ésto, los desarrolladores de aplicaciones deben proporcionar un nivel de seguridad adecuado para cada tarea, que puede ir desde un Nivel bajo, donde la información se puede salvaguardar con técnicas simples de cifrado y PKI (Public Key Infraestructure); a un Nivel medio dónde se almacena algún tipo de información personal (tarjeta de crédito por ejemplo) y que requerirán técnicas de cifrado fuertes y PKI; y finalmente un Nivel Alto para transacciones económicas importantes y que pueden requerir incluso el uso de hardware específico.

Además de los problemas ya citados previamente y derivados del uso de estas nuevas tecnologías existen otros aspectos como autenticidad, confidencialidad, integridad y no repudio que constituyen los pilares de una comunicación segura por lo que son vitales a la hora de contemplar las comunicaciones electrónicas:
  • Autenticidad: Las entidades participantes en una comunicación deben ser identificadas de manera inequívoca antes del comienzo de una comunicación. Se trata, por un lado, de evitar la suplantación de identidad de alguno de los participantes y por otro el envío de datos confidenciales a un destinatario erróneo.
  • Confidencialidad: los datos que forman parte de una conversación no deben ser leídos por ninguna persona ajena a la misma. En el caso de que los datos sean interceptados deberían permanecer ilegibles para cualquier persona ajena y que no sea autenticada como perteneciente a dicha conversación. En el caso de la telefonía móvil también se debe evitar la posibilidad de que un intruso pueda averiguar que suscriptor está utilizando un servicio de radio y pueda localizar al usuario.
  • Integridad: es básico asegurar que la información que se envía llega inalterada a destino, de modo que el destinatario pueda estar seguro de que los datos recibidos no han sufrido ningún cambio por el camino: borrado, copia, reordenación, modificación,...
  • No repudio: tiene que ser posible certificar, en el caso de comunicaciones importantes, tanto el envío como la recepción de los datos, de modo que ni el emisor pueda negar haber enviado los datos, ni el receptor haberlos recibido.



     << Anterior                                                                                                                Siguiente >>
    Resto de entradas sobre seguridad en telefonía móvil y bibliografía en el enlace http://tecnoloxiaxa.blogspot.com/2011/09/seguridad-en-telefonia-movil.html