Debilidades en dispositivos móviles
Los dispositivos móviles nos brindan grandes beneficios como la facilidad de movernos y contar con disponibilidad de información valiosa en cualquier momento. Desde el boom con los smartphone iPhone de apple en el 2007 y la distribución masiva del sistema operativo Android en varios equipos de diferentes marcas del mercado como LG, Motorola y sobretodo Samsung. En Perú mínimo todos tienen un celular Smartphone si hablamos de personas entre 18 a 40 años.
Móvil en la empresa
El boom llegó hasta los cimientos de los procesos centrales del negocio, ahora por ejemplo, hay vendedores que asisten a las microempresas para tomar sus solicitudes de pedidos con un smartphone, el cual accede a los servicios principales de la organización y revisar stock, precios, clientes, etc. También están los analistas de créditos quienes visita a posibles clientes a ofrecerles créditos con una aplicación inteligente instalada en el celular o tablet con el fin de evaluar con ciertos datos brindados, el rango del crédito que se le puede ofrecer a través de un simulador de créditos.
La generación de valor al utilizar una app dentro del negocio es asegurada en un 90% para arriba, esto se debe a su alto retorno de inversión en corto tiempo y su poco gasto empleado en al construcción. Conforme avanzamos en tecnologías estos dispositivos mejoran muchas de sus funcionalidades (mejor resolución de cámaras, mayor memoria RAM, mayor duración de batería, etc.) y reducen sus precios de adquisicion, sin embargo se están descuidando muchos factores en su uso dentro de la organización.
Información delicada en el smartphone
Al ser el smartphone un dispositivo con facilidad de traslado y movimiento, podemos llevarlo a todas partes, inclusive los que no son de nuestra propiedad o mejor dicho, ese smartphone que nos brindó la empresa podemos llevarlo con nosotros a cualquier parte del planeta, y así como nuestros smartphones personales, podemos ser víctimas de hurto o pérdida indebida del dispositivo. La preocupación no es la pérdida del dispositivo en sí, si no la información que va en ese smartphone de la empresa, que pueden contener entre tantas otras cosas: la lista de contactos importantes, credenciales habilitadas, passwords almacenados, fotografías o capturas confidenciales, citas y agendas importantes, en fin, muchas cosas disponibles para la persona que posee un smartphone perdido o robado.
Medidas a nivel de dispositivo
En el dipositivo se debe velar por el aseguramiento de control de acceso al dispositivo mediante bloqueo automático, como por ejemplo contar con una contraseña, patrón de bloqueo, reconocimiento facial, etc. Además los dispositivos deben con un mecanismo de autoapagado remoto en caso de extravío o robo. La información almacenada internamente en el dispositivo deberá estar cifrada y solo accedido en el dispositivo a través de las aplicaciones correspondientes. Recordemos que el dispositivo smartphone cuenta con un sistema operativo el cual debe ser actualizado constantemente como cierre de brechas de inseguridad. Y finalmente se recomienda borrar o deshabilitar todo valor por defecto en el dispositivo.
Medidas a nivel de desarrollo y backend
El dispositivo móvil sigue siendo la última parte de toda la arquitectura de solución en la organización, éste se encargará del input de datos a través de su interfaz móvil, para ello la aplicación desarrollada deberá tener un control interno para validación de entradas apropiadas hasta la capa más interna de la solución (es decir: la base de datos), además de una revisión estricta de no usar urls embebidos en el código para así no ser atacados con defuscación en nuestra aplicación.
En la parte backend existen muchas vulnerabilidades, porque estamos hablando de los servicios disponibles a ser utilizados por el dispositivo móvil o cualquier otro dispositivo que quiera hacer uso de ella, estos pueden ser APIs desarrollados en Java Web, WCF, etc. Y deberían cumplir con estándares de seguridad apropiados, para evitar ataques de fuerza bruta, ataques DoS, ataques de XSS, Inyección SQL, etc.
Consejo audit
Una aplicación móvil empresarial debe tener bastante reguardo y cuidado, pues es un blanco muy fácil de ataques, sobretodo ante el mal uso o falta de conciencia en temas de seguridad por personal ejecutivo o gerencial, ya que ellos son los que más manejan información super confidencial y presentan menos práctica de seguridad en tecnología. Un área de TI debe conocer todas las vulnerabilidades presentes en una aplicación móvil, y reforzar su ciclo de vida de desarrollo, ya que hoy por hoy, las aplicaciones móviles son los más atacados por los hackers.