Las empresas siguen quedándose cortas cuando se trata de proteger los datos corporativos en aplicaciones y dispositivos móviles, según el Informe sobre Seguridad Móvil y Riesgos publicado por MobileIron. Las amenazas móviles están en aumento, pero sólo el 8% de las empresas está aplicando actualizaciones del SO, y menos del 5% está utilizando el software de detección de amenazas móviles.
La recientemente publicada segunda edición del Informe, actualiza los datos del cuarto trimestre de 2015 y analiza un conjunto emergente de amenazas y riesgos, incluyendo fallos de “cumplimiento” empresarial, dispositivos comprometidos y riesgos de pérdida de datos. Por primera vez, el Informe identifica además las tendencias de seguridad de las empresas desde un punto de vista global, incluyendo las administraciones públicas.
«El número de ciberataques móviles está aumentando, pero los datos más recientes muestran que las empresas no están todavía haciendo lo necesario para protegerse» afirmó James Plouffe, responsable de Arquitectura de Soluciones de MobileIron. «Esta falta de atención en lo relativo a la seguridad demuestra el alarmante nivel de pasividad de las empresas, incluso cuando son muchas las soluciones que están actualmente disponibles«.
Ataques móviles en aumento
El informe describe los diferentes nuevos ciberataques móviles que han surgido y que suponen una amenaza para las empresas. La mayoría se basan simplemente en reutilizar viejas tácticas contra servicios móviles específicos, como el uso de SideStepper de Man-In-the-Middle (MITM) contra MDM, en lugar de utilizar nuevas técnicas o explotar nuevas vulnerabilidades. El problema es que cuando los ataques contra los usuarios culminan con éxito, pueden provocar la pérdida de datos tanto personales como empresariales.
Los siguientes ataques móviles surgieron o se agravaron en los últimos seis meses:
- Android GMBot: este spyware controla remotamente dispositivos infectados, con el fin de engañar a las víctimas para que faciliten sus datos bancarios.
- Malware AceDeceiver iOS: este malware está diseñado para robar la ID Apple del usuario.
- «Vulnerabilidad» SideStepper iOS: esta técnica fue descubierta para interceptar y manipular el tráfico entre un servidor MDM y un dispositivo gestionado.
- Asuntos OpenSSL de alta severidad: estas vulnerabilidades pueden repercutir potencialmente en gran número de aplicaciones y servicios, que en última instancia podrían poner en peligro los datos en movimiento de la empresa.
- Malware Marcher Android: este malware ha evolucionado para imitar a las páginas web de bancos, que engañan a los usuarios para introducir su información de inicio de sesión a través de sitios web de comercio electrónico.
Prácticas de seguridad móvil que se mantienen en su mayoría sin cambios ante nuevas amenazas
Los incidentes de seguridad en las TI son con frecuencia el paso previo a una infracción, puesto que dejan expuestos y vulnerables a los dispositivos y aplicaciones, pudiendo poner en peligro los datos de la empresa. Este trimestre experimentó un aumento en los incidentes de “cumplimiento” del empleado y en las prácticas de seguridad de la empresa, incluyendo:
- Pérdida de dispositivos: el 40% de las empresas (tan sólo un 24% en España) ha extraviado dispositivos, hasta el 33% en el cuarto trimestre de 2015.
- Póliticas no actualizadas: el 27% de las empresas (20% en España) disponía de póliticas no actualizadas, hasta el 20% en el cuarto trimestre de 2015.
- Actualizaciones del SO: el 8% de las empresas se vieron obligadas a actualizar el SO, porcentaje comparable al del cuarto trimestre de 2015.
- App de software de reputación: menos del 5% de las empresas desplegaron la app de software de reputación, porcentaje comparable al del cuarto trimestre de 2015.
Dropbox, Line y Google Drive entre las aplicaciones de consumidor que se encuentran en la “lista negra”
Las 10 principales aplicaciones de usuario en la “lista negra” gestionadas con menor frecuencia por las empresas, cambió del cuarto trimestre de 2015 al segundo trimestre de 2016. Entre los nuevos participantes en la lista de los top 10 estánLine y Evernote. Las 10 principales aplicaciones de usuario en la “lista negra” gestionadas con menor frecuencia por las empresas en el segundo trimestre de 2016 son:
1) Dropbox
2) Facebook
3) Angry Birds
4) Skype
5) Line
6) Box
7) OneDrive
8) Google Drive
9) Twitter
10) Evernote
«Cuando una aplicación de consumo que potencialmente puede acceder a datos corporativos o sortear las medidas de seguridad de la empresa es ampliamente aceptada por los usuarios, los departamentos de TI la incluyen en la ‘lista negra’, porque no pueden proteger los datos corporativos de una aplicación que no gestionan» afirmó Plouffe.
Las administraciones públicas luchan por estar al día
Las administraciones públicas tienen fama de disponer de los requisitos más estrictos de seguridad. Curiosamente, son precisamente esos exahustivos procesos de aprobación y control lo que hace que resulte más difícil para los gobiernos estar al día de los últimos cambios, lo que los hace más vulnerables.
A nivel global, las administraciones públicas están menos preparadas para gestionar los incidentes de seguridad que la media global.
- El 61% de las administraciones públicas cuenta con al menos un dispositivo que no cumple con la normativa, comparado con el 53% de la media global.
- El 48% de las administraciones públicas tiene dispositivos extraviados, comparado con el 40% de la media global.
- El 34% de las administraciones públicas dispone de dispositivos que operan con políticas antiguas, comparado con el 27% de la media global.
iOS continúa siendo dominante en el entorno empresarial
El porcentaje de dispositivos iOS aumentó del 78% en el cuarto trimestre de 2015 al 81% en el segundo trimestre de 2016. El correspondiente a los dispositivos Android permaneció estable con un 18% durante ese mismo periodo de tiempo.