Mobileiron ha superado las pruebas que exige el laboratorio que acredita las plataformas del CCN. Hablamos con Daniel González, senior key account de Mobileiron, de la evolución de la seguridad.
¿Qué buscan los ciberdelincuentes cuando acceden a un móvil?
Lo más importante es poder instalar un aplicativo para espiar al usuario durante el máximo tiempo posible, sin que el propio usuario se de cuenta. De esta forma, podrá analizar sus movimientos: saber donde vive, donde trabaja, a qué colegio lleva a sus hijos, etc. Tendemos a pensar solo en las fotos que nos pueden robar, pero, probablemente, es lo que menos les interese. Dado que operamos y realizamos transacciones a través de aplicaciones desde el móvil e introducimos códigos de tarjetas de crédito y contraseñas de plataformas de pago, lo más importante para el ciberdelincuente es poder suplantar la identidad de usuario y efectuar compras.
¿Qué porcentaje de móviles corporativos en España están gestionados?
Según la Comisión Nacional de los Mercados y la Competencia (CNMC), el número de líneas móviles corporativas en España a septiembre de 2019 fue de 10,8 millones de líneas, de las cuales solo algo más de 700.000 dispone de algún tipo de solución de gestión corporativa. Esto nos lleva a la preocupante conclusión de que el 93,7% de los móviles corporativos no dispone de ningún tipo de gestión, una medida imprescindible para poder garantizar que los equipos tengan instalada la última versión del sistema operativo y de sus parches de seguridad, entre otras medidas.
¿Cuál es el mayor beneficio que tiene para el usuario de la autenticación biométrica?
Cuando hablamos de seguridad lo asociamos al uso de un código de usuario y una contraseña. Llevamos años utilizando este método para identificar al usuario y garantizar un mínimo de seguridad. Pero todos hemos conocido noticias de robos de contraseñas, desde hace muchos años. Con la incorporación de los lectores biométricos en los smartphones (huella dactilar, iris y reconocimiento facial) disponemoseguridad s ya de una nueva forma de identificar al usuario sin necesidad de introducir códigos y sin correr el riesgo de que perdamos o nos roben las contraseñas. Para el usuario, esta es la forma más rápida, ágil y agradable de identificarse y acceder. Para el responsable de seguridad, los sistemas utilizan certificados digitales, uno de los procedimientos más seguros que existen. Disponemos, por tanto, de un sistema sencillo para el usuario pero seguro para el responsable de la seguridad.
¿Qué precauciones tiene que tomar el usuario para actuar de forma segura con las redes WIFI?
Hasta que los protocolos de seguridad evolucionen al WPA3, el usuario debe de ser consciente de que lo peor que puede hacer es marcar la casilla de “conéctate automáticamente la próxima vez” cuando se conecte a cualquier wifi, sea la de su casa o la de la oficina. Al marcar esa casilla, el usuario está permitiendo que cualquier ciberdelincuente pueda entrar en su móvil si olvida el wifi activado.
¿Qué no tienen en cuenta (o de qué se olvidan) las empresas en relación a la seguridad de los móviles (esto está relacionado con la normativa del GDPR)?
Olvidamos que para un ciberdelincuente no hay diferencia entre un móvil corporativo o un móvil personal. Al ciberdelincuente no le importa quién ha pagado el móvil; lo único que necesita es que ese móvil al que va a atacar disponga de acceso a internet y tenga una cuenta de correo corporativa configurada. Desde cualquier dispositivo móvil que tenga la empresa (sea corporativo o BYOD) con acceso al directorio corporativo, el ciberdelincuente podrá hacer mucho daño a la compañía; como por ejemplo robar el listado de los empleados, suplantar la identidad, introducir un APT, etc.
¿Por qué solo Mobileiron ha conseguido la cualificación del CCN (Centro Criptológico Nacional)?
Hemos sido la única plataforma que ha conseguido superar las duras pruebas que exige al sistema el laboratorio que acredita las plataformas del CCN. Nuestra plataforma está disponible en versión cloud y en versión on -premise. La versión preferida por defecto por el Gobierno de España es la on premise. Nuestra plataforma Onpremise ha sido diseñada desde su inicio para estar optimizada a nivel de recursos necesarios y seguridad. Esto ha hecho que las pruebas se hayan podido superar y se haya conseguido además en tiempo récord.
¿Cuál es la reacción que están teniendo los clientes a su propuesta?
El anuncio de ser la primera plataforma UEM en conseguir superar las pruebas ha sido recibida por los clientes como algo sorprendente, ya que han constatado que otras plataformas llevaban cerca de 3 años intentandolo y a fecha de hoy todavía no lo han conseguido. Y no solo es necesario pasar las pruebas satisfactoriamente. Para presentarse, primero se han de aportar acreditaciones de certificaciones internacionales que tampoco son nada fáciles de obtener, como son la Fips 140-2, la Common Criteria y la SOC Tipo 2. Aquellos clientes preocupados por cumplir con el ENS (Esquema Nacional de Seguridad) nos han contactado para diseñar un plan de implementación con carácter de urgencia.
«Mobileiron es la única empresa que ha superado las duras pruebas que exige al sistema el laboratorio que acredita las plataformas del CCN»
¿Qué es lo que más les llama la atención a los clientes?
Principalmente la rigidez de la plataforma a nivel de seguridad, y al mismo tiempo la sencillez de la instalación. Al no depender de soluciones de terceros (sistemas operativos o bases de datos) los vectores de ataque son mínimos y los requisitos técnicos están muy optimizados, lo que hace que la puesta en marcha de la plataforma se consiga hacer en tiempo récord comparado con otras soluciones que existen en el mercado.
¿Prestan las empresas suficiente atención a la seguridad en dispositivos móviles de la misma forma que lo hacen con su infraestructura fija?
La seguridad de los dispositivos móviles es la gran asignatura pendiente. Esto se debe principalmente a dos factores: el miedo a violar la privacidad del usuario y la complejidad y actualización continua de los sistemas móviles, ambos cubiertos desde hace años por la plataforma. Por este motivo, las empresas y organismos que implementan esta plataforma pueden estar tranquilos de cumplir con reglamentos como el GDPR y despreocuparse de los cambios que traen las nuevas versiones de sistemas operativos. Esto queda garantizado por la única plataforma certificada para cumplir con el ENS (Esquema Nacional de Seguridad). Este esquema forma parte del paraguas del European CyberSecurity Act (ECSA), que permite que otros países de Europa puedan utilizar esta plataforma en sus países, en los que todavía no existen plataformas UEM certificadas localmente
¿Por qué las empresas no prestan suficiente atención a la protección del perímetro?
Existe todavía mucha tradición en la seguridad del perímetro local, el de los CPD y puestos de trabajo de las oficinas. Sin darnos cuenta, los smartphones y tablets han ganado terreno y no nos hemos parado a pensar que en muchos casos (el 93,7% en España) ni siquiera disponemos de la posibilidad de comprobar si el dispositivo tiene el precinto de seguridad roto, lo que llamamos jailbreak en dispositivos iOS o root en dispositivos Android. Entrar a un servidor central de correo de una empresa es mucho más fácil a través de un móvil que tiene credenciales de acceso de un empleado; ¿para qué perder tiempo en atacar el CPD?¿a través de cuántos móviles podría intentar acceder a esos servicios corporativos que residen en un CPD o en una nube?
¿Qué ha cambiado en el mundo de la seguridad con la estandarización de la nube?
Las empresas han valorado la agilidad y sencillez con la que se puede empezar a trabajar con una solución en la nube, pero han dado por supuesto que todos los proveedores de nube disponen de los mismos sistemas de seguridad. Y en algunos casos (pensamos que con un buen login, contraseña y quizás incluso con un doble factor de acceso), es suficiente. Pero ¿qué ocurre si un empleado que dispone de su login, su contraseña y su doble factor llega a casa y utiliza estos datos para acceder desde la tablet que tiene en casa? Por supuesto, el sistema le deja acceder. Pero ¿y si esa tableta está hackeada? Ese es el gran riesgo. El empleado entiende que con tantas medidas de seguridad nada malo le podrá pasar, pero no es así. Hay medidas que, cuando hablamos de la combinación de movilidad y nube, se han quedado obsoletas.
¿Son un riesgo los entornos multi-cloud?
Cualquier entorno puede suponer un riesgo si no se adoptan las medidas de seguridad adecuadas. Existen ya sistemas que permiten disponer de los mejores controles de acceso sin perjudicar la usabilidad del usuario y sin asumir riesgos como empresa. La combinación de movilidad, biometría y nube puede ser el futuro seguro que usuarios y empresas deseamos desde hace años.
¿Cómo ayudáis a una empresa que después de leer este artículo quiera ponerse manos a la obra?
Disponemos de 12 distribuidores certificados y con experiencia en la implementación de la plataforma que ayudan a nuestros clientes a instalarla y configurarla para poder cumplir con el ENS. El primer paso es analizar desde cuántos dispositivos móviles pueden actualmente atacar a nuestra empresa u organismo. En este primer paso, tendremos las primeras sorpresas. El ratio que nos encontramos en España es de entre el 1.4 y el 1.6. Si disponemos de 1000 cuentas de correo electrónico, encontraremos entre 1400 y 1600 dispositivos configurados que pueden ser utilizados para robarnos información o entrar en nuestros servicios. A partir de aquí, en menos de dos semanas, podemos empezar a securizar los dispositivos. Además, disponemos de la posibilidad de probar la plataforma en modo try&buy. No duden en contactarnos a través de nuestra web (www.mobileiron.es).