Guia per protegir i utilitzar de forma segura el mbil

[S02] Guies de seguretat TIC.

El contingut de la present guia s titularitat de la Fundaci Centre de Seguretat de la Informaci de Catalunya i resta subjecta a la llicncia de Creative Commons BYNC-ND. Lautoria de lobra es reconeixer mitjanant la inclusi de la segent menci:

Respecte daquesta llicncia caldr tenir en compte el segent:

Modificaci: Qualsevol de les condicions de la present llicncia podr ser modificada si vost disposa de permisos del titular dels drets.

Altres drets: En cap cas els segents drets restaran Obra titularitat de la Fundaci Centre de Seguretat de la Informaci de Catalunya. Llicenciada sota la llicncia CC BY-NC-ND. La present guia es publica sense cap garantia especfica sobre el contingut. Els drets del titular sobre els logos, marques o qualsevol altre element de propietat intellectual o industrial incls a les guies. Es permet tan sols ls daquests elements per a exercir els drets recone2

afectats per la present llicncia:.

guts a la llicncia. Els drets morals de lautor. Lesmentada llicncia t les segents particularitats: Vost s lliure de: Els drets que altres persones poden tenir sobre el contingut o respecte de com sempra la obra, tals com drets de publicitat o de privacitat. Copiar, distribuir i comunicar pblicament la obra. Avs: En reutilitzar o distribuir la obra, cal que sesmenSota les condicions segents: tin clarament els termes de la llicncia daquesta obra.

Reconeixement: Sha de reconixer lautoria de la obra de la manera especificada per lautor o el llicenciador (en tot cas no de manera que suggereixi que gaudeix del seu suport o que dona suport a la seva obra).

El text complert de la llicncia pot ser consultat a http://creativecommons.org/licenses/by-ncnd/3.0/es/legalcode.ca.

No comercial: No es pot emprar aquesta obra per a finalitats comercials o promocionals.

Sense obres derivades: No es pot alterar, transformar o generar una obra derivada a partir daquesta obra.

Guia per protegir i utilitzar de forma segura el mbil

Qui fem aquesta guia

El Centre de Seguretat de la Informaci de Catalunya, CESICAT, s lorganisme executor del Pla nacional dimpuls de la seguretat TIC aprovat pel govern de la Generalitat de Catalunya el 17 de mar de 2009. La missi daquest pla s la de garantir una Societat de la Informaci Segura Catalana per a tots. Amb aquesta finalitat, es crea el CESICAT com a eina per a la generaci dun teixit empresarial catal daplicacions i serveis de seguretat TIC que sigui referent nacional i internacional. El Pla nacional dimpuls de la seguretat TIC a Catalunya sestructura al voltant de quatre objectius estratgics principals que seran desenvolupats pel CESICAT: Executar lestratgia nacional de seguretat TIC establerta pel Govern de la Generalitat de Catalunya Donar suport a la protecci de les infraestructures crtiques TIC nacionals Promocionar un teixit empresarial catal slid en seguretat TIC Incrementar la confiana i protecci de la ciutadania catalana en la societat de la informaci. La forma jurdica del CESICAT s la de fundaci del sector pblic de ladministraci de la Generalitat. Amb lobjectiu de proporcionar unes bones prctiques i uns coneixements mnims en seguretat de la informaci, el CESICAT ofereix com a servei preventiu un conjunt de guies de seguretat adreades a ciutadans, empreses, administracions pbliques i universitats. www.cesicat.cat
3

ndex temtic
Llicncia ds Qui fem aquesta guia I aquesta guia, per a qui s?
Abast de la guia Aspectes legals i normatius

Recomanacions
Com protegir laccs fsic Com protegir les meves dades Filtraci de dades Robatori dinformaci Prdua dinformaci Com protegir-me dels virus Que fer en cas de prdua. Com connectar-me a una xarxa sense fils de forma seguraa Bones prctiques en telefonia mbil.

Pas a pas
Cinc cntims dhistria i evoluci de la telefonia mbil
4

Les relacions humanes a labast de la m Loficina a la teva butxaca

Riscos de la telefonia mbil

M he quedat sense mbil. Prdua o robatori No paren de trucar-me per demanar les meves dades personals Missatge amb remitent sospits Aquesta aplicaci fa coses rares He perdut totes les dades! Aquestes fotos eren privades! Xarxes sense fils

Conclusions Glossari Referncies i enllaos web

Guia per protegir i utilitzar de forma segura el mbil

I aquesta guia, per a qui s?

Aquesta guia est adreada a totes aquelles persones que utilitzen dispositius mbils, ja siguin terminals bsics per realitzar nicament trucades de veu i enviar missatges de text, o terminals ms avanats com ara PDA o smartphones, que poden accedir a un conjunt ms extens daplicacions i serveis a la xarxa.

Abast de la guia
Aquesta guia vol proporcionar una visi global de la seguretat vinculada a la telefonia mbil i un conjunt de bones prctiques que permetin a lusuari fer-ne un s correcte. En cap cas sha desenvolupat la guia pensant en un tipus de dispositiu, aplicaci o servei de telefonia concret.

Aspectes legals i normatius

Pel que fa als aspectes legals, en el desenvolupament de la present guia sha tingut en compte la normativa vigent en matria de comunicacions electrniques i per al tractament de les dades de carcter personal en la seva prestaci. A efectes merament informatius, els serveis de comunicacions electrniques estan subjectes a la segent normativa: Llei 32/2003, de 3 de novembre, General de Telecomunicacions. Reial Decret 899/2009, de 22 de maig, pel qual saprova la carta de drets dels usuaris dels serveis de comunicacions electrniques. Reial Decret 2296/2004, de 10 de desembre, pel qual saprova el Reglament de mercats de comunicacions electrniques, accs a les xarxes i numeraci. Reial Decret 424/2005, de 15 dabril, pel qual saprova el Reglament sobre les condicions per a la prestaci de serveis de comunicacions electrniques, el servei universal i la protecci dels usuaris. Llei 15/1999, de 13 de desembre, de protecci de dades de carcter personal. Reial Decret 1720/2007 de desenvolupament de la Llei Orgnica de protecci de dades.

s en virtut daquesta normativa que la utilitzaci dels serveis de telefonia mbil i prestacions associades queda clarament regulada i preveu diferents mesures per mitigar possibles prestacions defectuoses. Malgrat aix, en matria de seguretat les mesures preventives seran les que tindran un major impacte per tal devitar situacions desagradables. .

Guia per protegir i utilitzar de forma segura el mbil

Pas a pas
Cinc cntims dhistria i evoluci de la telefonia mbil
Des de la dcada dels 40, la telefonia mbil no ha parat devolucionar. Els seus inicis van ser militars, per, com ha passat amb molts altres invents, de seguida se li van trobar possibilitats i aplicacions per al ciutad. Lany 1973, lenginyer electrnic i inventor Martin Cooper, considerat el pare de la telefonia cellular, va introduir el primer radiotelfon a lempresa Motorola dels Estats Units. Lany 1979, una empresa japonesa ubicada a la ciutat de Tokyo (NTT, Nippon Telegraph & Telephone Corp.) va presentar el primer sistema comercial de telefonia cellular. La primera generaci de telefonia mbil tamb data de lany 1979, amb tecnologia analgica i noms amb servei de veu. La introducci de la tecnologia digital va arribar amb la segona generaci a principis dels anys 90, moment en qu es comena a parlar de GSM (Global System Mobile Communications) i PDC (Personal Digital Communications). El GPRS es va introduir amb la generaci 2.5 amb lobjectiu de millorar la velocitat de la transferncia de les dades. Finalment, parlem de 3G, tercera generaci de telefonia mbil on pren protagonisme laccs a serveis multimdia, Internet, veu IP... En aquesta generaci, el servei de dades passa a tenir tanta importncia com el de veu, i encara ms amb laugment de velocitat de lanomenada 3.5G (HDSPA, HSUPA, HSPA+...). Pel que fa a la funcionalitat, en els ltims anys sha produt una convergncia entre els telfons mbils tradicionals utilitzats nicament per als serveis de veu i missatgeria curta i els dispositius de m per a gesti de la informaci personal (PDA). Sobretot, ls dels anomenats smartphones sha ests entre els usuaris que volen estar permanentment connectats al correu electrnic, la missatgeria instantnia o les xarxes socials, ja sigui per motius de treball o doci.
7

Les relacions Loficina a humanes a labast la teva butxaca de la m

Les xarxes socials es van crear com una extensi de la vida material cap al mn virtual per aprofitar els avantatges en la comunicaci que proporciona Internet. Ls de les xarxes socials ha crescut enormement en els ltims anys fins a convertir-se en una referncia de comunicaci social. Entre els serveis dInternet que ms sutilitzen hi ha el de missatgeria instantnia i ls de les xarxes socials. Actualment sutilitza principalment el telfon mbil com a mitj per comunicar-se de forma intensiva, parlar amb els amics, pujar fotos, comentar el que sest fent o es
8

Les noves generacions de telefonia mbil, en conjunci amb la contnua evoluci tecnolgica, han perms que puguem realitzar les nostres tasques laborals des dun telfon mbil, a distncia i des de qualsevol lloc on tinguem cobertura del nostre provedor de telefonia. La tercera generaci de telefonia mbil permet estar en tot moment connectat a Internet, i ofereix serveis basats en el trfic de dades com ara la missatgeria instantnia, realitzar trucades per veu IP, integraci amb eines de collaboraci, cpia de seguretat remota, comunicacions segures, accs a xarxes virtuals (VPN), videotelefonia, sistemes de localitzaci, possibilitat de configuraci dextensions curtes internes... Tecnolgicament, els terminals avanats, com ara smartphones o PDA, permeten lexecuci de tot tipus daplicacions ofimtiques, comunicaci, compres, finances, multimdia, banca... A ms a ms, el mercat proporciona la informaci i les eines necessries per poder desenvolupar aplicacions internes per a lempresa, intentant aix donar cobertura a qualsevol necessitat que no pugui cobrir el mateix mercat. En resum, podem disposar de terminals mbils connectats a Internet i a la xarxa corporativa amb les mateixes funcionalitats que un porttil o ordinador de sobretaula.

far... Les xarxes socials permeten rebre i enviar un missatge amb un impacte multitudinari en poc temps, i donen aix la possibilitat quasi instantnia de poder comunicar-se amb persones darreu del mn. No hem doblidar que un dels punts forts que sest potenciant a les xarxes socials s la localitzaci. Saber on s la persona amb qui ests parlant permet poder oferir-li serveis en funci de la seva localitzaci, oferir-li contactes, amics o grups per proximitat i amb les mateixes aficions... Tecnolgicament, els nous models de telfons mbils disposen dels requeriments necessaris per poder estar connectats en tot moment a Internet i executar les aplicacions necessries per interactuar amb qualsevol tipus de xarxa social. A ms a ms, la majoria de xarxes socials posen a disposici de lusuari laplicaci adaptada per al seu mbil sense cap cost associat, i fins i tot existeixen xarxes socials dissenyades especficament per a mbils.

Guia per protegir i utilitzar de forma segura el mbil

Riscos de la telefonia mbil

M he quedat sense mbil. Prdua o robatori
Les exigncies del mercat i loferta de nous serveis de la tecnologia mbil fan que cada vegada hi hagi ms quota dutilitzaci de telfons intelligents o avanats, que tenen un alt cost i una mida cada cop ms reduda. Aix, juntament amb lexistncia duna demanda al mercat submergit de productes robats, fa que existeixi un alt risc de robatori de telfons mbils.

No paren de trucar-me per demanar les meves dades personals

A qui no li han trucat des dun telfon que no pot identificar o del qual no en coneix el nmero? La persona que truca sidentifica com a treballadora de loperadora de telefonia mbil o duna empresa que ens presenta una oferta interessant.

La finalitat de la trucada sempre s la mateixa: ens acaben demanant dades internes de consum, dacreditaci o personals. En casos molt concrets, ens poden arribar a demanar introduir dades via teclat per donar la falsa aparena de privacitat, o executar accions al nostre mbil que desconeixem i no podem controlar.
9

Hem de ser conscients de limpacte que pot tenir per a la nostra vida quotidiana la prdua o robatori del nostre mbil. No noms pel possible s fraudulent dels serveis que tinguem contractats, sin per la prdua o s illegtim de les nostres dades, agenda de contactes personals, missatges de text enviats o rebuts, galeria de fotos, documentaci que tinguem emmagatzemada, credencials daccs a serveis a la xarxa com ara bancs, pgines dempresa, correu...

Lobtenci daquestes dades podria permetre la contractaci o modificaci de serveis al nostre nom, o fer-se servir per atacs ms elaborats que acabarien repercutint en una despesa no controlada, o en altres perjudicis tcnics i legals.

s, per tant, molt important tenir present quines dades sn les que tenim emmagatzemades en el nostre mbil, quines aplicacions poden deixar registrades credencials daccs, i saber a priori qu significaria la seva prdua o que alg fes un s illegtim de la nostra informaci. De la mateixa manera, cal conixer quines sn les accions que shan de realitzar en cas de robatori o prdua del mbil, i tenir registrades de forma segura les dades que ens podrien demanar per solucionar el problema.

Per tant, hem de conixer els procediment que la nostra operadora de telefonia mbil t per contactar amb nosaltres. Hi ha establerts uns procediments per realitzar una validaci segura: el nmero des don sens truca ha de ser conegut, i en cap cas hem de proporcionar cap tipus de dades si no estem realment segurs de qui hi ha altre costat de la lnea.

Missatge amb remitent sospits

Enviar i rebre un missatge de text o multimdia s una de les accions que realitzem amb ms freqncia des del mbil. La simplicitat daquesta acci ens proporciona una falsa confiana, fet que pot ser aprofitat per intentar infectar el nostre mbil o forar-ne un comportament anmal.

Aquesta aplicaci fa coses rares

En aquests ltims anys, els mbils avanats han evolucionat i introdut noves caracterstiques en la part de funcionalitats, com ara la possibilitat de poder desenvolupar programari fet a mida.

Les principals plataformes de telefonia mbil tenen disponible per a lusuari lentorn de desenvolupament

Els ltims modes dinfecci saprofiten de la possibilitat de suplantar el remitent, de manera que la persona que sembla ser qui envia el missatge en realitat no ho s, i a ms no podem verificar realment qui ha enviat el missatge.
10

de programari per als seus mbils (SDK), Blackberry, iPhone, Android, Symbian... El mercat daplicacions, que semblava tancat, ara pot oferir tot tipus daplicacions que no han de ser forosament les oficials del provedor per cobrir qualsevol necessitat del consumidor.

Una gran part de lesfor de latacant a lhora dintentar que acceptem el missatge es basa en guanyar-se la nostra confiana. Per aix, els seus missatges acostumen a contenir ofertes de feina, remitent doperadora de telefonia amb notificaci danomalia al servei, premis dun concurs fictici, necessitat daplicar una actualitzaci o configurar duna forma determinada el teu mbil, notificacions dactualitzaci daplicacions...

Som conscients de tot el que fa laplicaci que volem installar? Actualment, els provedors daplicacions apliquen mesures ms agressives per detectar possible codi malicis o comportaments anmals. s important conixer o tenir referncies slides de laplicaci que volem installar, utilitzar sempre que sigui possible les aplicacions proporcionades pel provedor oficial i, finalment, installar software original.

Les noves funcionalitats tecnolgiques que inclouen els mbils ms avanats han obert noves vies datac que abans semblaven impossibles i que sn similars a les que pot tenir un ordinador de sobretaula. s important que, a ms de protegir de forma adequada el nostre telfon, utilitzem el sentit com i siguem conscients de qu pot implicar obrir o realitzar les accions indicades en un missatge que ens sembla sospits. Un missatge SMS o MMS presenta les mateixes opcions dinfecci que un correu electrnic, per la qual cosa hem daplicar les mateixes precaucions.

Tamb hem de tenir present que en casos molt concrets, en cas dincidncia o mal funcionament del nostre mbil, hi ha la possibilitat que la nostra operadora o fabricant no es faci crrec de la reparaci o substituci del terminal si no tot el software installat s original.

El primer codi malicis per telefonia mbil data del 14 de Juny del 2004, i des daleshores el creixement de noves variants de virus ha estat exponencial. Les noves prestacions que proporcionen els dispositius avanats produeixen una convergncia del codi mali-

Guia per protegir i utilitzar de forma segura el mbil

cis per als ordinadors comuns i els telfons avanats de tipus smartphone. El que fins ara era una quantitat testimonial despcimens, la majoria proves de concepte, sha convertit en una de les principals amenaces presents i futures per a la indstria de la seguretat.

He perdut totes les dades!

Quin s estic fent del meu mbil? Quins serveis de la xarxa estic utilitzant? Quina informaci es guarda al meu mbil? Puc perdre lagenda, fotografies, missatges de text? Sn preguntes que ens haurem de fer,

Recordem que el nostre mbil de tipus smartphone pot tenir prestacions similars a les que podria tenir un ordinador de sobretaula, i que en conseqncia pot estar exposat als mateixos riscos dinfecci, o fins i tot majors, perqu les caracterstiques de seguretat no estan tan desenvolupades i provades com a les plataformes descriptori.

aix com valorar quin impacte tindria la prdua de la informaci emmagatzemada al nostre mbil.

El mbil s un tipus de dispositiu que normalment duem sempre a sobre, cosa que facilita que lutilitzem com a agenda o calendari, per prendre notes, llegir documentaci, registrar contactes... i fer s daltres aplicacions que poden gestionar informaci ms con-

En lmbit de la telefonia mbil hi ha riscos addicionals per les caracterstiques especfiques dels dispositius mbils:

fidencial i en la majoria de casos crtica.

11

s important, per tant, identificar de quines dades s necessari realitzar una cpia de seguretat i amb quina

Existeix la possibilitat de generar un cost directe per a lusuari, utilitzant la xarxa de telefonia per fer trucades a nmeros o subscripci a serveis de tarifaci addicional que reporten un benefici directe al criminal. A aquest tipus daplicacions se les anomena DIALWARE. En alguns sistemes de control daccs (per exemple, per a banca en lnia) els dispositius mbils sutilitzen com a mecanisme addicional per verificar la identitat de lusuari, habitualment mitjanant missatges SMS que generen codis de confirmaci. Alguns dels virus ms recents i sofisticats sn capaos dinterceptar aquests missatges i utilitzar-los per suplantar a lusuari (lanomenat Man-in-the-mobile ).
1,2

regularitat.

Aquestes fotos eren privades!

Sabem qu s la fuita dinformaci o sostracci de dades ? La fuita dinformaci es produeix quan es filtra informaci de forma involuntria. Un dels casos ms tpics sn fotos o altra informaci penjada en xarxes socials i a la qual tenen accs usuaris desconeguts, o als quals no els permetrem accs en una situaci similar no vinculada a la xarxa. Tamb hi ha filtracions de dades menys bvies, com ara informaci sobre la nostra localitzaci, ja sigui en els nostres missatges destat en xarxes socials o en les metadades de les fotografies preses amb el mbil.

1 http://www.cesicat.cat/noticies/2010-10-13_Nota_premsa_MitMo_CESICAT.jsp?canal=home 2 http://www.youtube.com/watch?v=RHUs8TNumsA

Hi ha aplicacions o xarxes socials com Foursquare i Google Latitude que tenen com a funcionalitat principal difondre on som. s recomanable controlar el grau daccessibilitat daquesta informaci, ja que pot arribar a terceres persones que preferirem que no hi tinguessin accs. Volem que qualsevol pugui saber quan no som a casa?

La caracterstica de connexi permanent a la xarxa, juntament amb la tpica itinerncia dels dispositius mbils, fa que sestableixin habitualment connexions amb xarxes WiFi desconegudes o controlades per tercers, de les quals en desconeixem el propietari i no sabem si alg ms pot estar-hi connectat i escoltant. Aix augmenta el risc que la informaci que es transmet arribi a tercers que no sn el destinatari legtim de la

Un altre cas molt com de fuita dinformaci es produeix quan ens desfem dels terminals mbils sense eliminar la informaci privada que, conscient o inconscientment, ha estat emmagatzemada.

comunicaci.

Una altra amenaa existent s la suplantaci de xarxes Wifi conegudes i legtimes a casa o a loficina, i sobretot en punts daccs pblics com aeroports, bibli-

En el cas del robatori de dades, una persona malintencionada obt informaci privada mitjanant tcniques dintrusi o un robatori fsic del propi dispositiu, per
12

oteques, cibercafs... En aquest cas, latacant controla el trnsit que circula pel seu punt daccs a la xarxa, i lusuari t una falsa percepci dus de xarxa legtima.

posteriorment penjar-la a llocs pblics. s important, doncs, conixer els nostres drets i quines accions podem dur a terme per evitar tant com sigui possible la difusi i persistncia a la xarxa de la informaci robada. Aquest risc existeix tamb a les xarxes de telefonia GSM/3G en forma datacs de suplantaci de punts de connexi a la xarxa mbil (estacions base). Investigadors del mn de la seguretat han demostrat que aquest tipus datacs es pot dur a terme utilitzant equips a labast de tothom, encara que els requisits de coneixements i la inversi econmica necessria poden ser majors que per a la intercepci de les comunicacions a xarxes WiFi.

Xarxes sense fils

Atesa la naturalesa mbil dels dispositius a qu es refereix aquesta guia, ja siguin smartphones o tablets, la capacitat de connectar-se a la xarxa utilitzant xarxes sense fils (3G o Wifi) s una de les seves caracterstiques bsiques.

Des del punt de vista de la seguretat, les xarxes sense fils tenen un desavantatge clar respecte de les cablejades: qualsevol atacant amb lequip i els coneixements adequats pot capturar la informaci que viatja per laire en forma dones electromagntiques. s per aix que les tecnologies i protocols utilitzats han dimplementar mecanismes de confidencialitat, integritat i autenticitat en la base al seu disseny.

Guia per protegir i utilitzar de forma segura el mbil

Recomanacions
Com protegir laccs fsic
La primera mesura de protecci bvia s tenir el dispositiu en tot moment controlat, com qualsevol altre objecte de valor. No obstant aix, podem (i haurem de) contemplar la possibilitat duna prdua, robatori o s no autoritzat i establir alguns mecanismes de protecci bsics:

Protegir el desbloqueig del terminal, demanant la introducci dun PIN, contrasenya o patr grfic perqu lusuari pugui interactuar amb el terminal quan aquest es trobi bloquejat. Activar el bloqueig automtic del dispositiu desprs dun cert temps dinactivitat. Hem de ser conscients que hi ha aplicacions que per les seves caracterstiques deshabiliten temporalment aquesta funci, com poden ser jocs o reproductors multimdia. En aquest cas, el bloqueig ha de ser manual quan el deixem dutilitzar. Mantenir sempre actiu el bloqueig de la targeta SIM daccs a la xarxa mbil, de manera que shagi dintroduir el PIN cada vegada que sencn el telfon. Installar una aplicaci de rastreig al mbil, que es pugui activar remotament i de forma segura en cas que perdem o ens prenguin el dispositiu. Aquestes eines utilitzen diversos mecanismes per ajudar-nos a localitzar el dispositiu: Emetre determinats sons per ajudar-nos a localitzar-lo si s a prop. Enviar-nos les coordenades GPS o la localitzaci aproximada de la connexi que utilitzem en aquest moment. Fer fotografies o gravar sons i enviar-nos-les Enviar una alerta en cas que es canvi la SIM, i enviar-nos el nmero de mbil de la nova targeta.
13

Algunes daquestes mesures poden semblar incmodes, per cal tenir en compte que sempre sha de buscar un comproms entre el nivell de seguretat desitjat o necessari i la usabilitat del dispositiu. En el cas de contrasenyes i patrons, la complexitat s directament proporcional a la seguretat. s preferible tenir una contrasenya o patr (relativament) simple, a desactivar aquesta funci totalment, encara que sha devitar errors habituals3.

litzes? El teu navegador mbil guarda les contrasenyes per accedir-hi? Saps si el teu telfon emmagatzema el registre dels llocs pels quals passes? On i com es guarda el registre de les teves converses de missatgeria?

Els principals riscos associats a ls que li donem als nostres dispositius mbils estan relacionats amb la filtraci o robatori de dades, o a la prdua irrecuperable daquestes dades per una fallada en el terminal o un

Altres mesures senzilles i amb un menor impacte que podem tenir en compte sn: No donar a conixer a tothom el tipus de mbil que tenim, sobretot si es tracta dun terminal de gamma alta. Per aix s recomanable utilitzar el mode vibrador en lavs de trucada (sempre que
14

esborrat accidental.

El primer pas per protegir-los s ser conscients don estan emmagatzemades les dades, amb quines restriccions daccs i nivell de protecci, i com es transmeten a travs de la xarxa. En el cas de la informaci personal a la qual permetem que altres accedeixin, hem dintentar controlar qui la t i per a qu pot utilitzar-la, aix com conixer els nostres drets daccs, modificaci, cancellaci i com podem exercir-los.

el terminal disposi daquesta opci), i ser discrets quan efectuem o contestem una trucada. En els autombils no s recomanable deixar el mbil al seient de lacompanyant o a les safates, ni deixar el terminal a la vista quan no hi som. En cas de canvi del terminal, comunicar a la nostra Operadora el codi IMEI del nou terminal, perqu lassoci al nostre nmero de telfon.

Filtraci de dades
Per protegir-nos contra la filtraci de dades, podem aplicar les mateixes recomanacions de privacitat en ls dInternet i xarxes socials que es donen per a ordinadors de sobretaula. A ms, conv tenir en compte alguns consells especfics per a dispositius mbils:

Com protegir les meves dades

La quantitat dinformaci que acabem emmagatzemant en els nostres smartphones s sorprenentment alta: des de fotos fins a contrasenyes daccs al banc, missatges SMS, correu electrnic, documents de treball... fins i tot la llista de la compra.

Conixer les opcions relatives a la privacitat del nostre dispositiu i configurar segons les nostres preferncies. Les ms rellevants sn: Serveis de localitzaci del mbil mitjanant xarxes mbils i GPS. Molts dispositius guarden un

s segura la transmissi de les teves contrasenyes a les pgines webs que visites o en els serveis que uti3 http://www.gizmodo.es/2011/06/14/los-10-pin-mas-habituales-en-iphone-veredicto-reconocelo-el-tuyo-es-uno-de-ellos.html

registre dels llocs per on passem, i aquesta opci en la majoria de casos es pot desactivar.

Guia per protegir i utilitzar de forma segura el mbil

Accs dels llocs web que visitem a les nostres dades de localitzaci. Busca lopci perqu es demani perms explcitament en la configuraci del navegador. Geoetiquetatge automtic de les fotos fetes amb la cmera del mbil. s millor tenir-lo desactivat per defecte si no volem que aquesta informaci sigui coneguda, i activar-lo noms quan realment sigui necessari. Geolocalitzaci automtica de les nostres publicacions en xarxes socials com Facebook i Twitter, que poden permetre a qualsevol que les llegeixi saber on som en el moment de la seva publicaci.

Per a la connexi segura amb serveis a la xarxa, els navegadors mbils utilitzen els mateixos mecanismes de protecci que els de sobretaula, per de vegades les limitacions prpies del dispositiu (mida de pantalla), o el seu disseny, poden ajudar a un possible atacant. Per aix, quan ens connectem a llocs sensibles com ara bancs en lnia, hem dassegurar que la connexi s segura (xifrada amb SSL) i procurar realitzar laccs des de xarxes fiables. Sempre cal estar molt atents als errors en els certificats, que poden indicar que alg est intentant interceptar les nostres dades.

En el cas que alg aconsegueixi accs fsic al nostre dispositiu hi ha formes daccedir a les dades emma-

Llegir els permisos que demanen les aplicacions que installem, aix com les condicions de servei, per evitar que puguin accedir a informaci i utilitzar-la de manera que no sigui la desitjada.

gatzemades sense necessitat de conixer el codi de desbloqueig del dispositiu. Lexemple ms senzill s treure els mduls de memria i accedir-hi amb un lector extern. Lnica forma de protegir les nostres dades s utilitzar mecanismes de xifrat.
15

Robatori dinformaci
Per protegir-nos contra el robatori dinformaci, la nostra principal arma s el sentit com, que ens permetr detectar possibles intents dobtenir informaci sensible directament de nosaltres (enginyeria social), per exemple, mitjanant trucades que intenten suplantar la companyia telefnica o el nostre banc.

Alguns dispositius suporten el xifrat nativament. Comprova si en el teu es pot activar. En cas que no sigui aix, s probable que hi hagi aplicacions de tercers (comercials o lliures) per xifrar el contingut de les nostres targetes o fins i tot el dispositiu complet, incloent lemmagatzematge intern per als casos en qu es manegi informaci altament confidencial.

Des del punt de vista tecnolgic, s convenient conixer les funcionalitats que utilitza el nostre telfon per mantenir la confidencialitat, principalment el xifrat dinformaci, tant la que es transmet a travs de la xarxa com la que semmagatzema en el terminal.

Finalment, si volem protegir les comunicacions de veu que tinguin un carcter ms crtic enfront de possibles escoltes, hi ha aplicacions especfiques per realitzar aquest tipus de xifrat utilitzant protocols de veu sobre xarxes de dades. Per poder utilitzar-les s imprescindible que les dues parts coneguin aquestes aplicacions i nhagin acordat prviament el seu s.

Prdua dinformaci
Per protegir-nos davant la prdua dinformaci, lnica mesura possible s fer cpies de seguretat peridiques i relativament freqents, i emmagatzemar-les en un lloc segur.

Com protegir-me dels virus

Grcies a larquitectura lgica de les generacions ms recents de les diferents plataformes dsmartphones, les accions que poden executar les aplicacions de tercers sn controlades mitjanant una srie de per-

La majoria de fabricants ofereixen programes per sincronitzar el nostre telfon amb un ordinador, amb la funcionalitat de realitzar cpies de seguretat dels nostres contactes, missatges, etc. El principal inconvenient s que els formats solen ser incompatibles entre les diferents marques, i s convenient utilitzar formats estndard per assegurar-nos que podrem importar aquesta informaci en un dispositiu diferent.
16

misos. Com a conseqncia, actualment la majoria dels virus utilitzen sobretot mecanismes denginyeria social per aconseguir que siguem nosaltres mateixos els que els installem en els nostres dispositius. Com ja sha esmentat anteriorment, davant aquest tipus datacs el ms til s utilitzar el nostre sentit com i estar atents al que acceptem en interactuar amb les aplicacions.

Per sort, cada vegada ms fabricants i aplicacions inclouen tamb la possibilitat de sincronitzar alguns tipus dinformaci amb servidors en el nvol (en lnia), com els contactes, el correu electrnic o la msica que tinguem emmagatzemada. s recomanable conixer i utilitzar aquesta capacitat si el nostre dispositiu la t, per avaluant sempre que aquests serveis compleixin amb les mesures de seguretat necessries.

Una mesura de protecci bsica s limitar les aplicacions que installen a aquelles distribudes mitjanant els provedors daplicacions oficials de cada plataforma. Les ms populars sn:

Android: Android Market. Apple iOS (iPhone): App Store de Apple BlackBerry: BlackBerry App World Symbian (Nokia): OVI Store

Una situaci que mereix una atenci especial s quan ens desfem del mbil, el venem o el cedim a algun amic o familiar. En aquest cas, s recomanable realitzar un esborrat complet de la informaci que cont mitjanant la funcionalitat de restauraci a la configuraci de fbrica, i sense oblidar eliminar les dades de les targetes de memria que puguin estar incloses en el dispositiu.

Windows Phone: Windows Phone Marketplace

No obstant aix, no seria la primera vegada que sintrodueixen aplicacions malicioses a les botigues o repositoris daplicacions oficials, aix que s convenient mantenir els sentits alerta i comprovar la reputaci i els comentaris sobre les aplicacions, aix com els permisos que demanen en instal lar-les.

Les aplicacions distribudes per canals no oficials no

Guia per protegir i utilitzar de forma segura el mbil

passen cap tipus de validaci i el risc que siguin malicioses s major. Per aix cal posar especial atenci si les volem instal lar, tot comprovant que el seu origen sigui duna font fiable i que no demanen permisos que no tinguin res veu veure amb la finalitat declarada.

assumir el risc de confiar totalment el control del que fa el nostre dispositiu a lusuari o entitat que ha creat aquesta ROM. s possible que els desavantatges siguin majors que les millores que puguem aconseguir.

Amb laugment de la complexitat i la difusi dels Si ets dels que vols esprmer totalment laparell mitjanant un desbloqueig total del sistema (root, jailbreak), has de tenir una cura addicional. No cal confondre aquest tipus de modificacions amb el desbloqueig de loperadora mbil, que la nostra operadora est obligada a realitzar si aix ho demanem i que no ha de suposar cap risc. smartphones, s cada vegada ms com que apareguin fallades de seguretat que faciliten la propagaci de virus. Per aix, s convenient mantenir actualitzat en la mesura del possible tant el sistema base com les aplicacions, inclosos els plugins del navegador com ara el Flash si el nostre dispositiu ho suporta. Per aix, recomanem activar les notificacions automtiques de laparici de noves versions per aplicar-les Lavantatge del desbloqueig s alhora la seva major debilitat, ja que permet que lusuari executi aplicacions de tercers (no oficials) amb capacitat de fer qualsevol cosa al dispositiu i evitar les mesures de seguretat que el fabricant hagi implementat en el sistema. En alguns casos els fabricants o les operadores deixen dactualitzar els dispositius que sn relativament antics, encara que continun sent molt populars entre els usuaris. En aquest cas, les ROM personalitzades A ms, en alguns casos el desbloqueig habilita mecanismes addicionals de connexi des de lexterior cap al nostre dispositiu (per exemple, el servei de gesti remota SSH), configurats amb la mateixa contrasenya per a tots els dispositius. s com posar una porta a casa que sobre amb la mateixa clau que totes les dels vens, i que, a ms, qualsevol pot aconseguir. Els cucs per mbil ms clebres fins ara utilitzen aquesta debilitat per propagar-se4, i la soluci en aquests casos s aplicar una contrasenya robusta i que noms nosaltres coneguem. Desactivar el bluetooth sempre que es faci servir Instal lar un sistema operatiu modificat (ROM personalitzada) descarregat dInternet pot ser tamb molt perills. A ms de la prdua de garantia, podem
4 http://www.hispasec.com/unaaldia/4033

sempre que sigui possible.

17

poden permetre executar una versi posterior del sistema (amb els errors solucionats) en dispositius antics, encara que amb els riscos associats comentats anteriorment.

Una altra de les vies de propagaci de malware a dispositius mbils s la connexi bluetooth. Encara que va ser la primera histricament, ha caigut bastant en dess, per s important que configureu adequadament aquesta la funcionalitat. Cal, doncs:

per connectar-nos a un kit de mans lliures o enviar dades a altres dispositius.

Desactivar la visibilitat de manera que el nostre telfon no aparegui quan alg faci una cerca. En la majoria de terminals podem activar la visibilitat de forma temporal quan ho necessitem, ja que no s una cosa extremadament habitual. Protegir lassociaci mitjanant un PIN, i si s possible que no sigui el tpic 0000 o 1234. Configurar un nom de dispositiu que no reveli massa informaci (model de mbil, nom propi).

podem activar des dun altre dispositiu, normalment accedint amb les nostres credencials al lloc web de gesti de leina. Si la plataforma ho suporta i ho hem configurat aix, o b hem installat alguna aplicaci per a aix, podem bloquejar el telfon de forma remota perqu no es pugui utilitzar. Si no hem aconseguit localitzar-lo, hi ha la possibilitat de realitzar un esborrat remot de dades per evitar que qui tingui el mbil en el seu poder pugui

Finalment, les solucions de seguretat per a mbils inclouen una protecci equivalent als antivirus tradicionals dels ordinadors de sobretaula basada en lanlisi de signatures i comportaments que pot ser molt efica. Per, tal com ja ha passat en aquesta platafor18

accedir a informaci confidencial. Demanar a la nostra operadora el bloqueig del terminal mitjanant el nmero IMEI. Daquesta manera ens assegurem que el nostre telfon no podr utilitzar-se a la xarxa mbil de cap operador, ja que hi ha una llista negra centralitzada de terminals robats. Si estem segurs que s un robatori, s recomanable denunciar-ho a la policia.

ma, han sorgit una srie de falsos antivirus que, desprs denganyar lusuari perqu els installi (mitjanant una falsa alerta dinfecci o publicitat falsa), sutilitzen per robar dades o realitzar fraus. Cal validar que la font de laplicaci s de confiana.

Malgrat totes les mesures anteriors, s convenient canviar les contrasenyes que poden estar emmagatzemades al dispositiu. A ms, cada vegada ms serveis de correu electrnic i missatgeria permeten visualitzar i tancar remotament les sessions obertes. Per dur a terme les accions esmentades anteriorment, cal que abans haguem guardat en lloc segur (per accessible i que recordem immediatament) alguna informaci sobre el dispositiu i la targeta SIM:

Qu fer en cas de prdua

Per molta cura que tinguem, s difcil mantenir localitzat en tot moment el nostre telfon. Gaireb tots hem tingut algun episodi de pnic en adonar-nos que hem perdut el nostre estimat smartphone. Amb una mica de sort i una trucada des dun altre telfon podem trobar-lo, per en cas que no sigui aix, cal tenir clar quins sn els passos a seguir.

El nmero IMEI del telfon El PIN i el PUK de la nostra targeta SIM

Demanar a loperadora el bloqueig de totes les trucades de sortida des de la nostra lnia, per evitar trobarnos amb trucades fraudulentes a la nostra factura. Si tenim installada una aplicaci de rastreig, la

El nmero de bloqueig del telfon, opci que porten alguns terminals i que permet bloquejar ls del terminal per a una sola targeta SIM.

Guia per protegir i utilitzar de forma segura el mbil

Com connectar-me a una xarxa sense fils de forma segura

A lhora dutilitzar xarxes WiFi per connectar-nos a Internet, conv seguir una srie de consells perqu ls sigui el ms segur possible:

Per moltes mesures que prenguem, les connexions sense fils sempre shan de considerar poc segures, ja que no podem saber qui hi t accs i pot estar capturant-ne el trnsit. Per aix s important assegurarnos que les aplicacions i els llocs web als quals ens connectem utilitzen xifrat per transmetre les dades, especialment les contrasenyes. De vegades, el xifrat

No activar lopci de desar connexi o connexi automtica a xarxes no segures o desconegudes.

sinclou com una opci, tot i que encara en moltes aplicacions ve desactivada per defecte.

A lhora de connectar-nos a xarxes conegudes, no fiarnos noms del nom de la connexi (SSID), i comprovar que el tipus de seguretat s el mateix que el de la xarxa coneguda.

Bones prctiques en telefonia mbil

En aquest apartat sinclouen alguns consells que no encaixen directament en algun dels casos anteriors o que nafecten a ms dun, i que poden contribuir a fer

Sospitar si el nostre telfon ens demana que tornem a introduir la contrasenya duna xarxa que ja tenem guardada com la de la nostra casa o loficina.

ms segur ls del nostre mbil:

19

Coneix les possibilitats de configuraci del teu dispositiu i desactiva aquelles funcions que no sn necessries.

Informar dels possibles avisos que ens dna el nostre terminal si es realitza una connexi sense xifrar En el navegador web En realitzar trucades GSM Procura no revelar dades personals en informaci accessible a qualsevol com el nom del nostre dispositiu Bluetooth. Pot ser que alg utilitzi aquestes dades per dur a terme un atac ms elaborat. Per ltim, utilitzar les xarxes desconegudes noms quan sigui realment necessari i deixar les activitats ds ms sensibles preferentment en xarxes conegudes o dinteracci directa amb la xarxa de telefonia mbil 3G. s preferible utilitzar xarxes 3G o superiors, ja que a ms de lautentificaci del client tamb es realitza autenticaci de loperador (autenticaci mtua), a diferncia de les xarxes 2G (GPRS). Si has vist moltes pellcules, sabrs que no has de triar com PIN la teva data de naixement, i tampoc el nom de la teva mascota o duna persona propera com a contrasenya. Fes que siguin aleatries, almenys aparentment, encara que tinguis alguna forma indirecta de recordar-les que noms tu coneixes. Canvia les contrasenyes per defecte en les aplicacions que les incloguin (per exemple en cas de root, jailbreak o installar una ROM modificada).

Intenta no introduir nmeros PIN i contrasenyes a la vista de tothom. Compte amb les pantalles tctils i les marques de dits: poden facilitar la tasca a alg que intenti endevinar el nostre PIN o patr grfic de desbloqueig. Tanca sessi explcitament en llocs web sensibles desprs duna sessi de navegaci, per exemple desprs daccedir al banc en lnia. Revisa el detall de trucades que et facilita la teva operadora a la factura per detectar possibles trucades fraudulentes procedents duna targeta SIM clonada. Tamb et pot venir b per evitar costosos errors en la facturaci. Sospita de les trucades des de nmeros desconeguts i ocults, i no donis dades personals fins a
20

tenir la certesa que s un trmit legtim. Fes servir els serveis de restricci de trucades de la teva operadora i, si no has de viatjar a lestranger, desactiva ls de xarxes daltres operadors (Roaming). En cas que el perdis o tel robin, aquesta mesura pot reduir el dany produt.

Desconfia dels SMS/MMS

No installis aplicacions que no siguin de confiana. No accedeixis a llocs que no siguin de confiana. Intenta mantenir el terminal controlat en tot moment.

Guia per protegir i utilitzar de forma segura el mbil

Conclusions
Laugment de la popularitat i de les capacitats dels dispositius mbils fa que, cada vegada, aquests tinguin ms importncia en el nostre dia a dia. La quantitat i el nivell de confidencialitat necessari de la informaci que emmagatzemen sequipara cada vegada ms als dun ordinador personal. Per tant, i encara que no hi estiguem tan acostumats, hem daplicar els mateixos principis de seguretat per als nostres dispositius i establir les mesures necessries per protegir-los.

Davant aquest repte, s important estar informat dels diferents riscos que shan plantejat en aquesta guia, aix com dels diferents mecanismes i hbits recomanables per prevenir incidents i mitigar-ne limpacte.
21

La seguretat fsica passa a ser un factor determinant en aquests sistemes, ja que a causa de la seva natural mobilitat no estan en un entorn protegit per panys o cadenats. Nosaltres mateixos esdevenim guardians de la seguretat fsica de dispositius que moltes vegades sn duna importncia crucial per a la nostra vida personal o professional.

Tots haurem de fer una reflexi sobre ls que li donem al mbil i sobre qu passaria si el perdssim o un tercer hi tingus accs. Aquesta reflexi ens ajudar a tenir clar el procediment a seguir en cas que aix passi i, probablement, contribuir a convncernos de la necessitat de realitzar cpies de seguretat regulars de la nostra informaci. Potser decidim sacrificar una mica la nostra comoditat ds a canvi duna major seguretat.

Per sort, cada dia els diferents models i plataformes van evolucionant i van incorporant mecanismes de seguretat que existeixen des de fa temps per als ordinadors de sobretaula. Tamb les funcionalitats especfiques daquest tipus daparells es poden apro-

fitar per desenvolupar mecanismes de seguretat poc habituals fins ara (GPS, cmera per rastreig), o b per facilitar ls de les que coneixem des de fa temps (cmera, pantalla tctil per autenticaci) .

Per tant, s important conixer les capacitats dels nostres dispositius, perqu poden ajudar-nos a protegirlos i a protegir la nostra informaci. No obstant aix, la naturalesa extensible de les plataformes ms populars fa que tamb sigui important controlar les aplicacions que hi executem. Lhomogenetzaci de plataformes i la popularitzaci del desenvolupament de programari per a mbils comporta el problema de la difusi de malware que afecta als ordinadors personals des de fa anys.
22

Alhora, aquesta mateixa extensibilitat fa que sorgeixin aplicacions amb la finalitat de completar les possibles mancances de les plataformes quant a protecci, i les solucions integrals de seguretat per al mbil shan convertit en un mercat ms per a les empreses tradicionals de seguretat, i per a daltres que ho estan aprofitant per entrar amb fora. s recomanable avaluar els riscos, establir el nivell de seguretat desitjat i estudiar si necessitem un daquests productes per complementar les capacitats de seguretat al nostre terminal mbil.

Guia per protegir i utilitzar de forma segura el mbil

Glossari
SIM
De les seves sigles en angls (Subscriber Identity Module), mdul didentitat de subscriptor. s una targeta intelligent desmuntable utilitzada en dispositius de telefonia mbil per identificar de forma segura la lnia davant la xarxa.

Smartphone
En angls, telfon intelligent. Es denominen aix els dispositius que combinen les caracterstiques de telfon mbil i assistent personal digital (Personal Digital Assistant o PDA).

SMS
De les seves sigles en angls (Simple Messaging Service), servei de missatges curts (normalment fins a 160 carcters) dissenyat per a les xarxes de telefonia mbil GSM, i que actualment es pot utilitzar en tot tipus de xarxes de telefonia, incloses les fixes.

PIN
De les seves sigles en angls (Personal Identification Number), nmero didentificaci personal. s un tipus de contrasenya requerida per accedir a algun dispositiu o sistema, que normalment consisteix en un nombre de 4 dgits. En telefonia mbil sacostuma a utilitzar per restringir laccs a les funcionalitats de la SIM.

MMS
De les seves sigles en angls (Multimedia Messaging System), servei de missatgeria multimdia que estn la capacitat de la missatgeria SMS incloent la possibilitat denviar arxius multimdia (so, vdeo, fotos o altres continguts).
23

PUK
De les seves sigles en angls (Personal Unlocking Key), clau de desbloqueig. s el codi necessari per desbloquejar una targeta SIM quan ha estat bloquejada per la introducci dun pin incorrecte almenys 3 vegades. Normalment s un nombre de 8 dgits que es lliura a lusuari juntament amb el PIN per a diferncia daquest, no pot modificar-se.

IMEI
De les seves sigles en angls (International Mobile Equipment Identity), Identitat Internacional dEquip Mbil. s un nombre que identifica unvocament i a nivell mundial un terminal de telefonia mbil. Normalment es pot veure a la caixa del mbil o fent * # 06 # al telfon.

PDA
De les seves sigles en angls (Personal Digital Assistant), Assistent Digital Personal o agenda digital. Van nixer com a dispositius relativament senzills amb capacitat de gesti de calendari, contactes, notes, documents i altra informaci personal, encara que van evolucionar cap a petits ordinadors de butxaca amb pantalla tctil i la capacitat dexecutar tot tipus daplicacions.

Malware
De la conjunci de les paraules angleses malicious i software, s un codi o programari que efectua accions de forma oculta, sense perms i sense coneixement de lusuari, amb algun objectiu que saparta de la seva finalitat declarada (robatori de dades, frau, control remot de sistemes i moltes altres coses).

Spyware
De la conjunci de les paraules angleses spy i software, s un codi o programa espia que recull informaci sobre lactivitat de lusuari, sense que aquest en tingui coneixement. Les dades es recopilen i distribueixen normalment a empreses i organitzacions interessades amb finalitats de seguiment o publicitries.

SDK
De les sigles en angls (Software Development Kit), s un conjunt deines i interfcies de programaci que permeten el desenvolupament daplicacions en una plataforma determinada.

Bluetooth
24

Tecnologia de connectivitat sense fils drea personal (limitada a uns pocs metres) utilitzada amb diverses finalitats, com ara la connexi de dispositius mbils entre si, amb ordinadors de sobretaula i amb diversos perifrics com auriculars i kits de mans lliures.

DLP
De les seves sigles en angls (Data Leakage Prevention) sistemes de seguretat de prevenci de fuites dinformaci per a punts finals que pretn evitar que es filtrin dades confidencials o sensibles de manera involuntria cap a fora de lorganitzaci.

Guia per protegir i utilitzar de forma segura el mbil

Referncies i enllaos web

Riesgos, oportunidades y recomendaciones sobre seguridad de la informacin en telfonos inteligentes. ENISA (European Network and Information Security Agency). Desembre 2010 http://www.enisa.europa.eu/act/it/oar/smartphonesinformation-security-risks-opportunities-and-recommendations-for-users

Malware en Smartphones. Informe del CNCCS (Consejo Nacional Consultivo de Cyber-Seguridad). Febrer 2011 http://www.s21sec.com/descargas/Malware_Smartphones_CNCCS%20.pdf

Guidelines on Cell Phone and PDA Security. Octubre 2008 http://csrc.nist.gov/publications/nistpubs/800-124/ SP800-124.pdf

CESICAT: Guia per gestionar les contrasenyes. Online As Soon As It happens. ENISA (European Network and Information Security Agency). Febrero 2010 http://www.enisa.europa.eu/act/ar/deliverables/2010/ onlineasithappens/at_download/fullReport Febrer 2010 http://www.cesicat.cat/publicacions/Guia%20per%20 gestionar%20les%20contrasenyes.jsp?canal=home
25

A Window Into Mobile Device Security. Examining the security approaches employed in Apples iOS and Googles Android. Symantec. Juny 2011 http://www.symantec.com/content/en/us/about/media/ pdfs/symc_mobile_device_security_june2011.pdf

Mobile Security Catching Up? Revealing the Nuts and Bolts of the Security of Mobile Devices. Michael Becher , Felix C. Freiling, Johannes Hoffmann, Thorsten Holz, Sebastian Uellenbeck, Christopher Wolf. IEEE Symposium on Security and Privacy, Oakland, Maig 2011. http://emma.rub.de/research/publications/mobile-security-catching-up/

www.cesicat.cat