White paper de Symantec

Cmo garantizar la seguridad al hacer compras mediante dispositivos mviles: amenazas y soluciones

Cmo garantizar la seguridad al hacer compras mediante dispositivos mviles: amenazas y soluciones

ndice Resumen ejecutivo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 La generalizacin de los smartphones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Software malicioso para dispositivos mviles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Compra segura mediante dispositivos mviles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

Cmo garantizar la seguridad al hacer compras mediante dispositivos mviles: amenazas y soluciones

Resumen ejecutivo Hoy en da los consumidores usan los dispositivos mviles en cualquier momento, en cualquier lugar y, cada vez con ms frecuencia, para hacer compras o realizar transacciones bancarias. Si bien resulta muy cmodo, el envo de datos tan confidenciales por una red mvil est expuesto a una cantidad de amenazas que no deja de aumentar. Las vulnerabilidades de los sistemas mviles aumentaron en un 93 % en el ao 20111 y el sistema operativo Android cada vez es blanco de ms amenazas2. Los hackers atacan a los consumidores y a las empresas con mtodos como la recopilacin de datos, el seguimiento y el envo de contenido. Como consecuencia de las brechas de seguridad, disminuye la confianza de los clientes, lo que para las empresas se traduce en una reduccin de las ventas. Sin embargo, si adoptan una estrategia eficaz para garantizar la seguridad de las tecnologas mviles mediante el uso de certificados SSL y otros mtodos, las empresas ofrecern servicios de compras por Internet exentos de peligros, con lo que sus clientes estarn protegidos y tendrn la certeza de que sus datos confidenciales no caern en manos de personas no autorizadas. En este white paper, comentamos los resultados de una investigacin realizada recientemente por Symantec para destacar la importancia y la difusin de las tecnologas mviles, as como el efecto que estn teniendo en las empresas. Analizamos los tipos de software malicioso basado en el navegador que afectan a los dispositivos mviles, para luego centrarnos en la responsabilidad de las empresas: si quieren garantizar la seguridad de los consumidores y proteger sus datos confidenciales, deben adoptar una estrategia eficaz en materia de seguridad mvil, con certificados SSL entre otros instrumentos.

1 2

Informe de Symantec sobre las amenazas para la seguridad en Internet, 2011. Estudio sobre el estado de las tecnologas mviles en EMEA, Symantec, 2012.

Cmo garantizar la seguridad al hacer compras mediante dispositivos mviles: amenazas y soluciones

Introduccin Hace ya diez aos o ms que las compras por Internet estn muy extendidas, pero la generalizacin de las transacciones mediante dispositivos mviles es una novedad reciente, debida al uso masivo de los smartphones. Del mismo modo que cada vez hay ms dispositivos de este tipo en circulacin, tambin ha aumentado muchsimo la cantidad de datos que se transmiten mediante tecnologas mviles3. Sin embargo, la difusin de plataformas como Android ha ido acompaada de un aumento en la cantidad de software malicioso que explota el mercado de la tecnologa mvil, concentrado en unos pocos sistemas operativos4. En consecuencia, han aumentado las brechas de seguridad, lo cual podra hacer que los usuarios confiaran menos en los dispositivos mviles y no se sintieran seguros al realizar transacciones por Internet. Los consumidores necesitan garantas sobre la identidad y la seguridad de los sitios web de comercio electrnico que visitan mediante sus dispositivos mviles. De lo contrario, dejarn de usar este tipo de servicios. Para que sus clientes confen siempre en sus sitios web de comercio mvil, adopte en su empresa una solucin de seguridad completa que contribuya a proteger los datos confidenciales y que le avise en caso de peligro de ataque o hacking. Entre otros recursos de confianza, son imprescindibles el cifrado SSL y el anlisis contra software malicioso en tiempo real.

3 4

Mobile and UK Web traffic (Tecnologas mviles y trfico web en el Reino Unido), Tecmark, 2011 [PDF]. Ventas mundiales de dispositivos mviles a los usuarios por proveedor en el primer trimestre de 2012 (miles de unidades).

Cmo garantizar la seguridad al hacer compras mediante dispositivos mviles: amenazas y soluciones

La generalizacin de los smartphones Los smartphones, los tablets y otros tipos de dispositivos mviles se estn convirtiendo en muy poco tiempo en el instrumento habitual para acceder a servicios en lnea. Actualmente hay ms de 4000 millones de dispositivos de este tipo en circulacin. Los usuarios recurren a ellos para realizar transacciones financieras y operaciones comerciales, as como para comunicaciones personales, e incluso hay gente que ya nunca accede a Internet mediante un equipo de sobremesa5. Una cantidad cada vez mayor de estos dispositivos se emplean para tareas laborales, adems de para hacer compras. Su utilidad se considera ms importante que los riesgos que puedan presentar, pero, segn una encuesta reciente6, la seguridad es el aspecto de las tecnologas mviles que ms preocupa a los gerentes informticos. En concreto, despiertan dudas los peligros en caso de prdida del dispositivo, fugas de datos, acceso no autorizado a recursos empresariales e infecciones con software malicioso. Uno de cada cuatro encuestados dijo que los riesgos de la informtica mvil son entre bastante altos y altsimos, y los peligros que parecen estar difundindose con ms rapidez son el spam, el phishing y el software malicioso.

Las empresas de todos los tamaos se estn viendo afectadas por el aumento de los riesgos relacionados con las tecnologas mviles. Fuente: Estudio sobre el estado de las tecnologas mviles en EMEA, 2012.

Estas preocupaciones estn justificadas. Las empresas de todos los tamaos se estn viendo afectadas por el aumento de los riesgos relacionados con las tecnologas mviles. Han sufrido perjuicios de distintos tipos, como reduccin de la productividad, gastos financieros directos y prdidas de datos. En los ltimos doce meses, el coste medio de estos problemas en todo el mundo ha ascendido a 247 000 $, pero la cifra alcanza los 259 000 $ si se tiene en cuenta nicamente la zona EMEA7. Por lo general, las empresas de todos los tamaos estn padeciendo los mismos tipos de problemas, pero a una escala distinta: el promedio global de prdidas en las pequeas empresas ha sido de 126 000 $, mientras que en las grandes ha llegado a los 429 000 $8. Casi un tercio (el 30 %) de los gerentes informticos aseguran que la seguridad de su empresa se ha visto amenazada debido al uso de dispositivos mviles personales para acceder a los datos de la compaa9.

The Mobile Only Internet Generation (La generacin que accede a Internet nicamente mediante dispositivos mviles), estudio de OnDevice, 2010. Estudio sobre el estado de las tecnologas mviles en EMEA, Symantec, 2012. 9 Trusted Mobility Index (ndice de confianza en las tecnologas mviles), Juniper, 2012.
5 6 78

Cmo garantizar la seguridad al hacer compras mediante dispositivos mviles: amenazas y soluciones

Software malicioso para dispositivos mviles Este tipo de amenazas son consecuencia de la generalizacin del software malicioso mvil que ha acompaado a la difusin de los dispositivos inteligentes. A la luz de lo que ha ocurrido con las amenazas dirigidas contra los ordenadores porttiles y de sobremesa, se trata de una tendencia totalmente previsible. Si observamos la forma en que ha evolucionado el software malicioso dirigido contra ordenadores, vemos que son necesarios tres factores para que este tipo de amenaza se generalice en el mundo de la tecnologa mvil: una plataforma de uso extendido, herramientas de desarrollo con una gran accesibilidad y una motivacin suficiente entre los ciberdelincuentes, es decir, un aliciente financiero10. La consolidacin de Android como sistema operativo mvil con ms aceptacin en el mundo lo convierte en una plataforma cada vez ms atractiva para los creadores de software malicioso. As, la tendencia ascendente en su cuota de mercado se refleja en el aumento de las amenazas para dispositivos mviles durante el ao 201111.

Cantidad total de familias de software malicioso mvil 2010-2012

ENE DIC ENE DIC

El nmero de variantes de ataques con software malicioso mvil est creciendo con ms rapidez que la cantidad de familias de software malicioso mvil. Fuente: Informe de Symantec sobre las amenazas para la seguridad en Internet, 2011.

Adems, Android es un sistema operativo abierto, lo que facilita el trabajo de escritura y distribucin de aplicaciones a los desarrolladores, incluidos los que crean software malicioso. En concreto, como no hay una nica tienda de Android para las aplicaciones ni un control centralizado de lo que se publica, resulta fcil crear troyanos muy similares a aplicaciones de xito. Los usuarios de Android tienen que aprobar explcitamente el conjunto de permisos especificados para cada aplicacin12, pero, cuando aparece una larga lista de permisos en letra pequea, la mayora de la gente tiende a aceptarlos sin leer todo el texto, lo que hace que sea fcil descargar software malicioso junto con la aplicacin. La cantidad de vulnerabilidades en los dispositivos mviles est aumentando con rapidez. De hecho, en 2011 Symantec contabiliz 315 vulnerabilidades en los sistemas operativos de dispositivos mviles, mientras que en 2010 la cifra se reduca a 163, lo que equivale a un aumento del 93,3 %13. Tipos de amenazas Las actividades ms habituales de este tipo de software malicioso consisten en recopilar datos del dispositivo, espiar al usuario y enviar mensajes SMS a tarifas altas. En el ao 2011, ciertas familias de software malicioso, como Opfake, migraron de plataformas ms antiguas a Android. Opfake se oculta detrs de distintos contenidos y aplicaciones, como un instalador del navegador Opera o una pelcula pornogrfica, que exigen realizar un pago mediante mensaje SMS. Las ltimas variedades de Opfake han recurrido al polimorfismo en el servidor para evitar la deteccin tradicional basada en firmas14.
Motivations of Recent Android Malware (Motivaciones del software malicioso reciente contra Android), Symantec, 2011. Gartner, mayo de 2012. 12 Informe de Symantec sobre las amenazas para la seguridad en Internet, 2011. 13 Threat Activity Trends (Tendencias en la evolucin de las amenazas), 2012, Symantec. 14 Android.Opfake In-Depth (Estudio detallado sobre Android.Opfake), Symantec, 2012.
10 11

Efectos del software malicioso mvil en los telfonos Principales actividades de los peligros mviles

Recopilacin de datos

28 %

Seguimiento del usuario

25 %

Envo de contenido

24 %

Amenazas tradicionales

16 %

Cambio de configuracin

7%

Las actividades ms habituales de este tipo de software malicioso consisten en recopilar datos del dispositivo, espiar al usuario y enviar mensajes SMS a tarifas altas. Fuente: Informe de Symantec sobre las amenazas para la seguridad en Internet, 2011.

Cmo garantizar la seguridad al hacer compras mediante dispositivos mviles: amenazas y soluciones

Los dispositivos mviles tambin son vulnerables a los tipos de ataques basados en navegador que afectan a los ordenadores de sobremesa, como los anuncios maliciosos, ventanas emergentes que parecen anuncios (sobre todo aquellos que advierten de que el equipo del usuario podra estar infectado) y piden a los usuarios que hagan clic en ellos. Si el usuario se preocupa y hace clic en el llamado scareware (cdigo malicioso que trata de asustar), el sitio web al que llegar tal vez trate de infectar su dispositivo o pedirle dinero a cambio de eliminar la amenaza, que en realidad no existe15. Otro ejemplo son las descargas no autorizadas, aplicaciones que descargan cdigo malicioso no deseado cuando el usuario da su consentimiento para instalar una aplicacin (a veces, sin comprobar los permisos con atencin) o hace clic en un anuncio o en un enlace malicioso. Confianza moderada (%) 51 44 Confianza escasa o nula (%) 16 20 18 13 39 Prdida de confianza La propia naturaleza de los dispositivos mviles hace que el peligro que supone el software malicioso sea an mayor. Los smartphones forman parte de la vida privada de un individuo: almacenan todo tipo de datos personales y confidenciales, con lo que constituyen un blanco muy atractivo. Adems, los usuarios suelen aceptar que las aplicaciones detecten dnde se encuentran y lo que estn haciendo, muchas veces sin comprobar bien la funcionalidad del programa en cuestin16. Esta forma de actuar puede llevar a contraer infecciones provocadas por descargas no autorizadas u otro tipo de software malicioso.

Servicio Operaciones bancarias en lnea Servicios sanitarios Correo electrnico empresarial Redes sociales

Compras en Internet 60 45 36

Fuente: Trusted Mobility Index (ndice de confianza en las tecnologas mviles), Juniper.

En el mercado del comercio mvil, esta difusin de software malicioso podra provocar una disminucin de ventas considerable debido a la prdida de confianza por parte de los consumidores. De hecho, la confianza de los usuarios en los dispositivos mviles ya est flaqueando. Por ejemplo, en Alemania, el 24 % de los consumidores han dicho que no confan en los dispositivos mviles, mientras que, si observamos los datos de todo el mundo, el 63 % han manifestado dudas sobre este asunto17. Una parte considerable de los compradores de Estados Unidos, el Reino Unido, Alemania, China y Japn han declarado tener una confianza escasa o nula en numerosos servicios comerciales. Los bancos son los que ms se han esforzado por demostrar a los clientes que se toman muy en serio la seguridad en Internet, pero el resultado ha sido solo un ligero aumento en el nivel de seguridad percibido18. La mayora de los consumidores (el 63 %) consideran que la responsabilidad de proteger sus datos confidenciales corresponde a las empresas. Otro dato interesante es que nueve de cada diez encuestados han dicho que las empresas para las que trabajan deberan proteger los dispositivos mviles19.

Cmo defenderse de los peligros del malware en 2012, Symantec, 2012. Trusted Mobility Index (ndice de confianza en las tecnologas mviles), Juniper, 2012. 17 18 19 Ibid.
15 16

Cmo garantizar la seguridad al hacer compras mediante dispositivos mviles: amenazas y soluciones

Compra segura mediante dispositivos mviles Como hemos visto, su empresa podra sufrir las consecuencias negativas de este aumento del software malicioso mvil y la consiguiente prdida de confianza en las transacciones en lnea, sobre todo si ofrece servicios de compras por Internet. La clave para conservar la confianza de los consumidores es ser conscientes de las amenazas que afectan a los dispositivos mviles y asumir la responsabilidad de proteger los datos confidenciales de los clientes. Para ello, debe contar con sitios web seguros y fiables, lo que le ayudar a ampliar la clientela y lograr que los internautas completen sus transacciones. En concreto, se trata de demostrar que los sitios web no tengan cdigo malicioso, que estn protegidos frente a los ataques y que no dejen lugar a dudas sobre su identidad. Seguridad proactiva y constante Al comprar por Internet, los clientes buscarn indicios de fiabilidad, como smbolos o indicadores de seguridad en la barra de direcciones del navegador. Este tipo de signos demuestran que el sitio web es legtimo y que cuenta con certificados Extended Validation (EV) SSL, los cuales constituyen una defensa frrea y permiten a los clientes hacer compras con toda tranquilidad. La tecnologa SSL (Secure Sockets Layer o capa de sockets seguros) permite cifrar informacin en lnea confidencial, como los datos personales y de inicio de sesin de sus clientes. Las autoridades de certificacin comprueban una serie de datos exclusivos sobre su empresa para establecer las credenciales de su sitio web de comercio mvil. Los certificados EV SSL, que brindan un mtodo de autenticacin ms riguroso, constituyen una defensa frrea y permiten a los clientes comprar en su sitio web con toda tranquilidad. Symantec propone los certificados EV SSL para garantizar al mximo la seguridad de los sitios web. Adems, Symantec ha desarrollado Code Signing para Android, Cuando se realizan compras con un Windows Phone, un dispositivo Android o un iPhone, aparecen una serie de smbolos o indicadores de seguridad que demuestran que el sitio un servicio basado en la nube con el objetivo de ayudar a web es legtimo y que cuenta con certificados Extended Validation (EV) SSL. los desarrolladores de aplicaciones a seguir una serie de prcticas recomendadas. Ofrecemos un portal de firma de cdigo seguro para el proceso de autenticacin que permite almacenar y proteger las claves de firma. Por otro lado, si el desarrollador lo desea, almacenamos las aplicaciones firmadas y garantizamos la seguridad de las aplicaciones y sus distintas versiones, con lo que se evitan prdidas de cdigo en caso de fallo de los servidores o sistemas alojados en las instalaciones de la empresa. Estas capas de seguridad y autenticacin adicionales ayudan a distinguir a los desarrolladores serios de los que pretenden introducir cdigo malicioso. Seguridad proactiva en tiempo real Los sitios web de comercio electrnico estn entre los que tienen ms puntos vulnerables, como el riesgo de descargas no autorizadas, y un sitio web cualquiera puede llegar a tener miles de vulnerabilidades que varan a medida que cambia dicho sitio web. Desde el punto de vista tecnolgico, las defensas en tiempo real identifican con rapidez posibles puntos de entrada por los que se pueda daar, descargar o manipular los datos o las funciones de un sitio web. Un buen complemento de la proteccin existente es el anlisis y la elaboracin de informes automatizados sobre las vulnerabilidades de un sitio web y las posibles amenazas que lo ataen. El objetivo de un sistema de evaluacin de vulnerabilidad es detectar los puntos dbiles de su sitio web de comercio mvil que suelen sufrir ataques e informar sobre ellos. Los informes de vulnerabilidad deberan clasificar los problemas por tipos y nivel de riesgo, as como proponer medidas correctivas. De este modo, podr detectar y solucionar con rapidez problemas de seguridad crticos, con lo que le resultar ms fcil proteger su sitio web. Los certificados Symantec Premium SSL incluyen una herramienta de evaluacin de vulnerabilidad gratis. 8

Cmo garantizar la seguridad al hacer compras mediante dispositivos mviles: amenazas y soluciones

El anlisis contra software malicioso es otra forma de proteger el sitio web de comercio mvil en tiempo real, pues avisa si detecta una infeccin. El cdigo malicioso se puede ocultar en el cdigo fuente del sitio web y puede resultar difcil detectarlo sin llevar a cabo un anlisis exhaustivo lnea a lnea. Adems, una de las consecuencias de la infeccin podra ser que su sitio web acabara en una lista negra y que los motores de bsqueda lo excluyeran. Este tipo de proteccin debera sumarse al uso de programas tradicionales contra software malicioso, que se centran en el dispositivo cliente. La mayora de las soluciones de anlisis estn diseadas para impedir que los empleados descarguen o instalen software malicioso, y no para evitar que el sitio web de la empresa lo distribuya. El servicio de anlisis contra software malicioso de Symantec, que tambin se incluye con los certificados SSL, supervisa el sitio web de comercio mvil a diario y proporciona una lista de las pginas infectadas, indicando el cdigo que causa el problema. A continuacin, podr aplicar la medida correctiva pertinente en el sitio web. Conclusin Si su empresa aborda de forma global la seguridad de los sitios web, sobre todo los de comercio electrnico, podr inspirar confianza en lnea en todo momento al tiempo que se defiende de los hackers. Se prev que el gasto global realizado mediante dispositivos mviles supere los 171 500 millones de dlares en el ao 201220, lo que significa un aumento del 61,9 % con respecto a 2011, as que es de vital importancia mantener la reputacin en Internet de su empresa. Existe una serie de servicios complementarios, como el cifrado SSL, la evaluacin de vulnerabilidad y el anlisis contra software malicioso, que detectan posibles problemas, los analizan, avisan de su existencia y le defienden de ellos, con lo que garantizan la seguridad de sus clientes y protegen la reputacin de su empresa. Como estos servicios inspiran una mayor tranquilidad y confianza, los internautas visitarn su sitio web de comercio mvil sin temor, lo cual se traducir a su vez en un aumento de las transacciones y una mejora de los resultados comerciales de la empresa.

20

Nota de prensa, Gartner, 2012.

Cmo garantizar la seguridad al hacer compras mediante dispositivos mviles: amenazas y soluciones

Ms informacin Visite nuestro sitio web www.verisign.es Para contactar con un especialista en nuestros productos Llame al 900 93 1298 o al +41 26 429 7727. Acerca de Symantec Symantec es lder mundial en soluciones de gestin de sistemas, almacenamiento y seguridad. Su objetivo es ayudar a empresas y particulares a gestionar y proteger sus datos en un mundo cada vez ms dominado por la informacin. Nuestros servicios y programas garantizan una proteccin ms completa y eficaz frente a una mayor cantidad de riesgos, lo que es sinnimo de tranquilidad sea cual sea el medio donde se utilice o almacene la informacin. Symantec Spain S.L. Parque Empresarial La Finca Somosaguas, Paseo del Club Deportivo, Edificio 13, oficina D1, 28223, Pozuelo de Alarcn, Madrid, Espaa www.symantec.es

2012 Symantec Corporation. Todos los derechos reservados. Symantec, el logotipo de Symantec y el emblema del crculo con la marca de verificacin son marcas comerciales o marcas registradas de Symantec Corporation o sus filiales en los Estados Unidos y otros pases. VeriSign, VeriSign Trust y otras marcas relacionadas son marcas comerciales o marcas registradas de VeriSign, Inc., sus filiales o subsidiarias en los Estados Unidos y otros pases, otorgadas bajo licencia a Symantec Corporation. Los dems nombres pueden ser marcas comerciales de sus respectivos propietarios.

10