Está en la página 1de 7

26

Seguridad en SmartPhones
AMBULUDI JOHN, Universidad Tecnica Particular de Loja
CASTILLO EDWIN, Universidad Tecnica Particular de Loja
CORDOVA ERICK, Universidad Tecnica Particular de Loja
LIMA MILTON, Universidad Tecnica Particular de Loja

En la actualidad un sin numero


de telefonos se han introducido e influido en la manera en la que llevamos
nuestras vidas. No importa si se les llama smartphones, computadoras de mano, telefonos de funciones o PCs
de bolsillo, al final resultan en telefonos celulares con computadoras integradas. Se diferencian de otros en
que cuentan con un sistema operativo complejo, pueden ejecutar una diversidad de aplicaciones de software
y proporcionar acceso a la web. Los nuevos modelos aparecen a un ritmo vertiginoso, cada uno con nuevas
rapidos,

funciones, la promesa de ser mas


avanzados, versatiles
y con mayor facilidad de uso. La combinacion
de popularidad, precios bajos, disponibilidad inmediata y nuevas caractersticas, pueden llevar a los usuarios
a pasar por alto aspectos importantes de seguridad que se aplican a todas las computadoras en red, sin
Los usuarios actuales de smartphones se encuentran en una situacion muy similar a la
importar su tamano.
usuarios de computadoras. Los recursos de seguridad para smartphones
que enfrentaban hace quince anos
totalmente desarrollados. Como resultado, la mayora de los smartphones poseen
son limitados y no estan
un menor nivel de seguridad si se les compara con los equipos de escritorio o laptops. Mientras tanto, la

complejidad de los smartphones sigue creciendo junto con el numero


y tipo de amenazas transmitidas por la
para el malware (software malicioso) y para los intrusos,
red. Esto hace de los smartphones un objetivo facil
atractivo que los equipos de escritorio o portatiles

y un objetivo mas
protegidos adecuadamente.

En el presente artculo se presenta un analisis


teorico acerca de algunos sistemas operativos de SmartPhones los mismos que si bien han incrementado su demanda en el mercado, tambien han incrementado sus

vulnerabilidades frente a posibles ataques. Este analisis


se presenta mediante una tabla comparativa entre
los sistemas IOS DE APPLE y ANDROID permitiendo de esta forma conocer el sistema operativo menos
vulnerable a malware e intrusos.
Categories and Subject Descriptors: ACM [Transactions on Computer-Human Interaction]: Seguridad
General Terms: Seguridad, Cibercrimen, Vulnerabilidades
Additional Key Words and Phrases: Telefonos inteligentes, malware, iOS, medidas de seguridad, ataques a
usuarios
ACM Reference Format:
Ambulud John, Castillo Edwin, Cordova Erick y Lima Milton, 2014. Seguridad en SmartPhones ACM
Trans. Comput.-Hum. Interact. 21, 5, Article 26 (July 2014), 7 pages.
DOI:http://dx.doi.org/10.1145/0000000.0000000

Este trabajo es apoyado por la Universidad de las Fuerzas Armadas ESPE, bajo las concesiones CNS0435060, CCR-0325197 y EN-CS-0329609.
Direcciones de los autores: A. John, Seccion Departamental de Electronica y Energa, Universidad Tecnica
Particular de Loja; C. A. Edwin y C. Erick, Seccion Departamental Telecomunicaciones y Redes, Universidad
Tecnica Particular de Loja; L. Milton, Seccion Departamental Ciencias de la Computacion y Electronica,
Universidad Tecnica Particular de Loja.
Permission to make digital or hard copies of part or all of this work for personal or classroom use is granted
without fee provided that copies are not made or distributed for profit or commercial advantage and that
copies show this notice on the first page or initial screen of a display along with the full citation. Copyrights
for components of this work owned by others than ACM must be honored. Abstracting with credit is permitted. To copy otherwise, to republish, to post on servers, to redistribute to lists, or to use any component
of this work in other works requires prior specific permission and/or a fee. Permissions may be requested
from Publications Dept., ACM, Inc., 2 Penn Plaza, Suite 701, New York, NY 10121-0701 USA, fax +1 (212)
869-0481, or permissions@acm.org.
c 2014 ACM 1073-0516/2014/07-ART26 $15.00

DOI:http://dx.doi.org/10.1145/0000000.0000000
ACM Transactions on Computer-Human Interaction, Vol. 21, No. 5, Article 26, Publication date: July 2014.

26:2
1.

Autores

INTRODUCCION

Determinar la seguridad en los dispositivos moviles se ha tornado un tema muy


fundamental hoy en da, dando a conocer a toda la poblacion mundial que gran par a la persona, extorsion, se da por este medio
te de estafas, robo de informacion, dano
conociendose con el nombre de cibercrimen. El aumento de aplicaciones en los sistemas operativos de dispositivos moviles ha permitido que se disparen nuevos riesgos de
usadas por los usuarios en telefonos inteligentes
seguridad. Las funcionalidades mas
son el acceso a redes sociales, compras online, transacciones bancarias y navegacion
por la web. Por este y otros motivos se debe tomar las precauciones necesarias para
garantizar el respaldo, seguridad e integridad de la persona cuando da uso a este dispositivo. En el transcurso de este documento se hara referencia a las vulnerabilidades,
vulnerables, ataques comunes y que hacer
los sistemas operativos en dispositivos mas
para evitarlos.
2.

CIBERCRIMEN

El cibercrimen en dispositivos moviles es un delito; un intruso pretende conseguir


y perjuicios a la persona quien lo
un beneficio principalmente economico, causar danos

usa. Estos cibercriminales crean virus informaticos


y programas troyanos que pueden
entre otras afecciones:
Robar los codigos de acceso a cuentas bancarias.
Promocionar productos o servicios en el ordenador de la vctima.
Utilizar ilegalmente los recursos de un ordenador infectado para desarrollar y ejecutar:
r Campanas
de spam.
r Ataques a la red distribuidos (tambi
en llamados ataques DDoS).
r Operaciones de chantaje.
un exLos telefonos inteligentes, smartphones, son objetivo del cibercrimen segun
perto de RIM, la empresa de BlackBerry. Scott Totzke ha afirmado a Reuters que al

tratarse de moviles que son practicamente


ordenadores, pueden ser objeto de ataques
de denegacion de servicio1 de la misma manera que lo son las computadoras. Un fin
muy difcil de combatir a los cibercriminales de telefonos inteligentes, es la llama
da ingeniera social, en la que el asaltante obtiene informacion delicada enganando
a
quien la posee haciendose pasar por una persona de su confianza o con metodos simi un informe de Symatec: ((Con el aumento de las amenazas polimorficas
lares. Segun
y la explosion de malware en el 2009, la industria se ha dado cuenta de que los enfoques tradicionales de antivirus no son suficientes para protegerse contra las amenazas
actuales)).
3.

TIPOS DE ATAQUES EN DISPOSITIVOS EN DISPOSITIVOS MOVILES


INTELIGENTES

comunes, planificados por los atacantes tenemos:


Entre los ataques mas
Ataques basados en la web y en redes.
Software malicioso.
Ataques de ingeniera social.
Abuso de disponibilidad de servicios y recursos.
Perdida de datos maliciosa y no intencionada.
Ataques sobre la integridad de los datos del dispositivo.
1 Denegaci
on

de servicio, lanzamiento masivo de peticiones de acceso a un sitio para bloquearlo.

ACM Transactions on Computer-Human Interaction, Vol. 21, No. 5, Article 26, Publication date: July 2014.

Seguridad en SmartPhones
4.

26:3

IOS DE APPLE

El sistema operativo iOS de Apple empleado en dispoditivos como iPods, iPhones o


iPads, es una version reducida del sistema operativo OS Apple. Este sistema esta bien

disenado
y cuenta con un mejor empleo de seguridad, pero si hablamos de vulnerabi Investigadores en seguridad descubrieron 200 vulnerabililidades posee muchas mas.
dades diferentes en diversas versiones del sistema operativo iOS desde su lanzamiento
inicial. Casi la totalidad de estas vulnerabilidades corresponda a un nivel de severidad bajo. La mayora permitira al atacante tomar control de un solo proceso, como
Safari, pero no le permitira tomar control del dispositivo a nivel administrador. Las
vulnerabilidades correspondan a una severidad mayor, las mismas permitiran
demas

al atacante tomar control del dispositivo a nivel administrador, suministrandole


acceso
severas
a casi todos los datos y servicios del dispositivo. Estas vulnerabilidades mas
se clasifican como vulnerabilidades de ((escalamiento de privilegios)) porque permiten
los
que el atacante aumente los mismos y obtenga el control total del dispositivo. Segun
datos de Symantec al momento en que se redacto esta investigacion, Apple tardo aproximadamente 12 das en corregir cada vulnerabilidad una vez descubierta.
4.1.

Medidas de Seguridad en el Sistema Operativo iOS

El sistema de encriptacion de iOS ofrece una solida proteccion para los mensajes de
correo electronico y sus archivos adjuntos, y permite el borrado del dispositivo, pero
ofrece poca proteccion contra los ataques a dispositivos fsicos de un determinado
atacante.
El enfoque de procedencia de iOS garantiza que Apple estudia de forma cuidadosa

cada aplicacion publica


disponible. A pesar de que este enfoque de estudio exhaustivo
no es a toda prueba y puede ser evadido por un determinado atacante casi con segu
ridad; ha demostrado ser un gran obstaculo
para los ataques de software malicioso,
perdida de datos, integridad de datos y negacion de servicio.

El modelo de aislamiento de iOS evita completamente los tipos de virus informaticos


y gusanos tradicionales y limita los datos a los que el spyware puede acceder. Tambien
limita la mayora de los ataques basados en la red, como por ejemplo que la memoria
buffer tome control del dispositivo. Sin embargo, no necesariamente evita todos los
tipos de ataques de perdida de datos, abuso de recursos o integridad de los datos.
El modelo de permisos de iOS garantiza que las aplicaciones no puedan obtener la
ubicacion del dispositivo, enviar mensajes SMS ni iniciar llamadas sin el permiso del
propietario.
5.

ANDROID

Android es una union entre el sistema operativo Linux y una plataforma basada en
Java denominada Dalvik, una version de la popular plataforma Java.
5.1.

Vulnerabilidades

Los investigadores de seguridad haban descubierto un total de 18 vulnerabilidades


diferentes en diversas versiones del sistema operativo Android desde su lanzamiento. De manera similar al sistema Apple, la mayora de estas vulnerabilidades correspondan a un nivel bajo de severidad y solo podran permitir al atacante tomar control
de un solo proceso, mas no tomar control del dispositivo a nivel administrador.
Las restantes correspondan a un nivel de severidad mayor, y podran permitir

al atacante tomar control del dispositivo a nivel raz, suministrandole


acceso a casi
todos los datos del dispositivo. Hasta la fecha, Google ha corregido 14 de estas 18
vulnerabilidades. De las cuatro vulnerabilidades no corregidas, una corresponde al
severo. Esta vulnerabilidad fue corregida en la
tipo de escalamiento de privilegios mas
ACM Transactions on Computer-Human Interaction, Vol. 21, No. 5, Article 26, Publication date: July 2014.

26:4

Autores

version 2.3 de Android, mas no en versiones anteriores del mencionado sistema. Dado
que la mayora de los proveedores no han actualizado los telefonos de sus clientes

de Android, practicamente
todos sus dispositivos podran ser vulnerables a ataques.
Esta vulnerabilidad puede ser aprovechada por cualquier aplicacion de terceros y
los datos de
no requiere que el atacante tenga acceso fsico al dispositivo. Segun
Symantec, Google tardo aproximadamente 8 das en corregir cada vulnerabilidad una
vez descubierta.
5.2.

Permisos en las aplicaciones de Android

Que hay detras?

Cuando descargamos alguna aplicacion desde Google Play son requeridos varios per de una ocasion nos han llamado la atencion y se hacen presentes premisos que en mas
guntas como Por que se requieren estos permisos? Se relacionan con la aplicacion?
Es seguro otorgarlos?
La respuesta en general, aunque suene un tanto simple, normalmente es porque los
necesitan. Los fabricantes de smartphones han implementado un mecanismo de seguridad que permite a los usuarios del dispositivo controlar que no ocurran situaciones
no deseadas, y a su vez en donde sean requeridos se admitan estos permisos.
Vamos a tomar como ejemplo a la aplicacion Perpetuall, la cual permite mantener
nuestros contactos siempre actualizados.
Que permisos solicita?

Fig. 1. Permisos solicitados por la aplicacin PERPETUALL

Haciendo referencia a los argumentos dictados por uno de sus creadores, a continuacion se explica el porque de algunos de ellos.
ID de dispositivo, SMS y Telefono
ACM Transactions on Computer-Human Interaction, Vol. 21, No. 5, Article 26, Publication date: July 2014.

Seguridad en SmartPhones

26:5

Lo que se busca es que cuando un usuario se registre con un numero


telefonico se
evite la suplantacion de identidad. Un SMS es enviado con un codigo que debe ser
introducido en la aplicacion. Para evitar un proceso manual, la aplicacion tiene una

acceso a los SMS, confirma el envo del mismo y lo introduce en el parametro


que as lo
requiere.
Fotos/Medios/Archivos
El almacenamiento externo es para que la aplicacion pueda ser trasladada a una
memoria externa cuando la interna ya esta en su lmite de capacidad.
En breves rasgos podemos observar que dichos permisos son justificados y en s lo
que buscan los desarrolladores es brindar el mayor confort a los usuarios.
Ahora bien, nosotros como usuarios que medidas debemos tomar para saber si los
permisos solicitados guardan coherencia con la aplicacion? Solicitar un permiso es una
accion que bien puede usarse de manera malintencionada, si se solicita acceso a la

tarjeta de memoria secundaria de un telefono y e sta es permitida, se otorgara practicamente un acceso a ((todo)).
Como primera pauta debemos instalar solamente aplicaciones que se alojan en sitios
confiables; si bien es cierto, aunque el porcentaje de confiabilidad no es total, la gigante
Google busca que en su tienda de aplicaciones (Google Play) solamente se oferten las
que son seguras y siguen protocolos que excluyen a desarrolladores maliciosos.
Otras medidas que se pueden adoptar son fijarse en los comentarios que otros usua que los
rios han dado por escrito luego de la interaccion con la aplicacion, ademas
creadores de la misma expliquen la necesidad de los permisos que solicitan.

Por ultimo
esta el recurso ((sospecha)), la idea es formar usuarios curiosos que inda su criterio estan
injustificados, y que, como fin
guen acerca de los permisos que segun
inicial, aprovechen todos los recursos posibles de sus smartphones, y as facilitar un

sin numero
de actividades llevadas da a da.
5.3.

Aspectos importantes de la seguridad de Android

Consideramos que el modelo de seguridad de Android representa una mejora importante por sobre los modelos utilizados por los sistemas operativos de escritorio y
basados en servidores; sin embargo, presenta dos desventajas importantes. En primer
lugar, su sistema de procedencia permite que los atacantes creen y distribuyan software malicioso en forma anonima. En segundo lugar, aunque su sistema de permisos es
extremadamente potente, es el usuario el que debe tomar las decisiones importantes
capacitarelacionadas con la seguridad, y desafortunadamente, la mayora no estan
dos tecnicamente para tomar dichas decisiones, lo que ya ha dado lugar a ataques de
ingeniera social.
En resumen:
El enfoque de procedencia de Android garantiza que solo se puedan instalar aplicaciones firmadas digitalmente en dispositivos que corren este sistema operativo. Sin
embargo, los atacantes pueden utilizar certificados digitales anonimos para firmar
sus amenazas y distribuirlas por Internet sin ninguna certificacion de Google. Los

atacantes tambien pueden ((troyanizar)) o inyectar codigos maliciosos facilmente


en

aplicaciones legtimas y redistribuirlos facilmente


por Internet, firmandolos
con un
nuevo certificado anonimo. En cuanto al aspecto positivo, Google requiere que los autores de aplicaciones que deseen distribuir las suyas a traves de Google Play paguen
un arancel y se registren en Google (compartiendo su firma digital de desarrollador
con Google). Al igual que con el enfoque de registro de Apple, e ste representa un

obstaculo
para los atacantes menos organizados.
ACM Transactions on Computer-Human Interaction, Vol. 21, No. 5, Article 26, Publication date: July 2014.

26:6

Autores

La poltica de aislamiento predeterminada de Android logra aislar en forma efectiva


las aplicaciones entre s y de la mayora de los sistemas del dispositivo, por ejemplo,
del kernel del sistema operativo de Android, con diversas excepciones significantes.
El modelo de permisos de Android garantiza que las aplicaciones sean aisladas de
casi todos los sistemas de los dispositivos principales, a menos que requieran acceso a dichos sistemas explcitamente. Desafortunadamente, Android deja al usuario

la ultima
decision acerca de otorgar permisos a una aplicacion o no, lo cual lo de
ja abierto a ataques de ingeniera social. La gran mayora de los usuarios no estan
preparados para tomar estas decisiones, por lo que son vulnerables a ataques de software malicioso y a todos los ataques secundarios (ataques de denegacion de servicio,
perdida de datos, etc.) que pueden ser iniciados por software malicioso.
Actualmete Android no ofrece ninguna encriptacion integrada ni predeterminada;
solo se basa en el aislamiento y el otorgamiento de permisos para resguardar los
datos. Por ello, un simple jail-break de un telefono Android o el robo de la tarjeta SD
de un dispositivo puede significar una gran perdida de datos.
6.

FORMAS DE ATAQUES HACIA LOS USUARIOS

Una forma que han utilizado los ciberdelincuentes como manera de extorsion a las
personas que usan dispositivos inteligentes, se basa en el envo de mensajes en los
que piden un incentivo economico, aduciendo que su telefono ha sido pirateado y que
para desbloquearlo se les enve dinero. A partir de esto debemos tener en cuenta que
siempre habra una nueva forma de burlar la seguridad.
En la actualidad, los cibercriminales van a hacer que la deteccion de sus programas
compleja y para ello utilizaran
de forma cada vez mas

maliciosos sea cada vez mas


recurrente, la tecnologa cloud, un perfecto aliado para ocultar sus agresiones, realizar
ataques o descargar malware en ordenadores infectados. G Data ya ha comprobado es
te ((modus operandi)), aunque de momento esporadicamente,
en determinados troyanos

bancarios en 2013. En estos casos, el propio codigo malicioso se completaba dinamicamente desde la nube en el momento del ataque para evitar detecciones precoces. Los
flexibles y podan disimular mejor los ataques.
ciberdelincuentes estaban siendo mas
los expertos de G Data, los criminales se centraran
en el robo de los datos perSegun
sonales y la formacion de botnets2 de telefonos inteligentes.
7.

RESULTADOS COMPARATIVOS

DESCRIPCION
Version del sistema
Fecha de lanzamiento
Vulnerabilidades detectadas
Vulnerabilidades arregladas
Tipo de plataforma
Kernel
Actualizaciones

Numero
de aplicaciones
Instalacion de App de fuentes desconocidas

ANDROID
4.4
11/2007
18
14
abierta
Linux
S
800 000
s

IOS APPLE
7.1
06/2007
200
200
cerrada
OSX
S
750 000
no

Tabla 1. Comparativa: ANDROID - IOS


2 Botnets, es un t

ermino que hace referencia a un conjunto o red de robots informaticos


o bots, que se ejecutan

de manera autonoma y automatica.


El artfice de la botnet puede controlar todos los ordenadores/servidores
infectados de forma remota y se usan para diversas actividades criminales.

ACM Transactions on Computer-Human Interaction, Vol. 21, No. 5, Article 26, Publication date: July 2014.

Seguridad en SmartPhones
8.

26:7

CONCLUSIONES

Los smartphones son dispositivos portatiles


de usos multiples
que encierran una gran
cantidad de aplicaciones de terceros los cuales amplan la funcionalidad del dispositivo. Los modelos de seguridad de telefonos inteligentes existentes permiten mecanismos y procesos que controlan la instalacion y ejecucion de aplicaciones. Aun as, la
seguridad funcional de los mecanismos de seguridad que se adopten parece ser controversial. Su capacidad para proteger los dispositivos de un ataque de privacidad de

desarrolladores atacantes como los estudiantes de informatica


de grado y postgrado,
ha demostrado ser poco clara.

Este analisis
conceptual ha confirmado que todas las plataformas de telefonos inteligentes poseen desarrolladores del malware que laboran continuamente permitiendose as aumentar los ataques a la privacidad y la cosecha de datos desde el dispositivo
sin el conocimiento del usuario.
Se conoce la facilidad que existe para el desarrollo de aplicaciones de malware por
programadores promedio que tienen acceso a las herramientas oficiales y bibliotecas de programacion proporcionadas por plataformas de telefonos inteligentes. Una
solucion contra escenarios de ataque similares no esta disponible.
Existen soluciones que se pueden utilizar para evitar un posible brote de malware
en los telefonos inteligentes como el conocimiento del usuario, es decir, dotarlos de
informacion acerca de la seguridad y riesgos de privacidad en plataformas de telefo proporcionar una distribucion segura de aplicaciones en
nos inteligentes, y ademas
plataformas de telefonos inteligentes.
9.

REFERENCIAS

EL
PAIS,
TECNOLOGIA.
Los
telefonos
inteligentes,
otro
objetivo
del
cibercrimen,
Barcelona,
Noviembre
18,
2009
desde
http://tecnologia.elpais.com/tecnologia/2009/11/18/actualidad/1258538463 850215.html
SUMMA. Symantec: Un antivirus no sera suficiente en 2010, Julio 21,
2014 desde http://www.revistasumma.com/tecnologia/494-symantec-un-antivirus-nosera-suficiente-en-2010.html
SYMANTEC - SECURITY RESPONSE. Una Mirada a la Seguri
dad de los Dispositivos Moviles. Analisis
de los enfoques de seguridad de las plataformas iOS de Apple y Android de Google desde
http://www.sadvisor.com/downloads/InformeSymantecSET.pdf
G DATA. Aficionados al Futbol,

dispositivos inteligentes y servicios en la


nube, objetivos del cibercrimen en 2014, Madrid, Diciembre 16, 2013 desde
https://www.gdata.es/pressecenter/comunicados/articulos/3427-aficionados-al-futboldispos.html
PERPETUALL.
Contactos
Siempre
Actualizados,
desde
http://www.perpetuall.net/index es.html
CARLOS POLO GIL. Julio 01, 2014 desde http://carlospologil.com/
Mylonas A., Dritsas S, Tsoumas V., Gritzalis D., ??Smartphone Security Evaluation
?? The Malware Attack Case?, in Proc. of the International Conference on Security and
Cryptography (SECRYPT- 2011), P. Samarati, J. Lopez (Eds.), pp. 25-36, SciTePress,
Spain, July 2011.

ACM Transactions on Computer-Human Interaction, Vol. 21, No. 5, Article 26, Publication date: July 2014.