286 CAPITULO S Sis temas de seguridad y de pagos en el comercio elec1rónico
iCREE USTED QUE SU TELÉFONO INTELIGENTE
ES SEGURO?
Hasta el momento se han identi·
ficado públicamente pocas filtra·
ciones de seguridad a gran escala
en teléfonos inteligentes. En 2012,
el mayor peligro para Ja seguridad que
enfrentaron los usuarios de teléfonos lnteligen·
tes era perder su teléfono. En realidad, todos los
datos personales y corporativos almacenados en
el dispositivo, asr como el acceso a datos corpo-
rativos en servidores remotos, están en r1esgo. En
muchas empresas de Wall Street. perder el telé-
fono de la empresa significa perder el empleo. Aun
asr, para los delincuentes resurta mucho más fácil
y lucrativo robar datos personales y financieros
a partir de computadoras personales que atacar
teléfonos móviles. Pero con los teléfonos inteli·
gentes superando en ventas a fas computadoras
personales en 2012, y al ser utilizados cada vez
mh como dispositivos de pago, es probable que
se conviertan en una v(a importante de malware.
i.Alguna vez ha comprado software antivirus
para su teléfono inteligente? Probablemente no.
Muchos usuarios creen que no es probable que sus
iPhone y Android sean hackeados, ya Que Apple
y Google los están protegiendo de apllcaciones
de malware, y que las compañías telefónicas
como Verrzon y AT &T pueden mantener la red de
telefonla móvil limpia de malware, tal como lo
hacen con el sistema telefónic,o de lfnea fija. Los
sistemas telefónicos son "cerrados" y, p.or tanto,
no están sujetos a los tipns de ataques que ocurren
en la abierta internet.
Hasta la fecha,. no ha habido un gran hackeo
de teléfonos inteligentes que provoque pérdidas
millonarias, filtración de millones de tarjetas de
crédito o filtración de seguridad nacional, pero
simplemente porque no ha sucedido no significa
que no sucederá. Con lló mlllones de usuarios
de teléfonos inteligentes en Estados Unidos, 122
mlllones de personas Que acceden a Internet desde
www.freelibros.org
dispositivos móviles, empresas Que cada vez más
cambian a sus empleados a la platafonma móvil
y consumidores que utilizan sus teléfonos para
realizar transacciones financieras e incluso pagar
facturas, el tamaño y la riqueza de los teléfonos
inteligentes e.amo objetivo para los hackers es
cada vez mayor. El ecosistema de los teléfo..
nos intel igentes es un objetivo muy grande hoy
en dla y ofrece mucl>as oportunidades para los
delincuentes. los usuarios de teléfonos Inteligen-
tes descargan y abren archivos con sus Ra\Oega-
dores y envlan y reciben Información financiera,
personal y comercial. Los hackers pueden hacerle
a un teléfono Inteligente casi cualquier cosa que
pueden hacerle a otro dispositivo de internet:
solicitar archivos maliciosos sin la Intervención
del usuario, borrar y transmitir archivos, instalar
programas que se ejecutan en segundo plano y
pueden monitorear las acciones del usuaño y, po-
tencialmente, convertir el teléfono en un robot que
se puede utilizar en una botnet para enviar men-
sajes de correo electrónico y de texto a cualquier
persona.
Las aplfcaciones son uoa vía ideal para
posibles filtraciones de seguridad. Apple, Google
y RIM CBlackBerry) ofrecen en conjunto más de
1.25 millones de aplicaciones. Apple afirma que
examina cada una de sus apllcaclones para asegu-
rarse de que cumpla con las normas de iTunes de
Apple, pero persiste<i los riesgos. En la mayorla
de los casos conocidos que han ocurrido hasta
el momento se han visto involucrados teléfonos
con jailbreak. En julio de 2012, Apple confirmó
la pñmera aplicación para iPhone con matware
incrustado en la tienda de iTunes. Sin embargo,
ta compañía de seguridad Kaspersky esperaba
que el iPhone enfrentara un ataque de malware
al año siguiente. Las normas de las aplicaciones
iTunesde Apple hacen que cierta información del
usuario esté disponible de manera predeterminada
para todas las aplicaciones, Incluyendo la posición
GPS y el nombre del usuario. Sin embargo, una
apUcaclón bandida fácilmente podrla hacer mucho
más. Nlcolas ｓ･ｲｩｯｾ＠ un Investigador suizo, creó
una aplicación de prueba llamada "SpyPhone"
que era capaz de rastrear usuarios y todas sus

actividades y luego transmltl restos datos a servi-
､ｯｾ＠ remotos, todo sin el conocimiento del usua-
rio. La aplicación recogla datos de localización
geográfica, contraseñas, entradas de la libreta de
direcciones e información de cuentas de e-arreo
electrónico. Apple retiró la aplicación una vez
que fue identificada. El hecho de que el equipo de
revisores de iTunes haya aceptado esta aplicación
de prueba sugiere que Apple no puede revisar
adecuadamente las nuevas aplicaciones antes de
aprobar su uso. Miles de aplicaciones surgen cada
semana.
Google tiene aún mucho menos control sobre
la seguridad de la plataforma Android, ya que ésta
tiene un modelo de aplicación abierto. Como ｲ･ｳｵｾ＠
tado, Androld ha sido el principal ｴ･ｬｾｦｯｮ＠ Inte-
ligente obJeUvo y se ha Informado que los casos
de malware ocurridos en la plataforma Androld
han aumentado 400%. Google no revisa ninguna
de las ｡ｰｬｩ｣ｯｾｳ＠ destinadas a la plataforma
Android, sino que se basa en barreras técnicas
para limitar el impacto del código malicioso tanto
como en la retroalimentación de los usuarios y
expertos en seguridad. las aplicaciones de ｇｯｾ＠
gte se ejecutan en una \\caja de arena", donde
no pueden a fectarse entre sí ni manipular las
funciones del díspositJvo sin permiso del usuario.
L.a.s apllcaclones Androld pueden utilizar cual-
quier Información personal que encuetitren en un
ｴ･ｬｾｯｮ＠ Drold, pero también tienen que Informar
al usuario lo que cada aplicación puede hacer y
ｱｵｾ＠ datos personales requiere. Google retira de su
mercado Android oficial cualquier aplicación que
no cumpla sus normas contra la atUvldad mali-
ciosa.. Un problema posible serla que lo$ usuaños
no prestaran atención a las solicitude$ de permiso
y simplemente hicieran clic en "Sí" cuando se
les solicitara el permiso. El iPhone de Apple no
informa a los usuarios qué datos están utilizando
las aplicaciones, sino que restringe la información
que puede recopilar cualquier aplicación.
- RIENTES: ..lbone fM1wa.a: ｓｰｮｾ＠ 'A-Id ni CIM ｗＡＱ｡､ｾａ｣＾ｦｬ＠ SIDfll•, por 1.td! fsxt*'. BCilta:wn, S dt J.1-lo dt 2012; "Fh:ln•Mal#Mt: J:as.
i-r*J&ptctsAc>Plt's os 11) bt lkld•At\alt by Nelrt ｙｾ Ｎ＠ pot ｓＮｾｇｮｳ＠ ftJffhg?M A'.1$\ lSdt IMJIOdt }012, "Andicid, Applt rn ｇｉｏｾｧ＠
\aeb'", p<lf 6)tonAa>hl6o. L&o. Todfy,J dt ,,_,io d• 2011; "Secl.rily IO w.d Off ｾｯｮ＠
www.freelibros.org
ｾＧｕＱ ［＠ "AT6T PIMs ｾｯｮ＠ s.cuniv SeMatfOJ 2012·. Jcti11 St.r!Uy, OhCIOr de leo'IMgr. dtAJ6:t EtrterprR, tr.'lrMSIJ d4i 16 dt
"SIMt¡Ílont ｳＮ｡ｩｾ＠ Folles:A Mefllsltltf,pot lkad Reed, Nft.Noti \4btkt. 18 C.t abrid• 2011; Ｆｰｦｴ､ＮｮｾｬＧＡｯ＠
p:w Elnor Mllll,. 04e r ｾ＠ 1 Ct >.rlo d! 20 U>: "Apph: Sta.ftt 8tNdl Qles ｾ＠
do 2010:-•...... c.r•mn.... IPhMt"' kMld.,9 111w>·. po10J111D1>"'"'""""""
Soluc i ones tecnológicas 2B7
Google puede realizar una limpieza
remota de aplicaciones ofensivas • partir
de todos los teléfonos Droíd sin Intervención del
usuario. É$ta es una herramienta maravillosa,
pero es en sí misma una amenaza de seguridad
si los hackers obtienen acceso a la capacidad de
limpieza remota ubicada en Google. En un inci·
dente, Google sacó docenas de aplicaciones de
banca m6vit creadas por un desarrollador llamado
"090roid". Se dijo que las aplicaciones ｰｲｯｾ＠
cionaban acceso a los usuarios a sus cuentas en
muchos bancos de todo el mundo. De hecho, las
apl lcaclones no podlan conectar a los usuarios a
ningún banco y las retira.ron antes de que pudieran
causar mucho dallo. Google adopta medidas pre-
ventivas para reducir las aplicaciones de malware,
como investigar los antecedentes de los desarro-
lladores y exlgl ries que se registren en su servicio
de pago Google Wal let <tanto para animar a los
U$Uarios a que paguen por las aplicacjones que
utilizan sus serviciosc:omo también para forzar a
los desarrolladores a revelar su identidad e infor·
mación financiera).
Más allá de la amenaza de las aplicaciones
bandidas, los teléfonos inteligentes de todo tipo
son susceptibles aJ malv1are de navegador que
aprovecha las vulnerabilidades que encuentra en
todos los navegadores. Además, la mayorla de
los teléfonos Inteligentes, incluyendo el IPhone,
permite a los fabricantes descargar remotamente
los archivos de configuración para actualizar los
sistemas operativos y las protecciones de seguri-
dad. Por desgracia, se han descubierto fallas en
los procedimientos de cifrado de clave püblicaque
permiten el acceso de servidor remoto al iPhone,
lo que ha dado lugar a más preguntas sobre la
seguridad de este tipo de operaciones.
Algunos analistas consideran que estas pre--
ocupaciones son más un mito que una realidad.
Pero el mito puede volverse real id ad.
C)btot·
Pbone"'.f>Of !&Ja ｒｩ､ｬｭ￳ｦＡＮｾ＠ l'Olt rimes, 23 d• r.bleiode
°"'°
6' 2012:
Sea.dy Dlfieftnt Bllt ｍ｡ｲＮ､Ｇｬｴｾ Ｎ＠
Aa:ess to 'tour Fltor-_,e•. JlOf Jé Ofat, <ibmodo.m"' l dt ar.;ost.o
d12010