SlideShare una empresa de Scribd logo
1 de 78
Descargar para leer sin conexión
Seguridad en dispositivos móviles
CFIE SALAMANCA – MARCO A. LOZANO
FEBRERO 2015
2
▪ Aspectos básicos de seguridad y usos inadecuados.
▪ Ataques a los dispositivos móviles.
▪ Diferentes tipos de conexiones inalámbricas y su
configuración.
▪ Principales funcionalidades de los sistemas
operativos móviles más implantados.
▪ Utilidad y riesgos de la geolocalización.
Índice
3
▪ Procedimientos y recomendaciones básicas de
seguridad.
▪ Configuración WiFi y protección frente a
conexiones inalámbricas públicas.
▪ BYOD.
Índice
4
1. La seguridad en el dispositivo y en las memorias
extraíbles.
2. Seguridad física ante el:
▪ Robo
▪ Pérdida
▪ Deterioro
Aspectos básicos de seguridad
5
3. Seguridad lógica:
▪ Uso indebido de comunicaciones
▪ Acceso al contenido por terceros
▪ Aplicaciones maliciosas
▪ Pagos con el móvil
▪ Infección del dispositivo por malware
4. ¿Qué hacen las aplicaciones maliciosas?
▪ Objetivos de la aplicación
Aspectos básicos de seguridad y usos
inadecuados
6
4. ¿Qué hacen las aplicaciones maliciosas?
▪ ¿Cómo lo hacen?
▪ Ejemplos
▪ Otros ejemplos
▪ Informe
▪ ¿Cómo protegernos?
5. Usos inadecuados del dispositivo
Aspectos básicos de seguridad y usos
inadecuados
7
1. La seguridad en el dispositivo y en las memorias
extraíbles.
▪ Tanto el dispositivo como la memoria extraíble presente en algunos
Android es susceptible de robo o deterioro.
Aspectos básicos de seguridad y usos
inadecuados
8
1. La seguridad en el dispositivo y en las memorias
extraíbles.
▪ Si el dispositivo o la memoria extraíble contiene información sensible
es conveniente cifrar ambos elementos
▪ En caso de hurto o pérdida la información almacenada si está cifrada
será inaccesible.
▪ Si un dispositivo o memoria es sustraído y sus datos no están cifrados
toda la información puede ser accesible por un tercero.
Aspectos básicos de seguridad y usos
inadecuados
9
2. Seguridad física
▪ Debido a su tamaño, su movilidad y su precio, los teléfonos móviles
son dispositivos que se pierden o son robados con relativa
frecuencia.
Aspectos básicos de seguridad y usos
inadecuados
10
2. Seguridad física
▪ El robo o pérdida del dispositivo pueden producir pérdida de
confidencialidad.
▪ La pérdida de confidencialidad puede afectar muy negativamente al
propietario. (The fappened, CellebGate, etc.)
▪ Los datos pueden hacerse públicos o utilizados para extorsionar a su
propietario.
▪ Si el dispositivo es corporativo la imagen de la empresa puede verse
dañada, lo que deriva en pérdidas económicas.
Aspectos básicos de seguridad y usos
inadecuados
11
2. Seguridad física
▪ Dispositivos y memorias externas con el tiempo y el uso se deterioran.
▪ El deterioro puede ser tan severo que inhabilite las funcionalidades
del dispositivo.
Aspectos básicos de seguridad y usos
inadecuados
▪ La pérdida de funcionalidad puede ser
inmediata y sin previo aviso lo que puede
suponer un serio problema para su
propietario.
▪ La información almacenada puede ser
irrecuperable.
12
3. Seguridad lógica
▪ Evitar facilitar información confidencial en comunicaciones no seguras
(voz, SMS, Redes sociales, mensajería instantánea, …).
▪ Una comunicación que no esté cifrada si es interceptada será
accesible por el atacante. PoC WireShark y Joomla!
▪ Si se envía información confidencial por email revisar el destinatario
ya que la funcionalidad de autocompletar puede llevar a errores.
Aspectos básicos de seguridad y usos
inadecuados
13
3. Seguridad lógica
▪ Precaución al realizar pagos con dispositivos móviles y las distintas
tecnologías que los hacen posible:
□ Desactivar la conexión NFC cuando no se vaya a realizar ninguna
transacción con el dispositivo móvil. PoC
Aspectos básicos de seguridad y usos
inadecuados
14
3. Seguridad lógica
□ Si se usa como monedero virtual
tener especial cuidado con quien
accede al Smartphone.
□ Por norma general cualquier
tecnología que permita la transmisión
de información de manera
inalámbrica es recomendable que
este únicamente activa cuando se
utilice.
Aspectos básicos de seguridad y usos
inadecuados
15
3. Seguridad lógica
▪ Precaución a la hora de instalar aplicaciones (PoC):
□ Evitar instalar aplicaciones de los repositorios no oficiales.
□ Evitar instalar aplicaciones con pocas descargas.
□ Evitar instalar aplicaciones que solicitan permisos excesivos.
□ Evitar instalar aplicaciones cuya valoración por parte de los
usuarios sea negativa.
□ Evitar instalar aplicaciones cuyos comentarios
sean negativos.
Aspectos básicos de seguridad y usos
inadecuados
16
3. Seguridad lógica
▪ Establecer un código PIN a la SIM distinto al original y guardar en un
lugar seguro el código PUK.
▪ Activar la opción de bloqueo automático del dispositivo. Por ejemplo
que el Smartphone se bloquee si esta inactivo durante 1 minuto.
▪ Bloquear el dispositivo mediante contraseña, patrón, huella … PoC
descubrir patrón
▪ No tener privilegios de administrador (rootear o Jailbreak) PoC shell.
▪ En Android no activar la opción de depuración USB en las opciones de
desarrollador PoC.
Aspectos básicos de seguridad y usos
inadecuados
17
3. Seguridad lógica
▪ En Android no permitir la instalación de aplicaciones de origen
desconocidos.
▪ Instalar alguna app antivirus y herramientas de seguridad. (Poc Avast
& Conan)
▪ Cifrar los datos del
dispositivo - PoC.
Aspectos básicos de seguridad y usos
inadecuados
18
3. Seguridad lógica
▪ Instalar y activar alguna app de rastreo, bloqueo y borrado remoto por
si el dispositivo es perdido o robado.
▪ Instalar aplicaciones solo de los repositorios oficiales.
▪ Mantener el sistema operativo actualizado.
▪ Actualizar las aplicaciones a la última versión.
Aspectos básicos de seguridad y usos
inadecuados
19
3. Seguridad lógica
▪ Realizar copias de seguridad periódicamente. PoC BackUp
▪ No abrir correos electrónicos ni archivos adjuntos de remitentes
desconocidos. PoC
▪ No abrir archivos o enlaces de personas desconocidas enviados por
cualquier aplicación de mensajería instantánea. PoC
▪ No continúe los bulos en aplicaciones de mensajería instantánea
reenviándoselo a toda su agenda.
Aspectos básicos de seguridad y usos
inadecuados
4. ¿Qué hacen las aplicaciones maliciosas?
▪ Suscripción a servicios de tarificación especial «SMS Premium».
▪ Seguimiento de las ubicaciones del dispositivo y grabación del audio o
video para monitorizar al usuario. PoC Cerberus
▪ Monitorización de SMS provenientes de servicios bancarios.
▪ Robo de información personal como contactos, imágenes, vídeos.
20
Aspectos básicos de seguridad y usos
inadecuados
21
4. ¿Qué hacen las aplicaciones maliciosas?
▪ Secuestro del dispositivo móvil. PoC Virus Policía OSI
▪ Simulando ser aplicaciones de utilidad cuando realmente no tienen
ninguna, como los falsos antivirus.
Aspectos básicos de seguridad y usos
inadecuados
22
¿Cómo lo hacen?
Aspectos básicos de seguridad y usos
inadecuados
23
¿Cómo lo hacen?
Aspectos básicos de seguridad y usos
inadecuados
24
¿Cómo lo hacen?
Aspectos básicos de seguridad y usos
inadecuados
25
Ejemplos. Linterna HD (>5.000 descargas)
Aspectos básicos de seguridad y usos
inadecuados
26
Ejemplos. VirusShield (>10.000 descargas)
Aspectos básicos de seguridad y usos
inadecuados
27
Ejemplos. Escáner desnudo (>50.000 descargas)
Aspectos básicos de seguridad y usos
inadecuados
28
Ejemplos. Activar llamadas Whatsapp (100,000
descargas)
Aspectos básicos de seguridad y usos
inadecuados
29
4. ¿Qué hacen las aplicaciones maliciosas?
¿Otros ejemplos?
▪ Android/PowerOffHijack.A. Troyano que toma el control del dispositivo
cuando el usuario cree que esta apagado.
▪ Android Star N9500. Malware de fábrica incrustado en el firmware del
terminal que conecta con un servidor anónimo localizado en China.
▪ Botnets – RAT
▪ Algunos Smartphones fabricados en China traen bootkits.
Aspectos básicos de seguridad y usos
inadecuados
30
Informe (Situación del malware)
Aspectos básicos de seguridad y usos
inadecuados
31
¿Cómo protegernos?
▪ Descargar apps de markets oficiales.
▪ Observar la procedencia de la aplicación. El nombre de
desarrolladores de aplicaciones populares es un buen indicador para
comprobar la legitimidad de la aplicación.
Aspectos básicos de seguridad y usos
inadecuados
¿Cómo protegernos?
▪ Comprobar la puntuación (rating), así como los comentarios de los
usuarios, es otra fuente de información con la que podremos conocer
las experiencias de los usuarios a la hora de instalar y usar la
aplicación.
▪ Revisar los permisos solicitados por la aplicación.
▪ Usar software especializado (ConAn).
32
Aspectos básicos de seguridad y usos
inadecuados
5. Usos inadecuados del dispositivo
▪ En ocasiones, son los propios usuarios con su comportamiento los
que incrementan los riesgos producidos por los dispositivos móviles.
▪ Algunos comportamientos de riesgo:
□ Eliminar el código de bloqueo del dispositivo.
□ Utilizar el navegador para realizar algunas actividades que se
pueden realizar directamente a través de apps.
□ Activar la opción de ”Mantenerme conectado” en aplicaciones
sensibles.
33
Aspectos básicos de seguridad y usos
inadecuados
5. Usos inadecuados del dispositivo
▪ Algunos comportamientos de riesgo:
□ Tener la activada la opción para conectarse automática a redes
inalámbricas públicas. PoC
□ Conectarse a redes abiertas en lugares públicos. PoC
□ No realizar un borrado seguro del dispositivo una vez se deja de
utilizar. PoC - Wipe
□ Descargarse aplicaciones de dudosa procedencia.
□ No borrar el historial del navegador regularmente.
34
Aspectos básicos de seguridad y usos
inadecuados
5. Usos inadecuados del dispositivo
▪ Algunos comportamientos de riesgo:
□ Almacenar datos sensibles en el dispositivo sin la conveniente
protección.
□ No activar el sistema de borrado y bloqueo remoto. PoC
□ Activar la opción de orígenes desconocidos.
□ Navegar por sitios de dudosa credibilidad.
35
Aspectos básicos de seguridad y usos
inadecuados
Ataques a dispositivos móviles
1. Ataques comunes
2. Android Cool Boot Attack
3. Acceso a la base de datos de Whatsapp
4. iPhone Passcode bypass
36
Ataques a dispositivos móviles
1. Ataques comunes
▪ Si el dispositivo está desbloqueado, el atacante lo único que debe
hacer es mantenerlo desbloqueado para robar y modificar toda la
información que quiera. (Unroot)
▪ Los ataques pueden ser utilizados para intentar acceder al
dispositivo completo o a la información de una aplicación en
concreto
▪ Observar sin que el propietario se de cuenta, el código de
desbloqueo o lo que está haciendo o dejar marcas en la pantalla.
PoC
37
Ataques a dispositivos móviles
2. Android Cold Boot Attack
▪ La memoria RAM de un dispositivo necesita de electricidad para su
persistencia. Cuando un dispositivo se apaga, la corriente eléctrica
deja de fluir por el circuito y los datos se pierden poco a poco. La
temperatura del dispositivo tiene un gran efecto sobre la velocidad
de borrado de la RAM. A menor temperatura más tiempo tarda en
borrarse
38
Ataques a dispositivos móviles
2. Android Cool Boot Attack
▪ Aplicado a Android:
□ Se introduce el teléfono bloqueado en un congelador durante 1
hora.
□ Una vez extraído, se enchufa a un equipo mediante una
conexión USB y se reinicia.
□ Antes de cargar el sistema operativo principal, mediante la
conexión USB se carga el un módulo de arranque que lee los
contenidos de la memoria RAM y permite extraer contraseñas y
cualquier otro dato almacenado en la memoria.
39
Ataques a dispositivos móviles
3. Acceso a la base de datos de Whatsapp - PoC
▪ El programa de mensajería Whatsapp guarda todas las
conversaciones en una base de datos cifrada dentro del dispositivo.
▪ La clave de cifrado se genera durante la primera ejecución de la
aplicación y se guarda como un parámetro del programa.
▪ Existen programas (para Android) que permiten la extracción de
esta información
▪ Se realiza una copia de seguridad del contenido de
la aplicación a un equipo conectado mediante USB
40
Ataques a dispositivos móviles
3. Acceso a la base de datos de Whatsapp
▪ La aplicación localiza la clave y descifra la base de datos de la
versión de whatsapp para ese dispositivo
▪ Dependiendo de la versión puede no funcionar o dejar inservible la
base de datos.
41
Ataques a dispositivos móviles
4. iPhone Passcode bypass
▪ Existen soluciones para realizar ataques de fuerza bruta sobre
dispositivos iOS
42
Ataques a dispositivos móviles
4. iPhone Passcode bypass
▪ Hardware (http://blog.mdsec.co.uk/2015/03/bruteforcing-ios-
screenlock.html)
▪ A través de la conexión USB se prueban todas las claves de 4 dígitos
▪ Un sensor de luz detecta si la clave introducida es correcta
▪ Si no lo es, se apaga el dispositivo rápidamente para que no se borre
automáticamente tras llegar al límite de intentos
43
Ataques a dispositivos móviles
4. iPhone Passcode bypass
▪ 40 segundos por clave, hasta 117 horas para probar todas las claves
▪ Software (http://www.iphonehacks.com/2015/03/iphone-
passcode-bypassed-bruteforce-tool.html)
▪ Solución similar, pero que funciona únicamente en dispositivos con
Jailbreak
▪ En este caso, necesita únicamente 5 segundos por clave
44
45
▪ Por norma general cualquier tecnología inalámbrica que permita
acceder al Smartphone es recomendable tenerla desactivada siempre
que no se use.
Conexiones inalámbricas y configuración
46
▪ Cualquier tecnología inalámbrica que sea capaz de transmitir y recibir
datos tiene que estar desactivada cuando no se use ya que así no será
vulnerable a ningún ataque.
▪ Configurar el Smartphone para que utilice exclusivamente cobertura
3G o 4G, la cobertura 2G es insegura.
Conexiones inalámbricas y configuración
47
▪ La cobertura 2G presenta una serie de ataques y vulnerabilidades
conocidos desde hace tiempo, esta tecnología permite a un atacante
interceptar la comunicación, geolocalizar al usuario o practicar una
denegación de servicio.
Conexiones inalámbricas y configuración
48
▪ Evitar todo lo posible el uso de redes WiFi públicas o cuyo acceso no
controlemos ya que no sabemos si alguien puede estar interceptando
nuestra información. PoC & MiTM PoC
▪ Si es inevitable el uso de una red WiFi pública evitar utilizar servicios
que requieran de información especialmente sensible como
información bancaria.
Conexiones inalámbricas y configuración
49
▪ No permitir que el Smartphone se conecte automáticamente a redes
públicas.
▪ Utilizar un software VPN si se pretende acceder a servicio con
información confidencial a través de una red pública.
Conexiones inalámbricas y configuración
50
▪ Tener desactivada la conexión Bluetooth siempre que no se use ya
que en algunas versiones es posible robar información confidencial e
incluso tomar el control del dispositivo.
▪ Tener por defecto el dispositivo oculto cuando la conexión por
Bluetooth está activa y hacerlo visible en el momento de usarlo.
▪ Tener desactivada la conexión por NFC siempre que no se esté
usando.
Conexiones inalámbricas y configuración
51
▪ Comprobar que existe algún sistema de validación (PIN, huella, etc)
para que la operación por Bluetooth o NFC sea realizada.
▪ Si no existe sistema de validación se puede ser víctima de robo de
información personal y bancaria. PoC NFC
Conexiones inalámbricas y configuración
52
1. Android
▪ Protección basada en permisos, evita que usuarios y aplicaciones
tengan control total del dispositivo. 6.0 Permite la edición.
▪ Impide que las aplicaciones accedan a contenido y recursos del
dispositivo a los que por motivos de seguridad y privacidad no tienen
que tener acceso.
▪ Impide que el usuario tenga control total del dispositivo
lo que puede llegar a ser peligroso.
Principales funcionalidades de los sistemas
operativos móviles más implantados
53
1. Android
▪ Dispositivos rooteados:
□ Esta protección se rompe lo que puede hacer el dispositivo mas
vulnerable.
□ Tanto usuario como aplicaciones tienen control total sobre el
dispositivo lo que puede resultar peligroso.
□ Si una aplicación instalada es maliciosa podrá cualquier acción
para la que este diseñada sin que ningún permiso de Android
limite su funcionalidad.
Principales funcionalidades de los sistemas
operativos móviles más implantados
54
2. iOS
▪ Férreo control (no infalible) sobre las aplicaciones alojadas en el
AppStore. Caso XCodeGhost
▪ La AppStore implementa medidas de seguridad que evitan en gran
medida las aplicaciones maliciosas. Hacen de Antivirus
▪ En dispositivos con JailBreak se puede instalar aplicaciones de
repositorios no oficiales.
Principales funcionalidades de los sistemas
operativos móviles más implantados
55
▪ Acceso remoto. Permite acceder a otros dispositivos de forma segura.
□ Android:
– Escritorio remoto de Chrome
– Teamviewer
□ iOS:
– Microsoft Remote Desktop
– Screens VNC
Herramientas de protección
56
▪ Antirrobo. Permite obtener la ubicación del dispositivo, fecha de la
última conexión.
▪ Se puede hacer sonar, bloquear e incluso borrar todos los datos del
dispositivo.
□ Android:
– Administrador de dispositivos de Android
□ iOS:
– Find my iPhone
Herramientas de protección
57
▪ Copias de seguridad. Permiten realizar un backUp de toda la
información del dispositivo y almacenarla en la nube. Tanto Android
como iOS implementan aplicaciones nativas para esta tarea.
Herramientas de protección
58
▪ Cifrado. Cifra los datos del dispositivo, sin la clave de descifrado la
información es inaccesible. El cifrado es un proceso que hace el
dispositivo mas lento. Tanto Android como iOS implementan
aplicaciones nativas para esta tarea.
□ Android, dependiendo de la versión varía su ubicación:
– Ajustes -> Seguridad -> Cifrar teléfono
□ iOS:
– Ajustes –> General -> Código
– Una vez establecido el código, en la parte inferior de la pantalla
aparecerá "La protección de datos está activada".
Herramientas de protección
59
▪ Control parental. El control parental permite restringir el uso del
dispositivo a las funcionalidades que desee el propietario. Tanto
Android como iOS cuentan con funcionalidades nativas para el control
parental.
□ Android. Desde la versión 4.2 se permite crear cuentas de usuario
con diferentes permisos. Esto permite crear una cuenta
independiente a la del administrador y aplicarle los permisos que
se crean oportunos al nuevo usuario.
Herramientas de protección
60
▪ Control parental. PoC
□ Android. También existen aplicaciones de control parental que se
pueden encontrar en el playStore:
– Qustodio
– Kuukla
– El Control Parental
Herramientas de protección
61
▪ Control parental.
□ iOS. Permite crear una cuenta diferente a la del administrador y
darle los permisos que se crea oportuno. Es posible inhabilitar el
acceso a apps, compras integradas, Siri …
– Ajustes -> General -> Restricciones -> Activar restricciones.
Herramientas de protección
62
1. Qué es la geolocalización.
2. Formas de geolocalizar un dispositivo.
3. Riesgos que supone la geolocalización.
Utilidad y riesgos de la geolocalización
63
1. Qué es la geolocalización
▪ La geolocalización es la capacidad para obtener la ubicación
geográfica real de un objeto, en base a información que proviene de
varios orígenes.
Utilidad y riesgos de la geolocalización
64
2. Formas de geolocalizar un dispositivo.
▪ La geolocalización puede obtenerse de varias formas:
□ Triangulación de la señal de móvil, sobre las antenas de telefonía.
□ Chip GPS del dispositivo.
□ Red WiFi.
□ IP de la conexión. PoC
□ Mediante Bluetooth o puntos de acceso WiFi en centros
comerciales.
Utilidad y riesgos de la geolocalización
65
2. Formas de geolocalizar un dispositivo.
▪ Dehabilitar los metadatos en los dispositivos. PoC Foca
□ iOS: Ajustes->Privacidad-> Servicios de localización
□ Android: Ajustes -> Servicios de Configuración -> Ubicación y búsqueda. Para este
SO además es recomendable eliminar el historial de ubicación de Google
(maps.google.com/locatioknhistory) PoC
Utilidad y riesgos de la geolocalización
66
3. Riesgos que supone la geolocalización.
▪ La geolocalización puede suponer un riesgo si la información obtenida
se usa contra el usuario o sin su consentimiento.
▪ Riesgos:
□ Localizar a un dispositivo específico y su propietario en un
momento dado.
□ Estudio de rutinas y hábitos con los que realizar estudios de
mercado.
□ Llevar una trazabilidad de nuestras acciones en los centros
comerciales.
Utilidad y riesgos de la geolocalización
67
▪ Evitar siempre que sea posible este tipo de redes.
▪ Extremar las precauciones con las redes WiFi públicas.
▪ Una red WiFi publica y abierta podría ser sinónimo de problemas.
▪ Usar doble o triple factor de autenticación en los servicio
(Autenticathor) PoC
Configuración WiFi y protección frente a
conexiones inalámbricas públicas
68
▪ Si se establece la conexión a una red pública evitar utilizar datos
personales mientras la conexión esté activa: PoC
□ No acceder a herramientas que requieran usuario y contraseña.
□ No compartir archivos en ningún servicio alojado en la nube.
□ No utilizar ningún tipo de credencial bancaria.
▪ Si es necesario acceder a información sensible usar una VPN.
▪ No tener activada la opción de conectarse automáticamente a la redes
publicas abiertas.
Configuración WiFi y protección frente a
conexiones inalámbricas públicas
69
1. Ventajas.
2. Inconvenientes.
3. Bring Your Own Device BYOD.
BYOD
70
1. Ventajas.
▪ Los Smartphone y la conectividad constante a Internet han supuesto
una revolución en la forma de trabajar dentro de las organizaciones
y ahora también colegios.
▪ El Smartphone se ha convertido en una herramienta fundamental
para llevar a cabo tareas dentro de la organización.
▪ Allá donde haya un Smartphone con conexión a Internet, el usuario
tiene a su disposición una oficina móvil desde la que puede realizar
multitud de tareas como enviar emails, acceder apps de mensajería
instantánea y distintas herramientas que facilitan su trabajo.
BYOD
71
1. Ventajas.
▪ Permite la integración de forma sencilla de algunas plataformas ya
existentes en las organizaciones. De esta manera no es necesario
realizar acciones que puedan suponer riesgos para la organización
para realizar tareas desde el propio dispositivo móvil.
□ Microsoft Office Mobile permite sincronizar los documentos de
la organización a través de la misma plataforma utilizada por las
estaciones de trabajo (OneDrive). De esta manera no es
necesario extraer datos sensibles de la organización (USB o
correo personal)
BYOD
72
1. Ventajas.
▪ Los dispositivos móviles ya incluyen muchas características de
seguridad por defecto.
▪ Mecanismos de cifrado de disco por defecto
▪ El sistema operativo está diseñado para aislar unas aplicaciones de
otras. De esta manera, de forma general, si hay un problema de
seguridad en una aplicación, no afecta a las demás.
BYOD
73
2. Inconvenientes.
▪ Los smartphones suponen un nuevo vector de ataque para los
usuarios.
▪ Lo personal del dispositivo hace que en muchos casos, almacenen
credenciales de acceso. Por ello es necesario protegerlos
convenientemente.
▪ Existe una dualidad entre dispositivos que pertenecen a la
organización y los personales de los usuarios.
▪ Las políticas de Bring Your Own Device BYOD intentan suplir este
problema. ¿Están las escuelas preparadas?
BYOD
74
2. Inconvenientes.
▪ En el caso de que esté aprobado el uso del dispositivo personal en la
organización, hay veces que el acceso por parte de terceros de
confianza puede poner en riesgo la información de la organización.
▪ Envío de información sensible a través de cuentas de trabajo por
equivocación de miembros de la familia que utilizan el dispositivo
esporádicamente.
BYOD
75
3. BYOD.
▪ Conjunto de políticas que permiten a los empleados utilizar sus
dispositivos personales en actividades laborales.
▪ El uso del BYOD se debe a la dificultad de evitar que los empleados
utilicen sus dispositivos en el lugar de trabajo y al abaratamiento de
costes.
▪ En general es complicado implementar una política de BYOD efectiva
en la organización, pues las fronteras entre lo personal y laboral en
un dispositivo son complicadas de definir.
BYOD
76
3. BYOD.
▪ En los últimos años los proveedores han hecho un esfuerzo por
ofrecer soluciones en este ámbito:
□ Samsung Knox
– Dos contenedores de aplicaciones uno independiente del otro.
□ Android for Work
– Conjunto de apps exclusivas del mundo laboral pero limitadas a las de
Google.
□ Mobile Device Management
– Limita las aplicaciones y permite configuraciones automática pero siempre
contando con el consentimiento por parte del empleado.
BYOD
77
PREGUNTAS
78
MUCHAS GRACIAS
http://www.osi.eshttps://menores.osi.es

Más contenido relacionado

La actualidad más candente

Firewall and Types of firewall
Firewall and Types of firewallFirewall and Types of firewall
Firewall and Types of firewallCoder Tech
 
Seguridad en dispositivos móviles
Seguridad en dispositivos móvilesSeguridad en dispositivos móviles
Seguridad en dispositivos móvilesMarcos Harasimowicz
 
What is SASE and How Can Partners Talk About it?
What is SASE and How Can Partners Talk About it?What is SASE and How Can Partners Talk About it?
What is SASE and How Can Partners Talk About it?QOS Networks
 
Ppt seguridad en internet
Ppt seguridad en internetPpt seguridad en internet
Ppt seguridad en internetticoiescla
 
Seguridad Informática - Fundamentos de Criptografia
Seguridad Informática - Fundamentos de CriptografiaSeguridad Informática - Fundamentos de Criptografia
Seguridad Informática - Fundamentos de CriptografiaCapacity Academy
 
Firewall security in computer network
Firewall security in computer networkFirewall security in computer network
Firewall security in computer networkpoorvavyas4
 
4. listas de control de acceso
4. listas de control de acceso4. listas de control de acceso
4. listas de control de accesoEduardo Lange
 
Cisco Cyber Security Essentials Chapter-1
Cisco Cyber Security Essentials Chapter-1Cisco Cyber Security Essentials Chapter-1
Cisco Cyber Security Essentials Chapter-1Mukesh Chinta
 
Firewall ( Cyber Security)
Firewall ( Cyber Security)Firewall ( Cyber Security)
Firewall ( Cyber Security)Jainam Shah
 
Cia security model
Cia security modelCia security model
Cia security modelImran Ahmed
 
IT Security PowerPoint Presentation Slides
IT Security PowerPoint Presentation SlidesIT Security PowerPoint Presentation Slides
IT Security PowerPoint Presentation SlidesSlideTeam
 
How Hack WiFi through Aircrack-ng in Kali Linux Cyber Security
How Hack WiFi through Aircrack-ng in Kali Linux Cyber SecurityHow Hack WiFi through Aircrack-ng in Kali Linux Cyber Security
How Hack WiFi through Aircrack-ng in Kali Linux Cyber SecurityAhmad Yar
 
Actividad No. 1.10 Análisis de vulnerabilidades con VEGA en Kali Linux
Actividad No. 1.10 Análisis de vulnerabilidades con VEGA en Kali LinuxActividad No. 1.10 Análisis de vulnerabilidades con VEGA en Kali Linux
Actividad No. 1.10 Análisis de vulnerabilidades con VEGA en Kali LinuxFrancisco Medina
 
ztna-2-0-report.pdf
ztna-2-0-report.pdfztna-2-0-report.pdf
ztna-2-0-report.pdfAnto664537
 

La actualidad más candente (20)

Firewall and Types of firewall
Firewall and Types of firewallFirewall and Types of firewall
Firewall and Types of firewall
 
Seguridad en dispositivos móviles
Seguridad en dispositivos móvilesSeguridad en dispositivos móviles
Seguridad en dispositivos móviles
 
What is SASE and How Can Partners Talk About it?
What is SASE and How Can Partners Talk About it?What is SASE and How Can Partners Talk About it?
What is SASE and How Can Partners Talk About it?
 
Ppt seguridad en internet
Ppt seguridad en internetPpt seguridad en internet
Ppt seguridad en internet
 
Seguridad Informática - Fundamentos de Criptografia
Seguridad Informática - Fundamentos de CriptografiaSeguridad Informática - Fundamentos de Criptografia
Seguridad Informática - Fundamentos de Criptografia
 
Firewall security in computer network
Firewall security in computer networkFirewall security in computer network
Firewall security in computer network
 
4. listas de control de acceso
4. listas de control de acceso4. listas de control de acceso
4. listas de control de acceso
 
Mobile Security
Mobile SecurityMobile Security
Mobile Security
 
Cisco Cyber Security Essentials Chapter-1
Cisco Cyber Security Essentials Chapter-1Cisco Cyber Security Essentials Chapter-1
Cisco Cyber Security Essentials Chapter-1
 
Firewall ( Cyber Security)
Firewall ( Cyber Security)Firewall ( Cyber Security)
Firewall ( Cyber Security)
 
Cia security model
Cia security modelCia security model
Cia security model
 
OWASP Cloud Top 10
OWASP Cloud Top 10OWASP Cloud Top 10
OWASP Cloud Top 10
 
IT Security PowerPoint Presentation Slides
IT Security PowerPoint Presentation SlidesIT Security PowerPoint Presentation Slides
IT Security PowerPoint Presentation Slides
 
How Hack WiFi through Aircrack-ng in Kali Linux Cyber Security
How Hack WiFi through Aircrack-ng in Kali Linux Cyber SecurityHow Hack WiFi through Aircrack-ng in Kali Linux Cyber Security
How Hack WiFi through Aircrack-ng in Kali Linux Cyber Security
 
Firewall
FirewallFirewall
Firewall
 
Zero Trust and Data Security
Zero Trust and Data SecurityZero Trust and Data Security
Zero Trust and Data Security
 
Actividad No. 1.10 Análisis de vulnerabilidades con VEGA en Kali Linux
Actividad No. 1.10 Análisis de vulnerabilidades con VEGA en Kali LinuxActividad No. 1.10 Análisis de vulnerabilidades con VEGA en Kali Linux
Actividad No. 1.10 Análisis de vulnerabilidades con VEGA en Kali Linux
 
ztna-2-0-report.pdf
ztna-2-0-report.pdfztna-2-0-report.pdf
ztna-2-0-report.pdf
 
Firewall
FirewallFirewall
Firewall
 
B&W Netsparker overview
B&W Netsparker overviewB&W Netsparker overview
B&W Netsparker overview
 

Similar a Seguridad en dispositivos móviles

TechTuesday: Seguridad en Desarrollo de Apps
TechTuesday: Seguridad en Desarrollo de Apps TechTuesday: Seguridad en Desarrollo de Apps
TechTuesday: Seguridad en Desarrollo de Apps netmind
 
Plan de seguridad en dispositivos móviles.
Plan de seguridad en dispositivos móviles.Plan de seguridad en dispositivos móviles.
Plan de seguridad en dispositivos móviles.aliciaaguilarsanz
 
Seguridad Dispositivos móviles Extened Edition
Seguridad Dispositivos móviles Extened EditionSeguridad Dispositivos móviles Extened Edition
Seguridad Dispositivos móviles Extened EditionJose Manuel Ortega Candel
 
Plan de seguridad para los dispositivos móviles
Plan de seguridad para los dispositivos móvilesPlan de seguridad para los dispositivos móviles
Plan de seguridad para los dispositivos móvilespacanaja
 
Plan de seguridad dispositivos móviles de las familias
Plan de seguridad dispositivos móviles de las familiasPlan de seguridad dispositivos móviles de las familias
Plan de seguridad dispositivos móviles de las familiasJuan Antonio Rincón Carballo
 
Taller de seguridad informatica
Taller de seguridad informaticaTaller de seguridad informatica
Taller de seguridad informaticavalenposada36
 
Taller de seguridad informatica
Taller de seguridad informaticaTaller de seguridad informatica
Taller de seguridad informaticavalenposada36
 
PROYECTO REDES Y SEGURIDAD SENA MANUAL DE PROCEDIMIENTOS
PROYECTO REDES Y SEGURIDAD SENA MANUAL DE PROCEDIMIENTOSPROYECTO REDES Y SEGURIDAD SENA MANUAL DE PROCEDIMIENTOS
PROYECTO REDES Y SEGURIDAD SENA MANUAL DE PROCEDIMIENTOSJenny Johanna
 
Seguridad para tu ordenador1
Seguridad para tu ordenador1Seguridad para tu ordenador1
Seguridad para tu ordenador1ticoiescla
 
Taller de seguridad informatica
Taller de seguridad informatica Taller de seguridad informatica
Taller de seguridad informatica juanpaoso
 
Taller de seguridad informatica
Taller de seguridad informaticaTaller de seguridad informatica
Taller de seguridad informaticasantiramirez17
 
Fuga de informacion, Oscar Gonzalez - Gabriel Ramirez
Fuga de informacion, Oscar Gonzalez - Gabriel RamirezFuga de informacion, Oscar Gonzalez - Gabriel Ramirez
Fuga de informacion, Oscar Gonzalez - Gabriel RamirezOscar Gonzalez
 
Análisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadAnálisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadArgentesting
 

Similar a Seguridad en dispositivos móviles (20)

Movil
MovilMovil
Movil
 
TechTuesday: Seguridad en Desarrollo de Apps
TechTuesday: Seguridad en Desarrollo de Apps TechTuesday: Seguridad en Desarrollo de Apps
TechTuesday: Seguridad en Desarrollo de Apps
 
Plan de seguridad en dispositivos móviles.
Plan de seguridad en dispositivos móviles.Plan de seguridad en dispositivos móviles.
Plan de seguridad en dispositivos móviles.
 
Seguridad Dispositivos móviles Extened Edition
Seguridad Dispositivos móviles Extened EditionSeguridad Dispositivos móviles Extened Edition
Seguridad Dispositivos móviles Extened Edition
 
Plan de seguridad para los dispositivos móviles
Plan de seguridad para los dispositivos móvilesPlan de seguridad para los dispositivos móviles
Plan de seguridad para los dispositivos móviles
 
Plan de seguridad dispositivos móviles de las familias
Plan de seguridad dispositivos móviles de las familiasPlan de seguridad dispositivos móviles de las familias
Plan de seguridad dispositivos móviles de las familias
 
Taller de seguridad informatica
Taller de seguridad informaticaTaller de seguridad informatica
Taller de seguridad informatica
 
Taller de seguridad informatica
Taller de seguridad informaticaTaller de seguridad informatica
Taller de seguridad informatica
 
Posada
PosadaPosada
Posada
 
PROYECTO REDES Y SEGURIDAD SENA MANUAL DE PROCEDIMIENTOS
PROYECTO REDES Y SEGURIDAD SENA MANUAL DE PROCEDIMIENTOSPROYECTO REDES Y SEGURIDAD SENA MANUAL DE PROCEDIMIENTOS
PROYECTO REDES Y SEGURIDAD SENA MANUAL DE PROCEDIMIENTOS
 
Seguridad para tu ordenador1
Seguridad para tu ordenador1Seguridad para tu ordenador1
Seguridad para tu ordenador1
 
Seguridad en los dispositivos móviles
Seguridad en los dispositivos móvilesSeguridad en los dispositivos móviles
Seguridad en los dispositivos móviles
 
Taller de seguridad informatica
Taller de seguridad informatica Taller de seguridad informatica
Taller de seguridad informatica
 
Taller de seguridad informatica
Taller de seguridad informaticaTaller de seguridad informatica
Taller de seguridad informatica
 
Fuga de informacion, Oscar Gonzalez - Gabriel Ramirez
Fuga de informacion, Oscar Gonzalez - Gabriel RamirezFuga de informacion, Oscar Gonzalez - Gabriel Ramirez
Fuga de informacion, Oscar Gonzalez - Gabriel Ramirez
 
2020 enero Argentesting
2020 enero Argentesting2020 enero Argentesting
2020 enero Argentesting
 
Análisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadAnálisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridad
 
Curiosidades de la tecnología
Curiosidades de la tecnologíaCuriosidades de la tecnología
Curiosidades de la tecnología
 
Manual seguridad-basico
Manual seguridad-basicoManual seguridad-basico
Manual seguridad-basico
 
Presentación10 tamayo bn
Presentación10 tamayo bnPresentación10 tamayo bn
Presentación10 tamayo bn
 

Más de pmendi

Presentacion ebau v.2.1.1
Presentacion ebau v.2.1.1Presentacion ebau v.2.1.1
Presentacion ebau v.2.1.1pmendi
 
Redes sociales de moda entre los adolescentes
Redes sociales de moda entre los adolescentesRedes sociales de moda entre los adolescentes
Redes sociales de moda entre los adolescentespmendi
 
Redes sociales moda entre los adolescentes
Redes sociales moda entre los adolescentesRedes sociales moda entre los adolescentes
Redes sociales moda entre los adolescentespmendi
 
Temario TIC
Temario TICTemario TIC
Temario TICpmendi
 
Programacion tic 1 bac 15 16
Programacion tic 1 bac 15 16Programacion tic 1 bac 15 16
Programacion tic 1 bac 15 16pmendi
 
Internet seguro
Internet seguroInternet seguro
Internet seguropmendi
 
Evaluación del proyecto
Evaluación del proyectoEvaluación del proyecto
Evaluación del proyectopmendi
 
La paz desde la historia, el arte
La paz desde la historia, el arteLa paz desde la historia, el arte
La paz desde la historia, el artepmendi
 
Hhss comunicación vista presentación
Hhss comunicación vista presentaciónHhss comunicación vista presentación
Hhss comunicación vista presentaciónpmendi
 
Las empresas
Las  empresasLas  empresas
Las empresaspmendi
 
Efectos de las drogas
Efectos de las drogasEfectos de las drogas
Efectos de las drogaspmendi
 
Efectos de las drogas
Efectos de las drogasEfectos de las drogas
Efectos de las drogaspmendi
 
Efectos de las drogas
Efectos de las drogasEfectos de las drogas
Efectos de las drogaspmendi
 
Prevención consumo porros -Alumnos de Psicología-
Prevención consumo porros -Alumnos de Psicología-Prevención consumo porros -Alumnos de Psicología-
Prevención consumo porros -Alumnos de Psicología-pmendi
 
La formación profesional
La formación profesionalLa formación profesional
La formación profesionalpmendi
 
Tarjetas psicoalumnos
Tarjetas psicoalumnosTarjetas psicoalumnos
Tarjetas psicoalumnospmendi
 
Elegir bachillerato
Elegir bachilleratoElegir bachillerato
Elegir bachilleratopmendi
 
Elegir bachillerato
Elegir bachilleratoElegir bachillerato
Elegir bachilleratopmendi
 
4º eso
4º eso4º eso
4º esopmendi
 

Más de pmendi (20)

Ebau
EbauEbau
Ebau
 
Presentacion ebau v.2.1.1
Presentacion ebau v.2.1.1Presentacion ebau v.2.1.1
Presentacion ebau v.2.1.1
 
Redes sociales de moda entre los adolescentes
Redes sociales de moda entre los adolescentesRedes sociales de moda entre los adolescentes
Redes sociales de moda entre los adolescentes
 
Redes sociales moda entre los adolescentes
Redes sociales moda entre los adolescentesRedes sociales moda entre los adolescentes
Redes sociales moda entre los adolescentes
 
Temario TIC
Temario TICTemario TIC
Temario TIC
 
Programacion tic 1 bac 15 16
Programacion tic 1 bac 15 16Programacion tic 1 bac 15 16
Programacion tic 1 bac 15 16
 
Internet seguro
Internet seguroInternet seguro
Internet seguro
 
Evaluación del proyecto
Evaluación del proyectoEvaluación del proyecto
Evaluación del proyecto
 
La paz desde la historia, el arte
La paz desde la historia, el arteLa paz desde la historia, el arte
La paz desde la historia, el arte
 
Hhss comunicación vista presentación
Hhss comunicación vista presentaciónHhss comunicación vista presentación
Hhss comunicación vista presentación
 
Las empresas
Las  empresasLas  empresas
Las empresas
 
Efectos de las drogas
Efectos de las drogasEfectos de las drogas
Efectos de las drogas
 
Efectos de las drogas
Efectos de las drogasEfectos de las drogas
Efectos de las drogas
 
Efectos de las drogas
Efectos de las drogasEfectos de las drogas
Efectos de las drogas
 
Prevención consumo porros -Alumnos de Psicología-
Prevención consumo porros -Alumnos de Psicología-Prevención consumo porros -Alumnos de Psicología-
Prevención consumo porros -Alumnos de Psicología-
 
La formación profesional
La formación profesionalLa formación profesional
La formación profesional
 
Tarjetas psicoalumnos
Tarjetas psicoalumnosTarjetas psicoalumnos
Tarjetas psicoalumnos
 
Elegir bachillerato
Elegir bachilleratoElegir bachillerato
Elegir bachillerato
 
Elegir bachillerato
Elegir bachilleratoElegir bachillerato
Elegir bachillerato
 
4º eso
4º eso4º eso
4º eso
 

Último

PRESENTACION DE "CASO NOKIA" // PDF.EDU.
PRESENTACION DE "CASO NOKIA" // PDF.EDU.PRESENTACION DE "CASO NOKIA" // PDF.EDU.
PRESENTACION DE "CASO NOKIA" // PDF.EDU.SARA BUENDIA RIOJA
 
Perspectivas en ciberseguridad para el año 2024
Perspectivas en ciberseguridad para el año 2024Perspectivas en ciberseguridad para el año 2024
Perspectivas en ciberseguridad para el año 2024Educática
 
Taller Evaluativo Tecnologías Web 2.0.docx
Taller Evaluativo Tecnologías Web 2.0.docxTaller Evaluativo Tecnologías Web 2.0.docx
Taller Evaluativo Tecnologías Web 2.0.docxSANTIAGOREYES92
 
Cuadernillo de Comunicación 1. Primer grado de Primaria.pdf
Cuadernillo de Comunicación 1. Primer grado de Primaria.pdfCuadernillo de Comunicación 1. Primer grado de Primaria.pdf
Cuadernillo de Comunicación 1. Primer grado de Primaria.pdfRosaAmeliaLlacsahuan
 
La electricidad y la electrónica.pdf.iluw
La electricidad y la electrónica.pdf.iluwLa electricidad y la electrónica.pdf.iluw
La electricidad y la electrónica.pdf.iluwDanielaEspaa3
 
Charla eCommerce Day Bolivia 2024 - Comercio Electrónico en Bolivia 2024
Charla eCommerce Day Bolivia 2024 - Comercio Electrónico en Bolivia 2024Charla eCommerce Day Bolivia 2024 - Comercio Electrónico en Bolivia 2024
Charla eCommerce Day Bolivia 2024 - Comercio Electrónico en Bolivia 2024Mariano Cabrera Lanfranconi
 
Violencia sexual a través de Internet [ICAS 2024]
Violencia sexual a través de Internet [ICAS 2024]Violencia sexual a través de Internet [ICAS 2024]
Violencia sexual a través de Internet [ICAS 2024]QuantiKa14
 

Último (7)

PRESENTACION DE "CASO NOKIA" // PDF.EDU.
PRESENTACION DE "CASO NOKIA" // PDF.EDU.PRESENTACION DE "CASO NOKIA" // PDF.EDU.
PRESENTACION DE "CASO NOKIA" // PDF.EDU.
 
Perspectivas en ciberseguridad para el año 2024
Perspectivas en ciberseguridad para el año 2024Perspectivas en ciberseguridad para el año 2024
Perspectivas en ciberseguridad para el año 2024
 
Taller Evaluativo Tecnologías Web 2.0.docx
Taller Evaluativo Tecnologías Web 2.0.docxTaller Evaluativo Tecnologías Web 2.0.docx
Taller Evaluativo Tecnologías Web 2.0.docx
 
Cuadernillo de Comunicación 1. Primer grado de Primaria.pdf
Cuadernillo de Comunicación 1. Primer grado de Primaria.pdfCuadernillo de Comunicación 1. Primer grado de Primaria.pdf
Cuadernillo de Comunicación 1. Primer grado de Primaria.pdf
 
La electricidad y la electrónica.pdf.iluw
La electricidad y la electrónica.pdf.iluwLa electricidad y la electrónica.pdf.iluw
La electricidad y la electrónica.pdf.iluw
 
Charla eCommerce Day Bolivia 2024 - Comercio Electrónico en Bolivia 2024
Charla eCommerce Day Bolivia 2024 - Comercio Electrónico en Bolivia 2024Charla eCommerce Day Bolivia 2024 - Comercio Electrónico en Bolivia 2024
Charla eCommerce Day Bolivia 2024 - Comercio Electrónico en Bolivia 2024
 
Violencia sexual a través de Internet [ICAS 2024]
Violencia sexual a través de Internet [ICAS 2024]Violencia sexual a través de Internet [ICAS 2024]
Violencia sexual a través de Internet [ICAS 2024]
 

Seguridad en dispositivos móviles

  • 1. Seguridad en dispositivos móviles CFIE SALAMANCA – MARCO A. LOZANO FEBRERO 2015
  • 2. 2 ▪ Aspectos básicos de seguridad y usos inadecuados. ▪ Ataques a los dispositivos móviles. ▪ Diferentes tipos de conexiones inalámbricas y su configuración. ▪ Principales funcionalidades de los sistemas operativos móviles más implantados. ▪ Utilidad y riesgos de la geolocalización. Índice
  • 3. 3 ▪ Procedimientos y recomendaciones básicas de seguridad. ▪ Configuración WiFi y protección frente a conexiones inalámbricas públicas. ▪ BYOD. Índice
  • 4. 4 1. La seguridad en el dispositivo y en las memorias extraíbles. 2. Seguridad física ante el: ▪ Robo ▪ Pérdida ▪ Deterioro Aspectos básicos de seguridad
  • 5. 5 3. Seguridad lógica: ▪ Uso indebido de comunicaciones ▪ Acceso al contenido por terceros ▪ Aplicaciones maliciosas ▪ Pagos con el móvil ▪ Infección del dispositivo por malware 4. ¿Qué hacen las aplicaciones maliciosas? ▪ Objetivos de la aplicación Aspectos básicos de seguridad y usos inadecuados
  • 6. 6 4. ¿Qué hacen las aplicaciones maliciosas? ▪ ¿Cómo lo hacen? ▪ Ejemplos ▪ Otros ejemplos ▪ Informe ▪ ¿Cómo protegernos? 5. Usos inadecuados del dispositivo Aspectos básicos de seguridad y usos inadecuados
  • 7. 7 1. La seguridad en el dispositivo y en las memorias extraíbles. ▪ Tanto el dispositivo como la memoria extraíble presente en algunos Android es susceptible de robo o deterioro. Aspectos básicos de seguridad y usos inadecuados
  • 8. 8 1. La seguridad en el dispositivo y en las memorias extraíbles. ▪ Si el dispositivo o la memoria extraíble contiene información sensible es conveniente cifrar ambos elementos ▪ En caso de hurto o pérdida la información almacenada si está cifrada será inaccesible. ▪ Si un dispositivo o memoria es sustraído y sus datos no están cifrados toda la información puede ser accesible por un tercero. Aspectos básicos de seguridad y usos inadecuados
  • 9. 9 2. Seguridad física ▪ Debido a su tamaño, su movilidad y su precio, los teléfonos móviles son dispositivos que se pierden o son robados con relativa frecuencia. Aspectos básicos de seguridad y usos inadecuados
  • 10. 10 2. Seguridad física ▪ El robo o pérdida del dispositivo pueden producir pérdida de confidencialidad. ▪ La pérdida de confidencialidad puede afectar muy negativamente al propietario. (The fappened, CellebGate, etc.) ▪ Los datos pueden hacerse públicos o utilizados para extorsionar a su propietario. ▪ Si el dispositivo es corporativo la imagen de la empresa puede verse dañada, lo que deriva en pérdidas económicas. Aspectos básicos de seguridad y usos inadecuados
  • 11. 11 2. Seguridad física ▪ Dispositivos y memorias externas con el tiempo y el uso se deterioran. ▪ El deterioro puede ser tan severo que inhabilite las funcionalidades del dispositivo. Aspectos básicos de seguridad y usos inadecuados ▪ La pérdida de funcionalidad puede ser inmediata y sin previo aviso lo que puede suponer un serio problema para su propietario. ▪ La información almacenada puede ser irrecuperable.
  • 12. 12 3. Seguridad lógica ▪ Evitar facilitar información confidencial en comunicaciones no seguras (voz, SMS, Redes sociales, mensajería instantánea, …). ▪ Una comunicación que no esté cifrada si es interceptada será accesible por el atacante. PoC WireShark y Joomla! ▪ Si se envía información confidencial por email revisar el destinatario ya que la funcionalidad de autocompletar puede llevar a errores. Aspectos básicos de seguridad y usos inadecuados
  • 13. 13 3. Seguridad lógica ▪ Precaución al realizar pagos con dispositivos móviles y las distintas tecnologías que los hacen posible: □ Desactivar la conexión NFC cuando no se vaya a realizar ninguna transacción con el dispositivo móvil. PoC Aspectos básicos de seguridad y usos inadecuados
  • 14. 14 3. Seguridad lógica □ Si se usa como monedero virtual tener especial cuidado con quien accede al Smartphone. □ Por norma general cualquier tecnología que permita la transmisión de información de manera inalámbrica es recomendable que este únicamente activa cuando se utilice. Aspectos básicos de seguridad y usos inadecuados
  • 15. 15 3. Seguridad lógica ▪ Precaución a la hora de instalar aplicaciones (PoC): □ Evitar instalar aplicaciones de los repositorios no oficiales. □ Evitar instalar aplicaciones con pocas descargas. □ Evitar instalar aplicaciones que solicitan permisos excesivos. □ Evitar instalar aplicaciones cuya valoración por parte de los usuarios sea negativa. □ Evitar instalar aplicaciones cuyos comentarios sean negativos. Aspectos básicos de seguridad y usos inadecuados
  • 16. 16 3. Seguridad lógica ▪ Establecer un código PIN a la SIM distinto al original y guardar en un lugar seguro el código PUK. ▪ Activar la opción de bloqueo automático del dispositivo. Por ejemplo que el Smartphone se bloquee si esta inactivo durante 1 minuto. ▪ Bloquear el dispositivo mediante contraseña, patrón, huella … PoC descubrir patrón ▪ No tener privilegios de administrador (rootear o Jailbreak) PoC shell. ▪ En Android no activar la opción de depuración USB en las opciones de desarrollador PoC. Aspectos básicos de seguridad y usos inadecuados
  • 17. 17 3. Seguridad lógica ▪ En Android no permitir la instalación de aplicaciones de origen desconocidos. ▪ Instalar alguna app antivirus y herramientas de seguridad. (Poc Avast & Conan) ▪ Cifrar los datos del dispositivo - PoC. Aspectos básicos de seguridad y usos inadecuados
  • 18. 18 3. Seguridad lógica ▪ Instalar y activar alguna app de rastreo, bloqueo y borrado remoto por si el dispositivo es perdido o robado. ▪ Instalar aplicaciones solo de los repositorios oficiales. ▪ Mantener el sistema operativo actualizado. ▪ Actualizar las aplicaciones a la última versión. Aspectos básicos de seguridad y usos inadecuados
  • 19. 19 3. Seguridad lógica ▪ Realizar copias de seguridad periódicamente. PoC BackUp ▪ No abrir correos electrónicos ni archivos adjuntos de remitentes desconocidos. PoC ▪ No abrir archivos o enlaces de personas desconocidas enviados por cualquier aplicación de mensajería instantánea. PoC ▪ No continúe los bulos en aplicaciones de mensajería instantánea reenviándoselo a toda su agenda. Aspectos básicos de seguridad y usos inadecuados
  • 20. 4. ¿Qué hacen las aplicaciones maliciosas? ▪ Suscripción a servicios de tarificación especial «SMS Premium». ▪ Seguimiento de las ubicaciones del dispositivo y grabación del audio o video para monitorizar al usuario. PoC Cerberus ▪ Monitorización de SMS provenientes de servicios bancarios. ▪ Robo de información personal como contactos, imágenes, vídeos. 20 Aspectos básicos de seguridad y usos inadecuados
  • 21. 21 4. ¿Qué hacen las aplicaciones maliciosas? ▪ Secuestro del dispositivo móvil. PoC Virus Policía OSI ▪ Simulando ser aplicaciones de utilidad cuando realmente no tienen ninguna, como los falsos antivirus. Aspectos básicos de seguridad y usos inadecuados
  • 22. 22 ¿Cómo lo hacen? Aspectos básicos de seguridad y usos inadecuados
  • 23. 23 ¿Cómo lo hacen? Aspectos básicos de seguridad y usos inadecuados
  • 24. 24 ¿Cómo lo hacen? Aspectos básicos de seguridad y usos inadecuados
  • 25. 25 Ejemplos. Linterna HD (>5.000 descargas) Aspectos básicos de seguridad y usos inadecuados
  • 26. 26 Ejemplos. VirusShield (>10.000 descargas) Aspectos básicos de seguridad y usos inadecuados
  • 27. 27 Ejemplos. Escáner desnudo (>50.000 descargas) Aspectos básicos de seguridad y usos inadecuados
  • 28. 28 Ejemplos. Activar llamadas Whatsapp (100,000 descargas) Aspectos básicos de seguridad y usos inadecuados
  • 29. 29 4. ¿Qué hacen las aplicaciones maliciosas? ¿Otros ejemplos? ▪ Android/PowerOffHijack.A. Troyano que toma el control del dispositivo cuando el usuario cree que esta apagado. ▪ Android Star N9500. Malware de fábrica incrustado en el firmware del terminal que conecta con un servidor anónimo localizado en China. ▪ Botnets – RAT ▪ Algunos Smartphones fabricados en China traen bootkits. Aspectos básicos de seguridad y usos inadecuados
  • 30. 30 Informe (Situación del malware) Aspectos básicos de seguridad y usos inadecuados
  • 31. 31 ¿Cómo protegernos? ▪ Descargar apps de markets oficiales. ▪ Observar la procedencia de la aplicación. El nombre de desarrolladores de aplicaciones populares es un buen indicador para comprobar la legitimidad de la aplicación. Aspectos básicos de seguridad y usos inadecuados
  • 32. ¿Cómo protegernos? ▪ Comprobar la puntuación (rating), así como los comentarios de los usuarios, es otra fuente de información con la que podremos conocer las experiencias de los usuarios a la hora de instalar y usar la aplicación. ▪ Revisar los permisos solicitados por la aplicación. ▪ Usar software especializado (ConAn). 32 Aspectos básicos de seguridad y usos inadecuados
  • 33. 5. Usos inadecuados del dispositivo ▪ En ocasiones, son los propios usuarios con su comportamiento los que incrementan los riesgos producidos por los dispositivos móviles. ▪ Algunos comportamientos de riesgo: □ Eliminar el código de bloqueo del dispositivo. □ Utilizar el navegador para realizar algunas actividades que se pueden realizar directamente a través de apps. □ Activar la opción de ”Mantenerme conectado” en aplicaciones sensibles. 33 Aspectos básicos de seguridad y usos inadecuados
  • 34. 5. Usos inadecuados del dispositivo ▪ Algunos comportamientos de riesgo: □ Tener la activada la opción para conectarse automática a redes inalámbricas públicas. PoC □ Conectarse a redes abiertas en lugares públicos. PoC □ No realizar un borrado seguro del dispositivo una vez se deja de utilizar. PoC - Wipe □ Descargarse aplicaciones de dudosa procedencia. □ No borrar el historial del navegador regularmente. 34 Aspectos básicos de seguridad y usos inadecuados
  • 35. 5. Usos inadecuados del dispositivo ▪ Algunos comportamientos de riesgo: □ Almacenar datos sensibles en el dispositivo sin la conveniente protección. □ No activar el sistema de borrado y bloqueo remoto. PoC □ Activar la opción de orígenes desconocidos. □ Navegar por sitios de dudosa credibilidad. 35 Aspectos básicos de seguridad y usos inadecuados
  • 36. Ataques a dispositivos móviles 1. Ataques comunes 2. Android Cool Boot Attack 3. Acceso a la base de datos de Whatsapp 4. iPhone Passcode bypass 36
  • 37. Ataques a dispositivos móviles 1. Ataques comunes ▪ Si el dispositivo está desbloqueado, el atacante lo único que debe hacer es mantenerlo desbloqueado para robar y modificar toda la información que quiera. (Unroot) ▪ Los ataques pueden ser utilizados para intentar acceder al dispositivo completo o a la información de una aplicación en concreto ▪ Observar sin que el propietario se de cuenta, el código de desbloqueo o lo que está haciendo o dejar marcas en la pantalla. PoC 37
  • 38. Ataques a dispositivos móviles 2. Android Cold Boot Attack ▪ La memoria RAM de un dispositivo necesita de electricidad para su persistencia. Cuando un dispositivo se apaga, la corriente eléctrica deja de fluir por el circuito y los datos se pierden poco a poco. La temperatura del dispositivo tiene un gran efecto sobre la velocidad de borrado de la RAM. A menor temperatura más tiempo tarda en borrarse 38
  • 39. Ataques a dispositivos móviles 2. Android Cool Boot Attack ▪ Aplicado a Android: □ Se introduce el teléfono bloqueado en un congelador durante 1 hora. □ Una vez extraído, se enchufa a un equipo mediante una conexión USB y se reinicia. □ Antes de cargar el sistema operativo principal, mediante la conexión USB se carga el un módulo de arranque que lee los contenidos de la memoria RAM y permite extraer contraseñas y cualquier otro dato almacenado en la memoria. 39
  • 40. Ataques a dispositivos móviles 3. Acceso a la base de datos de Whatsapp - PoC ▪ El programa de mensajería Whatsapp guarda todas las conversaciones en una base de datos cifrada dentro del dispositivo. ▪ La clave de cifrado se genera durante la primera ejecución de la aplicación y se guarda como un parámetro del programa. ▪ Existen programas (para Android) que permiten la extracción de esta información ▪ Se realiza una copia de seguridad del contenido de la aplicación a un equipo conectado mediante USB 40
  • 41. Ataques a dispositivos móviles 3. Acceso a la base de datos de Whatsapp ▪ La aplicación localiza la clave y descifra la base de datos de la versión de whatsapp para ese dispositivo ▪ Dependiendo de la versión puede no funcionar o dejar inservible la base de datos. 41
  • 42. Ataques a dispositivos móviles 4. iPhone Passcode bypass ▪ Existen soluciones para realizar ataques de fuerza bruta sobre dispositivos iOS 42
  • 43. Ataques a dispositivos móviles 4. iPhone Passcode bypass ▪ Hardware (http://blog.mdsec.co.uk/2015/03/bruteforcing-ios- screenlock.html) ▪ A través de la conexión USB se prueban todas las claves de 4 dígitos ▪ Un sensor de luz detecta si la clave introducida es correcta ▪ Si no lo es, se apaga el dispositivo rápidamente para que no se borre automáticamente tras llegar al límite de intentos 43
  • 44. Ataques a dispositivos móviles 4. iPhone Passcode bypass ▪ 40 segundos por clave, hasta 117 horas para probar todas las claves ▪ Software (http://www.iphonehacks.com/2015/03/iphone- passcode-bypassed-bruteforce-tool.html) ▪ Solución similar, pero que funciona únicamente en dispositivos con Jailbreak ▪ En este caso, necesita únicamente 5 segundos por clave 44
  • 45. 45 ▪ Por norma general cualquier tecnología inalámbrica que permita acceder al Smartphone es recomendable tenerla desactivada siempre que no se use. Conexiones inalámbricas y configuración
  • 46. 46 ▪ Cualquier tecnología inalámbrica que sea capaz de transmitir y recibir datos tiene que estar desactivada cuando no se use ya que así no será vulnerable a ningún ataque. ▪ Configurar el Smartphone para que utilice exclusivamente cobertura 3G o 4G, la cobertura 2G es insegura. Conexiones inalámbricas y configuración
  • 47. 47 ▪ La cobertura 2G presenta una serie de ataques y vulnerabilidades conocidos desde hace tiempo, esta tecnología permite a un atacante interceptar la comunicación, geolocalizar al usuario o practicar una denegación de servicio. Conexiones inalámbricas y configuración
  • 48. 48 ▪ Evitar todo lo posible el uso de redes WiFi públicas o cuyo acceso no controlemos ya que no sabemos si alguien puede estar interceptando nuestra información. PoC & MiTM PoC ▪ Si es inevitable el uso de una red WiFi pública evitar utilizar servicios que requieran de información especialmente sensible como información bancaria. Conexiones inalámbricas y configuración
  • 49. 49 ▪ No permitir que el Smartphone se conecte automáticamente a redes públicas. ▪ Utilizar un software VPN si se pretende acceder a servicio con información confidencial a través de una red pública. Conexiones inalámbricas y configuración
  • 50. 50 ▪ Tener desactivada la conexión Bluetooth siempre que no se use ya que en algunas versiones es posible robar información confidencial e incluso tomar el control del dispositivo. ▪ Tener por defecto el dispositivo oculto cuando la conexión por Bluetooth está activa y hacerlo visible en el momento de usarlo. ▪ Tener desactivada la conexión por NFC siempre que no se esté usando. Conexiones inalámbricas y configuración
  • 51. 51 ▪ Comprobar que existe algún sistema de validación (PIN, huella, etc) para que la operación por Bluetooth o NFC sea realizada. ▪ Si no existe sistema de validación se puede ser víctima de robo de información personal y bancaria. PoC NFC Conexiones inalámbricas y configuración
  • 52. 52 1. Android ▪ Protección basada en permisos, evita que usuarios y aplicaciones tengan control total del dispositivo. 6.0 Permite la edición. ▪ Impide que las aplicaciones accedan a contenido y recursos del dispositivo a los que por motivos de seguridad y privacidad no tienen que tener acceso. ▪ Impide que el usuario tenga control total del dispositivo lo que puede llegar a ser peligroso. Principales funcionalidades de los sistemas operativos móviles más implantados
  • 53. 53 1. Android ▪ Dispositivos rooteados: □ Esta protección se rompe lo que puede hacer el dispositivo mas vulnerable. □ Tanto usuario como aplicaciones tienen control total sobre el dispositivo lo que puede resultar peligroso. □ Si una aplicación instalada es maliciosa podrá cualquier acción para la que este diseñada sin que ningún permiso de Android limite su funcionalidad. Principales funcionalidades de los sistemas operativos móviles más implantados
  • 54. 54 2. iOS ▪ Férreo control (no infalible) sobre las aplicaciones alojadas en el AppStore. Caso XCodeGhost ▪ La AppStore implementa medidas de seguridad que evitan en gran medida las aplicaciones maliciosas. Hacen de Antivirus ▪ En dispositivos con JailBreak se puede instalar aplicaciones de repositorios no oficiales. Principales funcionalidades de los sistemas operativos móviles más implantados
  • 55. 55 ▪ Acceso remoto. Permite acceder a otros dispositivos de forma segura. □ Android: – Escritorio remoto de Chrome – Teamviewer □ iOS: – Microsoft Remote Desktop – Screens VNC Herramientas de protección
  • 56. 56 ▪ Antirrobo. Permite obtener la ubicación del dispositivo, fecha de la última conexión. ▪ Se puede hacer sonar, bloquear e incluso borrar todos los datos del dispositivo. □ Android: – Administrador de dispositivos de Android □ iOS: – Find my iPhone Herramientas de protección
  • 57. 57 ▪ Copias de seguridad. Permiten realizar un backUp de toda la información del dispositivo y almacenarla en la nube. Tanto Android como iOS implementan aplicaciones nativas para esta tarea. Herramientas de protección
  • 58. 58 ▪ Cifrado. Cifra los datos del dispositivo, sin la clave de descifrado la información es inaccesible. El cifrado es un proceso que hace el dispositivo mas lento. Tanto Android como iOS implementan aplicaciones nativas para esta tarea. □ Android, dependiendo de la versión varía su ubicación: – Ajustes -> Seguridad -> Cifrar teléfono □ iOS: – Ajustes –> General -> Código – Una vez establecido el código, en la parte inferior de la pantalla aparecerá "La protección de datos está activada". Herramientas de protección
  • 59. 59 ▪ Control parental. El control parental permite restringir el uso del dispositivo a las funcionalidades que desee el propietario. Tanto Android como iOS cuentan con funcionalidades nativas para el control parental. □ Android. Desde la versión 4.2 se permite crear cuentas de usuario con diferentes permisos. Esto permite crear una cuenta independiente a la del administrador y aplicarle los permisos que se crean oportunos al nuevo usuario. Herramientas de protección
  • 60. 60 ▪ Control parental. PoC □ Android. También existen aplicaciones de control parental que se pueden encontrar en el playStore: – Qustodio – Kuukla – El Control Parental Herramientas de protección
  • 61. 61 ▪ Control parental. □ iOS. Permite crear una cuenta diferente a la del administrador y darle los permisos que se crea oportuno. Es posible inhabilitar el acceso a apps, compras integradas, Siri … – Ajustes -> General -> Restricciones -> Activar restricciones. Herramientas de protección
  • 62. 62 1. Qué es la geolocalización. 2. Formas de geolocalizar un dispositivo. 3. Riesgos que supone la geolocalización. Utilidad y riesgos de la geolocalización
  • 63. 63 1. Qué es la geolocalización ▪ La geolocalización es la capacidad para obtener la ubicación geográfica real de un objeto, en base a información que proviene de varios orígenes. Utilidad y riesgos de la geolocalización
  • 64. 64 2. Formas de geolocalizar un dispositivo. ▪ La geolocalización puede obtenerse de varias formas: □ Triangulación de la señal de móvil, sobre las antenas de telefonía. □ Chip GPS del dispositivo. □ Red WiFi. □ IP de la conexión. PoC □ Mediante Bluetooth o puntos de acceso WiFi en centros comerciales. Utilidad y riesgos de la geolocalización
  • 65. 65 2. Formas de geolocalizar un dispositivo. ▪ Dehabilitar los metadatos en los dispositivos. PoC Foca □ iOS: Ajustes->Privacidad-> Servicios de localización □ Android: Ajustes -> Servicios de Configuración -> Ubicación y búsqueda. Para este SO además es recomendable eliminar el historial de ubicación de Google (maps.google.com/locatioknhistory) PoC Utilidad y riesgos de la geolocalización
  • 66. 66 3. Riesgos que supone la geolocalización. ▪ La geolocalización puede suponer un riesgo si la información obtenida se usa contra el usuario o sin su consentimiento. ▪ Riesgos: □ Localizar a un dispositivo específico y su propietario en un momento dado. □ Estudio de rutinas y hábitos con los que realizar estudios de mercado. □ Llevar una trazabilidad de nuestras acciones en los centros comerciales. Utilidad y riesgos de la geolocalización
  • 67. 67 ▪ Evitar siempre que sea posible este tipo de redes. ▪ Extremar las precauciones con las redes WiFi públicas. ▪ Una red WiFi publica y abierta podría ser sinónimo de problemas. ▪ Usar doble o triple factor de autenticación en los servicio (Autenticathor) PoC Configuración WiFi y protección frente a conexiones inalámbricas públicas
  • 68. 68 ▪ Si se establece la conexión a una red pública evitar utilizar datos personales mientras la conexión esté activa: PoC □ No acceder a herramientas que requieran usuario y contraseña. □ No compartir archivos en ningún servicio alojado en la nube. □ No utilizar ningún tipo de credencial bancaria. ▪ Si es necesario acceder a información sensible usar una VPN. ▪ No tener activada la opción de conectarse automáticamente a la redes publicas abiertas. Configuración WiFi y protección frente a conexiones inalámbricas públicas
  • 69. 69 1. Ventajas. 2. Inconvenientes. 3. Bring Your Own Device BYOD. BYOD
  • 70. 70 1. Ventajas. ▪ Los Smartphone y la conectividad constante a Internet han supuesto una revolución en la forma de trabajar dentro de las organizaciones y ahora también colegios. ▪ El Smartphone se ha convertido en una herramienta fundamental para llevar a cabo tareas dentro de la organización. ▪ Allá donde haya un Smartphone con conexión a Internet, el usuario tiene a su disposición una oficina móvil desde la que puede realizar multitud de tareas como enviar emails, acceder apps de mensajería instantánea y distintas herramientas que facilitan su trabajo. BYOD
  • 71. 71 1. Ventajas. ▪ Permite la integración de forma sencilla de algunas plataformas ya existentes en las organizaciones. De esta manera no es necesario realizar acciones que puedan suponer riesgos para la organización para realizar tareas desde el propio dispositivo móvil. □ Microsoft Office Mobile permite sincronizar los documentos de la organización a través de la misma plataforma utilizada por las estaciones de trabajo (OneDrive). De esta manera no es necesario extraer datos sensibles de la organización (USB o correo personal) BYOD
  • 72. 72 1. Ventajas. ▪ Los dispositivos móviles ya incluyen muchas características de seguridad por defecto. ▪ Mecanismos de cifrado de disco por defecto ▪ El sistema operativo está diseñado para aislar unas aplicaciones de otras. De esta manera, de forma general, si hay un problema de seguridad en una aplicación, no afecta a las demás. BYOD
  • 73. 73 2. Inconvenientes. ▪ Los smartphones suponen un nuevo vector de ataque para los usuarios. ▪ Lo personal del dispositivo hace que en muchos casos, almacenen credenciales de acceso. Por ello es necesario protegerlos convenientemente. ▪ Existe una dualidad entre dispositivos que pertenecen a la organización y los personales de los usuarios. ▪ Las políticas de Bring Your Own Device BYOD intentan suplir este problema. ¿Están las escuelas preparadas? BYOD
  • 74. 74 2. Inconvenientes. ▪ En el caso de que esté aprobado el uso del dispositivo personal en la organización, hay veces que el acceso por parte de terceros de confianza puede poner en riesgo la información de la organización. ▪ Envío de información sensible a través de cuentas de trabajo por equivocación de miembros de la familia que utilizan el dispositivo esporádicamente. BYOD
  • 75. 75 3. BYOD. ▪ Conjunto de políticas que permiten a los empleados utilizar sus dispositivos personales en actividades laborales. ▪ El uso del BYOD se debe a la dificultad de evitar que los empleados utilicen sus dispositivos en el lugar de trabajo y al abaratamiento de costes. ▪ En general es complicado implementar una política de BYOD efectiva en la organización, pues las fronteras entre lo personal y laboral en un dispositivo son complicadas de definir. BYOD
  • 76. 76 3. BYOD. ▪ En los últimos años los proveedores han hecho un esfuerzo por ofrecer soluciones en este ámbito: □ Samsung Knox – Dos contenedores de aplicaciones uno independiente del otro. □ Android for Work – Conjunto de apps exclusivas del mundo laboral pero limitadas a las de Google. □ Mobile Device Management – Limita las aplicaciones y permite configuraciones automática pero siempre contando con el consentimiento por parte del empleado. BYOD