Ciberseguridad | Noticias | 24 MAR 2017

Jugando a los espías: cómo los agentes móviles comprometen la privacidad del usuario

En un intento de aumentar la visibilidad y el control de los dispositivos móviles que se conectan a sus redes empresariales, muchas empresas han recurrido a soluciones de software de gestión de dispositivos móviles (MDM).
seguridad movil
Eduard Meelhuysen

El rápido crecimiento de la movilidad empresarial y la creciente dependencia del BYOD (siglas en inglés de “uso de dispositivos personales en el trabajo”) obligan a la mayoría de las empresas a afrontar el desafío de mantener a salvo los datos corporativos en los dispositivos móviles no gestionados. Es evidente que se requiere encontrar un equilibrio entre la privacidad de los empleados, la movilidad, la usabilidad y la seguridad de las empresas. Sin embargo, aunque el control y la visibilidad son normalmente sinónimos de una protección adecuada, en el caso de la seguridad móvil estos factores pueden tener efectos colaterales indeseados.

En un intento de aumentar la visibilidad y el control de los dispositivos móviles que se conectan a sus redes empresariales, muchas empresas han recurrido a soluciones de software de gestión de dispositivos móviles (MDM). Sin embargo, adoptar este enfoque tiene algunas desventajas. Las soluciones de MDM requieren la instalación de un agente de software en cada dispositivo informático personal, tanto si es propiedad del empleado como si pertenece a la empresa. Esta instalación en los dispositivos móviles de herramientas de MDM basadas en agentes plantea retos nuevos e inesperados respecto a la privacidad de los usuarios finales y la protección de los datos.

La mayoría de los empleados entienden que, al permitir la instalación de un software de MDM en sus dispositivos personales, están aceptando someterse a un cierto control de los datos por parte de sus empleadores. Pero la mayoría de los empleados y las empresas no comprenden el alcance de esta decisión. En un experimento que duró una semana, Bitglass se propuso probar hasta qué punto la MDM puede usarse para monitorizar y controlar los teléfonos inteligentes y tabletas de los usuarios sin su conocimiento.

Todos los participantes en el experimento habían dado permiso al equipo de tecnologías de la información (TI) para la instalación de certificados de MDM en sus dispositivos, una práctica comúnmente utilizada para canalizar los datos a través de la red corporativa mediante una red privada virtual (VPN) o un proxy global. En solo siete días, el software de MDM reunió una amplia variedad de información acerca de los intereses, actividades, identidades y relaciones de los empleados. Los resultados deberían servir de aviso a las empresas que se están adaptando al Reglamento General de Protección de Datos de la Unión Europea (RGPD), que otorga a los empleados más control sobre sus datos personales.

Pero antes de seguir, vamos a ver qué información se obtuvo durante el experimento:

  • Al canalizar el tráfico a través de un proxy global, pudimos registrar la actividad de navegación de los empleados. El acceso a su historial de navegación nos permitió verlo todo, desde sus búsquedas de productos en Amazon a consultas confidenciales sobre salud e incluso sus afiliaciones e intereses políticos.
  • Nuestros investigadores lograron romper el cifrado SSL, mediante el uso de un proxy global y un certificado de confianza. Al volver a canalizar el tráfico basado en SSL sin cifrar, obtuvimos acceso a las bandejas de entrada de los correos electrónicos personales de los usuarios, a sus cuentas de redes sociales y a información bancaria. En otras palabras, todos los inicios de sesión seguros fueron expuestos porque los nombres de usuario y las contraseñas utilizadas para iniciar sesión en cuentas confidenciales se transmitieron a nuestro servidor en formato de texto plano.
  • Nuestra capacidad de monitorizar las comunicaciones privadas entrantes y salientes que utilizan MDM se amplió a las aplicaciones de otras empresas, incluso en iOS, donde algunos creen erróneamente que el entorno cerrado de las aplicaciones limita la visibilidad de los empleadores respecto al comportamiento de los usuarios. Eso significa que pudimos interceptar las comunicaciones personales realizadas mediante aplicaciones como Gmail y Messenger, así como elaborar un inventario de todas las aplicaciones instaladas en los dispositivos de los empleados.
  • La mayoría de los empleados son conscientes de que los administradores pueden rastrear fácilmente los dispositivos gestionados a través del GPS. Pero pocos se han dado cuenta de que estos datos también pueden utilizarse para controlar su comportamiento. Nuestro equipo de investigación consiguió obligar al GPS a permanecer activo en segundo plano sin avisar al usuario, a pesar de consumir energía de la batería en el proceso. De esta forma, pudimos conocer la ubicación y los hábitos fuera del trabajo de los empleados: dónde fueron después de trabajar o viajaron el fin de semana, con qué frecuencia visitaron el supermercado, etc.
  • Las capacidades de borrado remoto de las soluciones de MDM preocupan especialmente a los empleados, porque muchos de ellos guardan contactos personales, notas y otros datos en sus dispositivos personales que se han convertido en gestionados. Nuestro equipo logró utilizar el software de MDM para restringir las copias de seguridad, imposibilitando la restauración desde iCloud y servicios similares. Esto dejó a los empleados casi sin opciones para recuperar los datos perdidos.
  • El equipo de investigación también pudo usar el software de MDM para restringir las funciones básicas de los dispositivos. Por ejemplo, para bloquear y proteger los terminales, limitar el acceso de los usuarios a la cámara o a aplicaciones como FaceTime en iOS e incluso desactivar funciones básicas como copiar y pegar.

 

Con motivo de la entrada en vigor del RGPD en mayo de 2018, las empresas europeas deberían revisar su enfoque respecto a la seguridad en los entornos BYOD. Tanto las normativas nacionales como el RGPD hacen hincapié en la gran importancia de la transparencia respecto al cumplimiento; en otras palabras, los empleadores estarán obligados a informar de qué datos están recopilando y cómo los almacenan. Aparte de esto, las empresas deberán mejorar la gestión de la privacidad, ya que los empleados de la UE tendrán derecho a retirar su consentimiento, derecho al borrado de los datos y otros derechos de privacidad que pueden infringirse si se instala una solución invasiva como la MDM.

La implementación de una solución de seguridad que no respete la privacidad de los usuarios provocará desconfianza entre los empleados respecto a las iniciativas de seguridad de TI; por ejemplo, mediante el rechazo a la instalación de software o certificados de MDM en sus dispositivos personales. Por esta razón, las empresas deben buscar un enfoque diferente para afrontar el desafío a la seguridad que plantea el BYOD. Actualmente, existen soluciones de software sin agentes que permiten controlar el flujo de datos del dispositivo sin los problemas habituales relativos a la experiencia del usuario y la logística de instalación de los agentes. A diferencia de las soluciones MDM o MAM, las soluciones de software BYOD sin agentes también garantizan el pleno cumplimiento de una serie de normativas y ofrecen capacidades completas de visibilidad y auditoría de los datos empresariales. Y debido a que las soluciones sin agentes suelen estar centradas en los datos, proporcionan a los empleados libertad de acceso a la información corporativa desde cualquier dispositivo, sin las implicaciones de intrusión en la privacidad que plantean las soluciones de MDM.

 

El autor de este artículo es Eduard Meelhuysen, director de Bitglass en EMEA. 

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información