Ni Android, ni iOS, ni Windows Phone están a salvo de ataques importantes
El incremento en el número de usuarios de móviles está trayendo como consecuencia un aumento alarmante en el número de ataques (muchas veces con malware de por medio) contra esos dispositivos.
Tradicionalmente se ha percibido a iOS como un sistema más seguro que Android, debido a que el primero tiene un ecosistema fuertemente controlado por Apple, mientras que el ecosistema del segundo es percibido por muchos como algo parecido al salvaje oeste, donde el control es más bien poco y muchas veces da la sensación de ser insuficiente.
Sin embargo, ¿es realmente esa la realidad? En un extenso artículo publicado en el blog de Microsoft, Brad Anderson, vicepresidente corporativo de Microsoft para clientes y empresas en movilidad, ha hecho referencia a dos importantes vulnerabilidades que han afectado a iOS: Trident y Pegasus. La primera es un conjunto de tres vulnerabilidades que combinadas en una secuencia permiten a un atacante realizar jailbreak y tomar el control de forma remota de iOS, mientras que Pegasus fue descubierto por el activista en favor de los Derechos Humanos en Emiratos Árabes Unidos Ahmed Mansoor, y se trataba de una herramienta utilizada por el mismo país árabe contra activistas políticos. Como no podía ser de otra forma, Apple tomó medidas en su momento para parchear los dos fallos, sin embargo, no hay que olvidar que estaban ahí y representaban una amenaza para los usuarios.
Tomando como referencia estos dos problemas de seguridad que han afectado a iOS, que es considerado por muchos el sistema móvil más seguro, Brad Anderson intenta mostrar que da igual en realidad el ecosistema que se utilice, ya que según sus palabras “esto ha sido una llamada de atención y un gran recordatorio de que todos estamos bajo un ataque persistente constante, y que cualquiera de las plataformas móviles y las aplicaciones tienen vulnerabilidades”. Aunque en el artículo no menciona en ningún momento a Windows Phone y Windows 10 Mobile, los sistemas operativos móviles de Microsoft, Brad Anderson habla de “todos los sistemas operativos”, por lo que da a entender que los de su empresa también están incluidos.
Para dejar claro que su publicación no es un ataque contra Google y Apple, Brad Anderson ha escrito que “no estoy lanzando piedras contra Android e iOS, pero hay un dilema con esta perspectiva. Para ser muy claro, el dilema es este: Yo se que es un hecho que todos los proveedores de sistemas operativo móviles hacen un esfuerzo sobrehumano para endurecer sus plataformas y hacer todo lo que pueden para ofrecer el sistema operativo más seguro, pero por este hecho también existen en nuestra era moderna amenazas digitales que producen ataques consistentes exitosos a pesar de los increíbles esfuerzos de las organizaciones que están construyendo esas plataformas”.
Brad Anderson recomienda que todos los usuarios deben asumir que sus plataformas pueden ser susceptibles de padecer una brecha en sus datos, y por eso recomienda activar la autenticación en varios factores para prevenir ataques y brechas de datos que pueden comprometer la identidad de los usuarios; montar y construir tantas capas de defensa como sean posibles, abarcando identidades corporativas, dispositivos, aplicaciones y datos, recomendando para esto la suite de Microsoft Enterprise Mobility + Security; tener el software siempre actualizado con lo último ofrecido por el vendedor, algo que resulta una perogrullada en estos tiempos pero que no todos cumplen por miedo a posibles roturas; y por último recomienda un enfoque holístico y extremo a extremo de la seguridad debido a que actualmente es muy habitual ver un producto integrado en distintos sistemas operativos.
Lo que viene a decir Brad Anderson es que nadie está a salvo de las amenazas que pululan por la red y que, en el caso de las empresas, todas las medidas de precaución a tomar son pocas, y para esto hace referencia a una famosa frase del director del FBI, James Comey: “Hay dos tipos de grandes empresas: las que han sido hackeadas y las que no saben que han sido hackeadas”.
Fuente: Muyseguridad.net