No omitirías lavarte las manos, entonces ¿por qué descuidar la seguridad en dispositivos móviles?
La importancia de mantener la higiene de los dispositivos y los riesgos de no prestarle atención.
La mayoría de las empresas se preocupan por mantener un entorno de trabajo limpio y seguro, especialmente en sectores críticos. Nadie en el ámbito médico, que valora la vida de sus pacientes, se permitiría omitir los protocolos de lavado de manos y desinfección de superficies. De igual forma, quienes trabajan con materiales peligrosos cuidan de su seguridad utilizando equipo de protección. Sin embargo, a pesar de esta rigurosidad en la higiene física, la "higiene cibernética" es a menudo descuidada, especialmente en lo que se refiere a la seguridad de dispositivos móviles.
Los dispositivos móviles han evolucionado para ser herramientas clave en las operaciones en diversos sectores. Como resultado, se han convertido en blanco prioritario para los ciberdelincuentes, quienes buscan vulnerabilidades para acceder a redes corporativas. A medida que la amenaza cibernética se expande, es fundamental que la higiene de ciberseguridad se mantenga al mismo nivel que la higiene física en el lugar de trabajo. Esta debe ser parte de la rutina, establecida en la cultura empresarial y sin tolerancia a atajos.
Los teléfonos inteligentes, tabletas y dispositivos portátiles son considerados críticos en muchos sectores, desde la sanidad hasta la educación. Los profesionales de la salud acceden a registros de pacientes mediante apps móviles, mientras que los educadores utilizan dispositivos interactivos para involucrar a sus alumnos, y los ingenieros de campo gestionan infraestructuras esenciales a través de tecnología conectada. Sin embargo, este crecimiento en el uso de dispositivos móviles también ha ampliado la superficie de ataque, lo que ha sido notado por los ciberdelincuentes. En un solo año, se registraron más de 33.8 millones de ataques específicos a móviles en todo el mundo, un número que sigue creciendo a medida que los ciberdelincuentes aprovechan la creciente integración de estos dispositivos en las empresas.
Muchos de estos ataques se aprovechan de deficiencias en la higiene cibernética que persisten en las flotas móviles. Los dispositivos a menudo se consideran seguros por defecto o como de bajo riesgo. Sin embargo, es común encontrar dispositivos con sistemas operativos desactualizados, aplicaciones sin parches o sin protección de punto final. La reutilización de contraseñas y la falta de autenticación multifactor (MFA) aumentan aún más el riesgo. De esta forma, los dispositivos móviles se han convertido en el talón de Aquiles de las redes corporativas: muy utilizados, con poco monitoreo y seguridad inconsistente.
A pesar de su ubiquidad, los dispositivos móviles siguen siendo vistos como fundamentalmente diferentes de los puntos finales tradicionales. La mayoría de los trabajadores aplican un enfoque cauteloso al navegar, instalar aplicaciones y abrir archivos en sus computadoras de escritorio y laptops, posiblemente por la asociación con un entorno laboral formal. Sin embargo, los móviles son considerados una experiencia más personal, lo que genera una actitud más relajada y la percepción de que son menos susceptibles a ser explotados.
Este estado de pensamiento fomenta la complacencia, debiendo tenerse en cuenta las amenazas, como adjuntos y aplicaciones maliciosas. Los ciberdelincuentes explotan esta mentalidad, sobre todo a través de técnicas de phishing, incluyendo variantes móviles como el "smishing" (phishing por SMS) y avisos de aplicaciones perjudiciales, que suelen ser más efectivos debido a la falta de señales visuales familiares de los escritorios.
Las organizaciones, al no incluir los móviles en sus estrategias de seguridad, pueden reforzar esta mentalidad arriesgada. Políticas que son estándar en otros dispositivos a menudo son ausentes o se aplican de manera inconsistente en el ámbito móvil. Este tipo de división operativa no se toleraría en entornos físicos donde las medidas de protección serían estandarizadas y aplicadas en cada herramienta y superficie.
Es esencial adoptar un enfoque sistemático a la higiene cibernética, tratando los dispositivos móviles con la misma rigurosidad que se les da a las medidas de higiene física. Los dispositivos móviles deben ser incorporados en los marcos de gestión de riesgos empresariales, aplicando las mismas prácticas diligentes que se utilizan para laptops y servidores. Esto incluye evaluaciones de vulnerabilidad, inventarios de activos y planificación de respuesta a incidentes.
La actualización de sistemas operativos y parches de aplicaciones debe ser prioritaria, así como implementar plataformas de gestión de dispositivos móviles (MDM) para hacer cumplir políticas de seguridad en todos los dispositivos. La formación de los empleados para reconocer intentos de phishing y evitar instalaciones de aplicaciones no autorizadas es un componente crucial.
La seguridad móvil debe ser considerada como algo crítico y no secundario, dado que estos dispositivos tienen acceso a información sensible. Por lo tanto, es fundamental que sean tratados con la misma diligencia que cualquier herramienta crítica, asegurándose de que estén limpios, controlados y protegidos.