lunes, 21 de diciembre de 2015

El Internet de las cosas, la familia y usuarios maliciosos


Poco a poco el llamado Internet de las Cosas (Internet of Things, IoT) va penetrando hogares y ambientes empresariales por igual. Debido a la promesa de interconexión, 
la mayoría de los usuarios no ven con mucha preocupación que dispositivos inteligentes invadan todos los espacios de la vida diaria.

Los comerciales de dispositivos inteligentes prometen un hogar y oficina inteligente prestos a satisfacer los deseos del consumidor. Algunos ejemplos incluyen reconocimiento de voz que siguen las ordenes del usuario, equipos electrónicos que se autoevalúan y se conectan a la central de mantenimiento, envíos automáticos de correos que ahorran dinero en faxes y papel, robots que aspiran o limpian, etc. 

Poco a poco la automatización de la oficina y la casa se va haciendo una realidad. Sin embargo, muchas de las actuales ofertas comerciales de productos “inteligentes” aún no están lo suficientemente maduros; y muchos productos no ofrecen las protecciones mínimas o más avanzadas que plataformas móviles Android, iOS y redes empresariales ofrecen.

Esta situación ha sido evidente en productos de consumo popular y juguetes dirigidos al público infantil. Un caso muy conocido fue el de Samsung y sus televisores que capturaban conversacionesdel usuario y enviaban la información a un tercero.  Aunque las empresas involucradas, Nuance y Samsung, son compañías serias, esta grabación automática se hacía por defecto. En otras palabras, el dueño del televisor tiene que deshabilitar esta función si no quiere que el TV envíe sus conversaciones a la nube para identificar si quiere prender el aparato o no.

Otro caso reciente involucró a la reconocida compañía de juguetes interactivos Vtech que sufrió un ciberataque. Los autores del ataque hicieron pública la información privada de mas de 5 millones de usuarios y la información incluyó fotos de niños y conversaciones privadas de chats.

Este ataque resaltó una vez más la realidad que expertos en el área han venido advirtiendo hace tiempo atrás: no hay protocolos ni políticas de cumplimiento que aseguren la privacidad de los usuarios de la Internet de las cosas. Desafortunadamente, los múltiples casos en las noticias indican que es mejor abstenerse de comprar y usar este tipo de juguetes.

Como lo indica la revista Forbes, la mejor opción es comprar un dispositivo usado Apple que aún permita actualizaciones de software. Esta compañía es reconocida por actualizar constantemente su software y arreglar posibles fugas de información.

Con la llegada de la navidad y la abundancia de juguetes electrónicos y otras artefactos que se conectan a Internet, el consumidor actual tiene que ser cuidadoso. Esto es especialmente cierto cuando la privacidad de los pequeños niños está en juego. Es bueno tener esto presente durante las próximas compras navideñas.

El año llega a su fin y ésta es mi última entrada del 2015. Al lector despistado que llega a este blog, le deseo una feliz navidad y un prospero año nuevo. 




jueves, 17 de diciembre de 2015

¿Es bueno un dispositivo móvil arraigado II?


Mencionaba en la previa entrada que el uso de dispositivos arraigados limitan la flexibilidad del usuario. Esta afirmación puede parecer contradictoria, pero los problemas que presenta un dispositivo arraigado sobrepasan los beneficios que acarrea.

Esto es particularmente cierto en la plataforma iOS. Apple trabaja frenéticamente en deshabilitar las vulnerabilidades que permiten desarraigar el iPhone o iPad, y dada las múltiples mejoras que Apple desarrolla con cada nueva versión el usuario simplemente se retrasa y no aprovecha el beneficio de la plataforma.
 
En el caso de Android hay algunas alternativas, pero no hay muchos beneficios tampoco. Dada la diversidad de plataformas de hardware para Android, el usuario debe esperar una versión específica para su dispositivo. Una ventaja es que los sistemas operativos Android usualmente tienen alguna intervención del operador y los operadores de Latinoamerica, principalmente America Movil (Claro) y Telefonica (Movistar) no son conocidos por la pronta actualización del sistema operativo, y por esta razón el dispositivo arraigado podrá funcionar por años.

Es decir, no importa si el dispositivo es arraigado o no, la versión de Android de tu dispositivo debe tener algunos años. En esta  caso la consideración es la garantía. El usuario debe recordar que arraigar un dispositivo móvil incumple las términos del contrato con el operador, y esto puede ocasionar multas o cancelación del servicio.

Una opción para el usuario Android es Cyanogenmod. Este proyecto de software abierto, que ahora tiene una pequeña participación de Intel, libera actualizaciones Android para diferentes plataformas de Hardware. Plataformas muy populares de modelos de dispositivos “viejos” tienen versiones recientes del sistema Android. En este caso, un dispositivo arraigado puede tener actualizaciones de software periódicas.

Este repaso muy superficial del uso de dispositivos arraigados presenta un panorama negativo. Desafortunadamente, los riesgos son altos. Los equipos arraigados presentan un mayor perfil de riesgo y no solucionan las vulnerabilidades innatas del sistema operativo.

Estas consideraciones son importantes cuando el dispositivo es personal.  En el caso de ambientes empresariales la situación es distinta, y un dispositivo arraigado no tiene cabida en esos ambientes.

jueves, 3 de diciembre de 2015

¿Es bueno un dispositivo móvil arraigado?


Las plataformas móviles no han sido ajenas al descubrimiento de vulnerabilidades en sus sistemas operativos. El acercamiento tradicional de ataque es tomar ventaja de dispositivos arraigados, (root en Android or jailbroken en iOS). Los atacantes o hackers aprovechan esta oportunidad para acceder al sistema y empezar a realizar operaciones no autorizadas por el usuario.

Para algunos un dispositivo arraigado presenta mayor flexibilidad al aumentar la velocidad del dispositivo o instalar aplicaciones que las tiendas en línea de Apple o Google han bloqueado. Sin embargo, arraigar un dispositivo presenta peligros al usuario e inutiliza la defensa del sistema operativo en contra de aplicaciones maliciosas.

Arraigar un dispositivo abre la puerta para que aplicaciones tengan acceso no autorizado, roben datos o causen fallos inesperados. Una razón adicional para no arraigar un dispositivo móvil es la imposibilidad de actualizar el dispositivo con las últimas versiones y actualizaciones de Google o Apple. Las actualizaciones de software usualmente bloquean o desmantelan las configuraciones que permiten arraigar un dispositivo. Como consecuencia, es probable que el usuario de un equipo arraigado tenga una versión más antigua del sistema operativo.

Los requisitos para tener una aplicación autorizada en Google Play o Appstore no son difíciles de cumplir, y por esta razón cualquier aplicación o App no oficial resulta muy sospechosa. Desde el principio de la computación móvil, Apple ha sido una empresa muy celosa de su tienda en línea y mantiene una estricta vigilancia de las aplicaciones que se venden. Google tenía una aproximación diferente y no realizaba una vigilancia estricta de las aplicaciones que se vendían en su mercado electrónico; pero dado el ascenso de ataques contra su plataforma, Google cada vez controla más su tienda electrónica y el sistema operativo.

El acercamiento para controlar aplicaciones piratas y dañinas es ahora común y las tiendas en línea de Google y Apple constantemente bloquean aplicaciones identificadas como maliciosas que usualmente tienen dispositivos arraigados como blancos.

Claramente estas acciones limitan la flexibilidad del usuario de un equipo arraigado y las posibles ventajas de su uso.