Post on 15-Apr-2022
Seguridad en Seguridad en
Aplicaciones MóvilesAplicaciones MóvilesIng. Fabian Alejandro Molina Ing. Fabian Alejandro Molina
MSc, CISSP, CCSA, CCSEMSc, CISSP, CCSA, CCSE
AgendaAgenda
�� MotivaciónMotivación
�� Ambientes MóvilesAmbientes Móviles
�� Características PrincipalesCaracterísticas Principales
�� Tecnologías Empleadas (dispositivos, plataformas, Tecnologías Empleadas (dispositivos, plataformas, conectividad)conectividad)
�� Modelo de Seguridad por NivelesModelo de Seguridad por Niveles
�� Nivel 1: Sistema OperacionalNivel 1: Sistema Operacional
�� Nivel 2: ComunicacionesNivel 2: Comunicaciones
�� Nivel 3: Almacenamiento de DatosNivel 3: Almacenamiento de Datos
�� Nivel 4: Entorno de la AplicaciónNivel 4: Entorno de la Aplicación
�� ConclusionesConclusiones
�� ReferenciasReferencias
MotivaciónMotivación
�� Las aplicaciones móviles se presentan como una Las aplicaciones móviles se presentan como una importante línea de negocios.importante línea de negocios.
�� MM--commerce & Mcommerce & M--businessbusiness
�� Han ganado gran popularidad con la Han ganado gran popularidad con la masificación de dispositivos móviles masificación de dispositivos móviles inteligentesinteligentes
�� Los fabricantes de dispositivos móviles amplían Los fabricantes de dispositivos móviles amplían rápidamente sus prestaciones técnicas.rápidamente sus prestaciones técnicas.
�� Constantemente se mejoran o renuevan las Constantemente se mejoran o renuevan las tecnologías de transmisión de datos.tecnologías de transmisión de datos.
MotivaciónMotivación
�� Los dispositivos móviles se han convertido en Los dispositivos móviles se han convertido en
repositorio para almacenar información sensible.repositorio para almacenar información sensible.
�� La información sensible que se almacena o se La información sensible que se almacena o se
transmite a través de aplicaciones móviles se transmite a través de aplicaciones móviles se
expone a riesgos de seguridad.expone a riesgos de seguridad.
�� Los ambientes móviles se han convertido en el Los ambientes móviles se han convertido en el
nuevo foco de atención de los atacantes nuevo foco de atención de los atacantes
informáticosinformáticos
MotivaciónMotivación
Mobinet 2005. Estudio realizado por la
Universidad de Cambridge / A.T kearney
Ambientes MóvilesAmbientes Móviles
�� Dispositivo portátil + sistema operacional + Dispositivo portátil + sistema operacional +
aplicación móvil + tecnología de comunicaciónaplicación móvil + tecnología de comunicación
�� Características principales: Características principales:
�� Uso de dispositivos portátiles ligeros con capacidades de Uso de dispositivos portátiles ligeros con capacidades de
procesamiento y almacenamiento limitadas, pantallas procesamiento y almacenamiento limitadas, pantallas
reducidas y mecanismos para ingreso de datos reducidas y mecanismos para ingreso de datos
restringidos.restringidos.
�� Plataformas operacionales y de desarrollo específicos para Plataformas operacionales y de desarrollo específicos para
manejar las limitantes del ambiente.manejar las limitantes del ambiente.
�� Intercambio de datos a través de tecnologías inalámbricas Intercambio de datos a través de tecnologías inalámbricas
con tasas de transmisión aceptables.con tasas de transmisión aceptables.
Ambientes MóvilesAmbientes Móviles
�� Tecnologías Empleadas: Tecnologías Empleadas:
�� Dispositivos móviles: teléfonos inteligentes (smart Dispositivos móviles: teléfonos inteligentes (smart --
phones), Personal Digital Assistant phones), Personal Digital Assistant -- PDAs (Palm, PDAs (Palm,
Pocket PC), dispositivos híbridos (Palm Treo, Pocket PC), dispositivos híbridos (Palm Treo,
Blackberry, Sony Ericcson P910)Blackberry, Sony Ericcson P910)
Ambientes MóvilesAmbientes Móviles
�� Tecnologías Empleadas: Tecnologías Empleadas:
�� Plataformas operacionales: Symbian OS, Windows Plataformas operacionales: Symbian OS, Windows
CE, Palm OS, sistemas propietarios. CE, Palm OS, sistemas propietarios.
�� Plataformas de desarrollo: J2ME,.NET, BREWPlataformas de desarrollo: J2ME,.NET, BREW
�� Tecnologías de comunicación: de corto alcance Tecnologías de comunicación: de corto alcance
como Bluetooth o IrDA, de mediano alcance como como Bluetooth o IrDA, de mediano alcance como
802.11 b/g y de largo alcance como GPRS sobre 802.11 b/g y de largo alcance como GPRS sobre
redes GSM.redes GSM.
Modelo de Seguridad por NivelesModelo de Seguridad por Niveles
Sistema Operacional
Comunicaciones
Almacenamiento de Datos
Entorno de Aplicación
Modelo de Seguridad por NivelesModelo de Seguridad por Niveles
�� Nivel 1: Sistema OperacionalNivel 1: Sistema Operacional
�� Riesgos: virus y código malicioso, ataques de Riesgos: virus y código malicioso, ataques de
denegación de servicio por saturación del sistema denegación de servicio por saturación del sistema
(ej. buffer overflow), acceso no autorizado al (ej. buffer overflow), acceso no autorizado al
sistema por robo o pérdida del dispositivo.sistema por robo o pérdida del dispositivo.
�� Ejemplos:Ejemplos:
•• CABIR: Gusano que se propaga transmitiendo el archivo CABIR: Gusano que se propaga transmitiendo el archivo
caribe.siscaribe.sis vía vía BluetoothBluetooth. Consume los recursos del móvil.. Consume los recursos del móvil.
•• SKULLS: Troyano que ataca el SKULLS: Troyano que ataca el S.OS.O. causando . causando DoSDoS, ,
impide ejecutar programas, enviar mensajes, realizar impide ejecutar programas, enviar mensajes, realizar
llamadas, entre otras funcionalidadesllamadas, entre otras funcionalidades
Modelo de Seguridad por NivelesModelo de Seguridad por Niveles
�� Nivel 1: Sistema Operacional.Nivel 1: Sistema Operacional.
�� Ejemplos:Ejemplos:
•• CABIRCABIR
Modelo de Seguridad por NivelesModelo de Seguridad por Niveles
�� Nivel 1: Sistema Operacional.Nivel 1: Sistema Operacional.
�� Ejemplos:Ejemplos:
•• SKULLSKULL
Modelo de Seguridad por NivelesModelo de Seguridad por Niveles
�� Nivel 1: Sistema OperacionalNivel 1: Sistema Operacional
�� Contramedidas: emplear sistemas de protección Contramedidas: emplear sistemas de protección
local como software antivirus o firewalls personales, local como software antivirus o firewalls personales,
habilitar el uso de contraseñas fuertes para restringir habilitar el uso de contraseñas fuertes para restringir
el acceso al sistema o utilizar software de terceros el acceso al sistema o utilizar software de terceros
para habilitar esta funcionalidad, deshabilitar todas para habilitar esta funcionalidad, deshabilitar todas
las acciones automáticas del sistema como el relas acciones automáticas del sistema como el re--
direccionamiento de mensajes.direccionamiento de mensajes.
Modelo de Seguridad por NivelesModelo de Seguridad por Niveles
�� Nivel 2: ComunicacionesNivel 2: Comunicaciones
�� Riesgos: ataques de denegación de servicio a partir Riesgos: ataques de denegación de servicio a partir
de inundación de paquetes, degradación de la señal de inundación de paquetes, degradación de la señal
introduciendo interferencia, intercepción y introduciendo interferencia, intercepción y
monitoreo de tráfico (wireless sniffing), extracción monitoreo de tráfico (wireless sniffing), extracción
remota de información, suplantación de usuarios remota de información, suplantación de usuarios
válidos dentro de una red empleando dispositivos válidos dentro de una red empleando dispositivos
sustraídos, introducción de virus y código malicioso sustraídos, introducción de virus y código malicioso
en redes corporativas, ataques comunes sobre redes en redes corporativas, ataques comunes sobre redes
TCP/IP como: spoofing, session hijacking, DDoS.TCP/IP como: spoofing, session hijacking, DDoS.
Modelo de Seguridad por NivelesModelo de Seguridad por Niveles
�� Nivel 2: ComunicacionesNivel 2: Comunicaciones
�� Ejemplos:Ejemplos:
•• Ataques empleando Ataques empleando BluetoothBluetooth
�� BlueSnarfingBlueSnarfing
�� BlueJackingBlueJacking
�� BlueBugBlueBug
�� BackDoorBackDoor
•• Ataques sobre conexiones Ataques sobre conexiones WiWi--FiFi
�� WirelessWireless SniffingSniffing ((AirSnortAirSnort))
�� WEP WEP CrackingCracking ((AirCrackAirCrack, , WEPCrackWEPCrack))
Modelo de Seguridad por NivelesModelo de Seguridad por Niveles
�� Nivel 2: ComunicacionesNivel 2: Comunicaciones
�� Contramedidas: deshabilitar servicios innecesarios, Contramedidas: deshabilitar servicios innecesarios,
mantener al opción de conectividad desactivada en mantener al opción de conectividad desactivada en
los dispositivos mientras no se necesite, emplear el los dispositivos mientras no se necesite, emplear el
mecanismo de cifrado más robusto que ofrezca la mecanismo de cifrado más robusto que ofrezca la
tecnología, utilizar siempre llaves fuertes del mayor tecnología, utilizar siempre llaves fuertes del mayor
tamaño posible y efectuar el intercambio de las tamaño posible y efectuar el intercambio de las
mismas de forma segura, emplear esquemas de mismas de forma segura, emplear esquemas de
autenticación fuerte de como RADIUS, LDAP o autenticación fuerte de como RADIUS, LDAP o
sistemas factor 2 (en caso de ser posible).sistemas factor 2 (en caso de ser posible).
Modelo de Seguridad por NivelesModelo de Seguridad por Niveles
�� Nivel 3: Almacenamiento de DatosNivel 3: Almacenamiento de Datos
�� Riesgos: acceso no autorizado a información Riesgos: acceso no autorizado a información
confidencial por parte de un tercero, alteración de confidencial por parte de un tercero, alteración de
datos de forma ilícita, extracción de credenciales de datos de forma ilícita, extracción de credenciales de
acceso a recursos o sistemas corporativos sensibles.acceso a recursos o sistemas corporativos sensibles.
�� Contramedidas: proteger el acceso al dispositivo Contramedidas: proteger el acceso al dispositivo
solicitando contraseña de ingreso al sistema, utilizar solicitando contraseña de ingreso al sistema, utilizar
software de terceros que permitan el cifrado software de terceros que permitan el cifrado
constante del disco o memoria localconstante del disco o memoria local
Modelo de Seguridad por NivelesModelo de Seguridad por Niveles
�� Nivel 3: Almacenamiento de DatosNivel 3: Almacenamiento de Datos
�� Contramedidas: utilizar APIs criptográficos ligeros Contramedidas: utilizar APIs criptográficos ligeros
(ej. bouncycastle) para cifrar la información (ej. bouncycastle) para cifrar la información
almacenada tanto en bases de datos como en almacenada tanto en bases de datos como en
archivos locales (cifrarios simétricos: RC4, AES) y archivos locales (cifrarios simétricos: RC4, AES) y
para efectuar control de integridad sobre los datos a para efectuar control de integridad sobre los datos a
través de funciones de hashing (SHA, MD5)través de funciones de hashing (SHA, MD5)
Modelo de Seguridad por NivelesModelo de Seguridad por Niveles
�� Nivel 4: Entorno de AplicaciónNivel 4: Entorno de Aplicación
�� Riesgos: denegación de servicio local por Riesgos: denegación de servicio local por
invocación indebida, denegación de servicio sobre invocación indebida, denegación de servicio sobre
servidores remotos (aplicaciones WAP o C/S), servidores remotos (aplicaciones WAP o C/S),
descarga de aplicaciones que contengan código descarga de aplicaciones que contengan código
malicioso.malicioso.
�� Ejemplo:Ejemplo:
•• Mosquito: Troyano incorporado en una versión no Mosquito: Troyano incorporado en una versión no
licenciada de un juego para móviles que lleva el mismo licenciada de un juego para móviles que lleva el mismo
nombre disponible en Internet. Envía mensajes SMS de nombre disponible en Internet. Envía mensajes SMS de
forma descontrolada sin consentimiento del usuario.forma descontrolada sin consentimiento del usuario.
Modelo de Seguridad por NivelesModelo de Seguridad por Niveles
�� Nivel 4: Entorno de AplicaciónNivel 4: Entorno de Aplicación
�� Contramedidas: proteger los recursos remotos Contramedidas: proteger los recursos remotos
que soportan la aplicación móvil contra posibles que soportan la aplicación móvil contra posibles
ataques de denegación de servicio (aplicación e ataques de denegación de servicio (aplicación e
infraestructura), descargar aplicaciones móviles infraestructura), descargar aplicaciones móviles
de terceros sólo desde sitios confiables y de terceros sólo desde sitios confiables y
preferiblemente firmadas de forma digital preferiblemente firmadas de forma digital
(Proyecto MAS), utilizar prácticas de (Proyecto MAS), utilizar prácticas de
programación segura (ej. OWASP) programación segura (ej. OWASP)
Modelo de Seguridad por NivelesModelo de Seguridad por Niveles
�� Nivel 4: Entorno de AplicaciónNivel 4: Entorno de Aplicación
�� Contramedidas: Contramedidas:
•• Proyecto MAS (Proyecto MAS (MobileMobile ApplicationApplication SecuritySecurity))
ConclusionesConclusiones
�� Si se siguen las recomendaciones básicas y se desarrollan Si se siguen las recomendaciones básicas y se desarrollan
las aplicaciones cuidadosamente, se puede obtener un nivel las aplicaciones cuidadosamente, se puede obtener un nivel
de seguridad bastante bueno de seguridad bastante bueno
�� La implementación de criptografía en las aplicaciones La implementación de criptografía en las aplicaciones
móviles a partir de APIs ligeros, es un buen mecanismo móviles a partir de APIs ligeros, es un buen mecanismo
para garantizar fundamentos de seguridad importantes para garantizar fundamentos de seguridad importantes
como confidencialidad e integridad.como confidencialidad e integridad.
�� Una herramienta importante que contribuye en la Una herramienta importante que contribuye en la
consecución de niveles adecuados de seguridad en consecución de niveles adecuados de seguridad en
dispositivos móviles, son los fabricantes de software que dispositivos móviles, son los fabricantes de software que
han venido ampliando la oferta de productos de seguridad han venido ampliando la oferta de productos de seguridad
para estos ambientes.para estos ambientes.
ReferenciasReferencias
�� www.gsmworld.comwww.gsmworld.com
�� www.bluetooth.orgwww.bluetooth.org
�� www.wiwww.wi-- fi.orgfi.org
�� wireless.itworld.comwireless.itworld.com
�� www.iss.net/wireless/WLAN_FAQ.phpwww.iss.net/wireless/WLAN_FAQ.php
�� www.fwww.f-- secure.comsecure.com/v/v-- descsdescs
�� www.bluejackq.comwww.bluejackq.com
�� www.thebunker.netwww.thebunker.net//securitysecurity//bluetooth.htmbluetooth.htm
�� java.sun.com/j2mejava.sun.com/j2me
�� www.bouncycastle.orgwww.bouncycastle.org
�� www.secureprogramming.comwww.secureprogramming.com
�� httphttp://://www.atkearney.comwww.atkearney.com//shared_resshared_res//pdfpdf//MobinetMobinet_2005__2005_DetDetailed_Results.pdfailed_Results.pdf
¿Preguntas?¿Preguntas?
Gracias!Gracias!