Beruflich Dokumente
Kultur Dokumente
Buenas Prcticas
CCN-CERT BP-03/16
Dispositivos Mviles
Octubre 2016
SIN CLASIFICAR
CCN-CERT BP-03/16
SIN CLASIFICAR
LIMITACIN DE RESPONSABILIDAD
El presente documento se proporciona de acuerdo con los trminos en l recogidos, rechazando
expresamente cualquier tipo de garanta implcita que se pueda encontrar relacionada. En
ningn caso, el Centro Criptolgico Nacional puede ser considerado responsable del dao
directo, indirecto, fortuito o extraordinario derivado de la utilizacin de la informacin y software
que se indican incluso cuando se advierta de tal posibilidad.
AVISO LEGAL
Quedan rigurosamente prohibidas, sin la autorizacin escrita del Centro Criptolgico Nacional,
bajo las sanciones establecidas en las leyes, la reproduccin parcial o total de este documento
por cualquier medio o procedimiento, comprendidos la reprografa y el tratamiento informtico,
y la distribucin de ejemplares del mismo mediante alquiler o prstamo pblicos.
2
SIN CLASIFICAR
CCN-CERT BP-03/16
SIN CLASIFICAR
NDICE
1. SOBRE CCN-CERT ................................................................................................................. 4
2. INTRODUCCIN ................................................................................................................... 4
3. BUENAS PRCTICAS EN LA CONFIGURACIN Y USO DE LOS DISPOSITIVOS MVILES ... 6
3.1 Pantalla de bloqueo ........................................................................................................ 6
3.1.1 Cdigo de acceso o huella dactilar digital ........................................................... 7
3.1.2 Funcionalidad en la pantalla de bloqueo ............................................................. 8
3.2 Comunicaciones a travs de USB ................................................................................. 9
3.3 Actualizacin del sistema operativo y de las aplicaciones .................................... 11
3.4 Cifrado del dispositivo mvil ......................................................................................... 12
3.5 Configuracin por defecto .......................................................................................... 13
3.6 Copias de seguridad ..................................................................................................... 14
3.7 Gestin remota del dispositivo mvil .......................................................................... 14
3.8 Capacidades de comunicacin inalmbricas ........................................................ 16
3.8.1 NFC (Near Field Communications)......................................................................... 16
3.8.2 Bluetooth y Bluetooth Low Energy (BLE) ................................................................ 16
3.8.3 Wi-Fi.............................................................................................................................. 17
3.8.4 Redes de telefona: mensajera/voz y datos mviles (2/3/4G) ......................... 17
3.8.5 Capacidades y servicios de localizacin ............................................................. 18
3.9 Aplicaciones mviles (apps) ........................................................................................ 18
3.9.1 Instalacin de apps .................................................................................................. 18
3.9.2 Permisos de las apps ................................................................................................. 19
3.9.3 Correo electrnico.................................................................................................... 20
3.9.4 Aplicaciones de mensajera.................................................................................... 20
3.9.5 Redes sociales ........................................................................................................... 22
3.9.6 Navegacin web ...................................................................................................... 23
4. OTRAS RECOMENDACIONES DE CARCTER GENRICO ................................................. 26
5. DECLOGO DE RECOMENDACIONES .............................................................................. 27
6. ANEXO A. REFERENCIAS .................................................................................................... 28
3
SIN CLASIFICAR
CCN-CERT BP-03/16
SIN CLASIFICAR
1. SOBRE CCN-CERT
El CCN-CERT (www.ccn-cert.cni.es) es la Capacidad de Respuesta a incidentes
de Seguridad de la Informacin del Centro Criptolgico Nacional, CCN. Este servicio se
cre en el ao 2006 como CERT Gubernamental Nacional espaol y sus funciones
quedan recogidas en la Ley 11/2002 reguladora del Centro Nacional de Inteligencia, el
RD 421/2004 de regulacin del CCN y en el RD 3/2010, de 8 de enero, regulador del
Esquema Nacional de Seguridad, modificado por el RD 951/2015, de 23 de octubre.
De acuerdo a todas ellas, el CCN-CERT tiene responsabilidad en ciberataques
sobre sistemas clasificados y sobre sistemas de las Administraciones Pblicas y de
empresas y organizaciones de inters estratgico para el pas. Su misin, por tanto, es
contribuir a la mejora de la ciberseguridad espaola, siendo el centro de alerta y
respuesta nacional que coopere y ayude a responder de forma rpida y eficiente a los
ciberataques y a afrontar de forma activa las ciberamenazas.
2. INTRODUCCIN
En los ltimos aos, el desarrollo de los dispositivos y comunicaciones mviles junto
con las tecnologas inalmbricas ha revolucionado la forma de trabajar y comunicarse.
El uso creciente de estas tecnologas sita a los dispositivos mviles como uno de los
objetivos principales para los atacantes.
La proliferacin de dispositivos mviles unido al desarrollo de capacidades,
prestaciones y posibilidades de utilizacin de los mismos, hace necesario plantearse cual
es la seguridad ofrecida por este tipo de dispositivos respecto a la informacin que
gestionan, tanto dentro de los entornos corporativos como en el mbito particular.
Se considera como dispositivo mvil aquel dispositivo electrnico de uso personal
o profesional de reducido tamao que permite la gestin (almacenamiento,
intercambio y procesamiento) de informacin y el acceso a redes de comunicaciones
y servicios remotos, tanto de voz como de datos, y que habitualmente dispone de
capacidades de telefona, como por ejemplo telfonos mviles, smartphones (telfonos
mviles avanzados o inteligentes), tablets (tabletas) y agendas electrnicas (Personal
Digital Assistant) independientemente de si disponen de teclado fsico o pantalla tctil.
El nivel de percepcin de la amenaza real existente no ha tenido la suficiente
trascendencia en los usuarios finales y las organizaciones pese a que los dispositivos
mviles se utilizan para establecer comunicaciones personales y profesionales, privadas
y relevantes, y para el almacenamiento e intercambio de informacin sensible. No slo
las organizaciones, tambin la informacin no corporativa de los usuarios (datos
personales) suelen ser objeto de numerosos ataques.
ltimamente, se ha identificado un incremento notable no slo en el nmero de
especmenes de cdigo daino para dispositivos mviles (mobile malware) sino que
tambin en su complejidad y sofisticacin, encontrndose Espaa entre los pases ms
afectados a nivel mundial en base al nmero de infecciones.
4
SIN CLASIFICAR
CCN-CERT BP-03/16
SIN CLASIFICAR
Figura 2-1 Pases ms afectados por infecciones mviles. Fuente: McAfee Labs (Intel) [Ref 1]
Figura 2-2 Cuota de mercado mundial de dispositivos mviles. Fuente: IDC [Ref 2]
1 Debe tenerse en cuenta que existen diferencias significativas en la configuracin y utilizacin de los
dispositivos mviles en funcin de la versin concreta de Android o iOS disponible.
5
SIN CLASIFICAR
CCN-CERT BP-03/16
SIN CLASIFICAR
El presente documento tiene como objetivo describir estas prcticas con el fin de
ayudar a los usuarios finales a proteger y hacer un uso lo ms seguro posible de los
dispositivos mviles, profundizando en la configuracin y utilizacin de los mecanismos
de proteccin existentes en la actualidad.
Para ello, se ofrecern un conjunto de pautas y recomendaciones de seguridad
para mitigar posibles acciones dainas dndose a conocer las tcnicas ms habituales
de ataque, as como los recursos utilizados por los atacantes para conseguir infectar un
dispositivo mvil u obtener informacin personal de un usuario vctima.
6
SIN CLASIFICAR
CCN-CERT BP-03/16
SIN CLASIFICAR
CCN-CERT BP-03/16
SIN CLASIFICAR
Figura 3-2 Pantalla de bloqueo con huella dactilar digital en Android e iOS.
CCN-CERT BP-03/16
SIN CLASIFICAR
datos almacenados en el mismo (ver apartado "3.7. Gestin remota del dispositivo
mvil").
Adicionalmente, a lo largo del tiempo se han identificado mltiples
vulnerabilidades basadas en la interaccin con estas capacidades, que permiten evitar
la pantalla de bloqueo y el cdigo de acceso del dispositivo mvil [Ref - 18].
Se recomienda, por tanto, limitar y minimizar lo mximo posible la funcionalidad
disponible en la pantalla de bloqueo si no se introduce el cdigo de acceso. Para ello,
se recomienda deshabilitar Google Assistant (o Now) y eliminar los iconos ms crticos
del panel de control de acceso a los Ajustes Rpidos disponible en la parte superior de
Android (funcionalidad disponible en Android 7.0 o versiones superiores), mientras que
para iOS se recomienda deshabilitar Siri, el Centro de Control disponible en la parte
inferior o el Centro de Notificaciones, as como cualquier otra funcionalidad relevante.
9
SIN CLASIFICAR
CCN-CERT BP-03/16
SIN CLASIFICAR
10
SIN CLASIFICAR
CCN-CERT BP-03/16
SIN CLASIFICAR
11
SIN CLASIFICAR
CCN-CERT BP-03/16
SIN CLASIFICAR
12
SIN CLASIFICAR
CCN-CERT BP-03/16
SIN CLASIFICAR
Figura 3-6 Activacin de las capacidades nativas de cifrado en Android e iOS. Fuente: EFF 2
En caso de que el dispositivo mvil disponga de una ranura para una unidad de
almacenamiento externa, normalmente basada en la utilizacin de tarjetas de memoria
SD, se recomienda hacer uso de capacidades de cifrado que permitan proteger
tambin los contenidos de dicha unidad externa de almacenamiento.
En muchas ocasiones no es posible cifrar dichos contenidos, por lo que se
recomienda no almacenar ningn dato o informacin sensible en la tarjeta SD, como
por ejemplo documentos corporativos.
https://ssd.eff.org/en/module/how-encrypt-your-iphone
13
SIN CLASIFICAR
CCN-CERT BP-03/16
SIN CLASIFICAR
CCN-CERT BP-03/16
SIN CLASIFICAR
mostrar un mensaje con el objetivo de que alguien que lo encuentre pueda contactar
con su propietario o eliminar remotamente los datos almacenados en el mismo.
Se recomienda al usuario familiarizarse con las capacidades de gestin remota
del dispositivo mvil y su plataforma mvil asociada, y comprobar el correcto
funcionamiento de este servicio y de toda su funcionalidad antes de que sea necesario
hacer uso de las mismas en un escenario real tras la prdida o robo del dispositivo mvil.
Para poder hacer uso de estos servicios, el usuario debe disponer de una cuenta
en la plataforma del fabricante, como por ejemplo un ID (identificador de usuario) de
Apple para iCloud (iOS) o una cuenta de usuario en Google para el Administrador de
Dispositivos (Android). Asimismo, el dispositivo mvil debe de estar asociado a la cuenta
del usuario en la plataforma del fabricante.
Complementariamente, la funcionalidad "Buscar mi iPhone" (o iPad, en iOS) y
"Device Manager" (en Android) deben estar habilitadas y correctamente configuradas
en el dispositivo mvil:
CCN-CERT BP-03/16
SIN CLASIFICAR
2/3/4G o no tener ninguna red Wi-Fi conocida cercana, estar activado el modo avin,
encontrarse en el stano o garaje de un edificio, etc.
16
SIN CLASIFICAR
CCN-CERT BP-03/16
SIN CLASIFICAR
3.8.3 Wi-Fi
El interfaz Wi-Fi es probablemente el mecanismo de comunicacin ms utilizado
en la actualidad en los dispositivos mviles a la hora de intercambiar datos y acceder a
servicios y aplicaciones remotas.
Disponer del interfaz Wi-Fi activo en todo momento puede permitir a un potencial
atacante suplantar alguna de las diferentes redes Wi-Fi conocidas por el dispositivo mvil
y a las que se conecta habitualmente (como por ejemplo la red Wi-Fi de la oficina, de
casa, de la biblioteca, de la cafetera, etc.), forzando a que ste se conecte
automticamente a la misma, estando en condiciones para capturar todo el trfico
generado/recibido por el dispositivo mvil y realizar ataques directamente sobre el
mismo [Ref - 8].
Adicionalmente, se recomienda no conectar el dispositivo mvil a redes Wi-Fi
pblicas abiertas (o hotspots Wi-Fi) que no implementan ningn tipo de seguridad.
Aunque su utilizacin no tenga ningn coste asociado, se est poniendo en riesgo la
informacin personal del usuario. La utilizacin de esas redes permite a un potencial
atacante interceptar y manipular todo el trfico intercambiado por el dispositivo mvil
[Ref - 9].
En su lugar debe hacerse uso de redes Wi-Fi de confianza y que tienen
configurados mecanismos de seguridad (como WPA2-PSK). En el caso excepcional en
el que se deba hacer uso de una red Wi-Fi pblica, debe emplearse un servicio de VPN
(Virtual Private Network, o red privada virtual) para cifrar todo el trfico transmitido a
travs de la red Wi-Fi.
3.8.4 Redes de telefona: mensajera/voz y datos mviles (2/3/4G)
Una de las capacidades fundamentales ofrecidas por la mayora de dispositivos
mviles modernos es la posibilidad de conectarse a las redes de telefona mvil para
hacer uso tanto de sus servicios de voz, como de mensajera y datos (2/3/4G).
Se asume que estas capacidades estarn activas en los dispositivos mviles la
mayora del tiempo, para poder realizar y recibir llamadas, mensajes y comunicar con
servicios y aplicaciones remotas cuando no se dispone de una red Wi-Fi de confianza
prxima. Es necesario, por tanto, ser consciente de las debilidades de estas tecnologas
que se comenzaron a extender a finales de los aos 80 3 en Europa (GSM).
Las redes de telefona 2G, todava existentes hoy en da, no hacen uso de
mecanismos de seguridad que permitan al dispositivo mvil estar seguro de que se est
conectando a la red legtima del operador de telecomunicaciones (conocidos como
autentificacin mutua).
En consecuencia, un atacante podra suplantar dicha red legtima (de manera
similar a como ocurre con las redes Wi-Fi), forzando a que el dispositivo mvil se conecte
http://www.gsmhistory.com/who_created-gsm/
17
SIN CLASIFICAR
CCN-CERT BP-03/16
SIN CLASIFICAR
18
SIN CLASIFICAR
CCN-CERT BP-03/16
SIN CLASIFICAR
CCN-CERT BP-03/16
SIN CLASIFICAR
que previamente el usuario entienda porqu una app solicita un permiso determinado,
y para qu es necesario dicho permiso dentro de la funcionalidad proporcionada por
la app.
Las apps correctamente desarrolladas deberan informar al usuario de los motivos
concretos por los que solicitan un permiso.
Figura 3-8 Solicitud de permisos por parte de las apps en Android e iOS. Fuente: Android
Developers [Ref - 13] y Apple Developers [Ref - 14]
20
SIN CLASIFICAR
CCN-CERT BP-03/16
SIN CLASIFICAR
Figura 3-9 Ejemplos de mensajes de SMiShing. Fuentes: OSI 4, Hora Jan 5, MDE 6.
https://www.osi.es/es/actualidad/blog/2013/09/09/fraudes-online-vii-smishing-estafa-que-llega-traves-de-un-sms
http://horajaen.com/detienen-a-siete-jiennenses-por-una-estafa-de-pishing/
6 http://descubre.mdeinteligente.co/smishing-5-consejos-para-cuidarte-de-las-estafas-via-mensaje-de-texto/
4
5
21
SIN CLASIFICAR
CCN-CERT BP-03/16
SIN CLASIFICAR
El ataque apodado como Pegasus [Ref - 16] que tuvo lugar en agosto de 2016
contra Ahmed Mansoor, un defensor de los derechos humanos de reconocido prestigio
a nivel internacional y residente en los Emiratos rabes Unidos, utiliz este tipo de
tcnicas basadas en el envo de un mensaje SMS daino para intentar infectar el iPhone
de la vctima y tomar el control completo del mismo mediante un software de espionaje
(spyware) sofisticado, empleando tres (3) nuevas vulnerabilidades desconocidas
pblicamente con anterioridad (0-days):
Figura 3-10 Mensajes SMS dainos recibidos por Mansoor con el remitente falseado (Pegasus).
Fuente: Citizenlab [Ref - 16]
CCN-CERT BP-03/16
SIN CLASIFICAR
http://info.cern.ch/hypertext/WWW/History.html
23
SIN CLASIFICAR
CCN-CERT BP-03/16
SIN CLASIFICAR
usuario deba o pueda indicar el servidor al que se quiere conectar, o como desea
conectarse.
Los proveedores, organizaciones y compaas ms conocidas que disponen de
una pgina web permiten el acceso a sus servidores web mediante HTTPS, aunque
todava muchas organizaciones hoy en da siguen haciendo uso exclusivo de HTTP.
Por tanto, se recomienda, siempre que sea posible, hacer uso del protocolo HTTPS
mediante la insercin del texto "https://" antes de introducir la direccin web del servidor
con el que se desea conectar.
Debe tenerse en cuenta, que estas medidas de seguridad son susceptibles de ser
atacadas. Por ejemplo, HTTPS es vulnerable frente a ataques Man-in-the-Middle (MitM),
donde un atacante se sita en medio de la comunicacin entre el dispositivo mvil y el
servidor o aplicacin web remoto, con el objetivo de manipular la comunicacin.
Por un lado, el atacante puede intentar suplantar al servidor o aplicacin web
legtimo, ofreciendo al usuario vctima un certificado digital que puede ser similar al
legtimo, pero que no ser aceptado como vlido o de confianza por su navegador
web.
Como resultado, el navegador web generar un mensaje de error del certificado
que, en caso de ser aceptado por el usuario, har que se establezca una conexin
cifrada con el atacante, permitindole interceptar todos los datos intercambiados,
incluyendo credenciales de acceso y otra informacin confidencial y crtica.
Por otro lado, el atacante puede intentar eliminar el uso de HTTPS en toda
comunicacin entre el usuario y el servidor o aplicacin web legtimo, empleando un
ataque conocido como sslstrip, con consecuencias similares para el usuario.
El usuario nunca debera aceptar un mensaje de error del navegador web
asociado a un certificado digital invlido, recomendndose cancelar la conexin. En su
lugar, se debe verificar si realmente se est conectando al servidor web que pretende
conectarse a travs de la direccin web e intentar obtener ms detalles del motivo por
el que se ha generado el error de certificado.
En caso de ser necesario establecer la conexin, se recomienda hacer uso de otra
red, por ejemplo, la red de datos mviles 2/3/4G si se estaba empleando una red Wi-Fi
o incluso un ordenador conectado a otra red diferente, como la red de la oficina o de
casa.
24
SIN CLASIFICAR
CCN-CERT BP-03/16
SIN CLASIFICAR
Figura 3-12 Ataques MitM y ssltrip: Verificacin manual del uso de HTTPS.
25
SIN CLASIFICAR
CCN-CERT BP-03/16
SIN CLASIFICAR
Se recomienda hacer uso de contraseas robustas [Ref 17] para todos y cada uno
de los servicios y aplicaciones que son accedidos desde el dispositivo mvil. Dichas
contraseas no deben de ser reutilizadas entre distintos servicios o aplicaciones.
Adicionalmente, para los servicios o aplicaciones que dispongan de esta
funcionalidad, y especialmente para los de mayor criticidad, se recomienda hacer
uso de un segundo factor de autenticacin.
CCN-CERT BP-03/16
SIN CLASIFICAR
5. DECLOGO DE RECOMENDACIONES
Declogo de seguridad de los dispositivos mviles
El dispositivo mvil debe de estar protegido mediante un cdigo de acceso robusto
asociado a la pantalla de bloqueo (o en su defecto, una huella dactilar digital).
1
Se debe hacer uso de las capacidades nativas de cifrado del dispositivo mvil con el
objetivo de proteger todos los datos e informacin almacenados en el mismo.
El sistema operativo del dispositivo mvil debe estar siempre actualizado, al igual que
todas las aplicaciones mviles (apps).
No conectar el dispositivo mvil a redes Wi-Fi pblicas abiertas (o hotspots Wi-Fi) que
no implementan ningn tipo de seguridad.
Siempre que sea posible se debe hacer uso del protocolo HTTPS (mediante la insercin
del texto "https://" antes de la direccin web del servidor a contactar).
Nunca se debera aceptar un mensaje de error de certificado digital invlido.
10
27
SIN CLASIFICAR
CCN-CERT BP-03/16
SIN CLASIFICAR
6. ANEXO A. REFERENCIAS
[Ref 1]
[Ref 2]
[Ref 3]
[Ref 4]
[Ref 5]
[Ref 6]
[Ref 7]
[Ref 8]
[Ref 9]
[Ref 10]
"Mobile Threat Report. Whats on the Horizon for 2016". McAfee Labs (Intel).
Informe
2016
http://www.mcafee.com/us/resources/reports/rp-mobile-threat-report-2016.pdf
"Worldwide Smartphone OS Market Share". IDC.
Informe
Q2 2015
http://www.idc.com/prodserv/smartphone-os-market-share.jsp
"Beware of Juice-Jacking". KrebsonSecurity.
Blog Post
Agosto 2011
https://krebsonsecurity.com/2011/08/beware-of-juice-jacking/
iCloud. Apple.
Web
https://www.icloud.com
Android Device Manager (o Administrador de Dispositivos Android). Google.
Web
https://www.google.com/android/devicemanager
"New Android NFC Attack Could Steal Money From Credit Cards Anytime Your Phone
Is Near"
Blog Post
May 2015
http://www.idigitaltimes.com/new-android-nfc-attack-could-steal-money-creditcards-anytime-your-phone-near-445497
"Bluetooth Hack Leaves Many Smart Locks, IoT Devices Vulnerable"
Blog Post
August 2016
https://threatpost.com/bluetooth-hack-leaves-many-smart-locks-iot-devicesvulnerable/119825/
"Why Do Wi-Fi Clients Disclose their PNL for Free Still Today?". DinoSec.
Blog Post
February 2015
http://blog.dinosec.com/2015/02/why-do-wi-fi-clients-disclose-their-pnl.html
"Avast free Wi-Fi experiment fools Mobile World Congress attendees". Avast.
Blog Post
February 2016
https://blog.avast.com/2016/02/24/avast-free-wi-fi-experiment-fools-mobile-worldcongress-attendees/
"Surprise! Scans Suggest Hackers Put IMSI-Catchers All Over Defcon"
Blog Post
August 2016
http://motherboard.vice.com/read/surprise-scans-suggest-hackers-put-imsicatchers-all-over-defcon
28
SIN CLASIFICAR
CCN-CERT BP-03/16
[Ref 11]
[Ref 12]
[Ref 13]
[Ref 14]
[Ref 15]
[Ref 16]
[Ref 17]
[Ref 18]
SIN CLASIFICAR
"How mobile apps leak user data thats supposedly off-limits". Sophos.
Blog Post
February 2016
https://nakedsecurity.sophos.com/2016/02/29/how-mobile-apps-leak-user-datathats-supposedly-off-limits/
"Alternative (Open) Distribution Options". Android Developers.
Documentation
https://developer.android.com/distribute/tools/open-distribution.html
Requesting Permission. Apple Developers.
https://developer.apple.com/ios/human-interfaceguidelines/interaction/requesting-permission/
Requesting Permissions at Run Time. Android Developers.
https://developer.android.com/training/permissions/requesting.html
"Buenas Practicas. CCN-CERT BP-02/16. Correo electronico". CCN-CERT.
Informe
Julio 2016
https://www.ccn-cert.cni.es/informes/informes-ccn-cert-buenas-practicas-bp.html
"The Million Dollar Dissident: NSO Groups iPhone Zero-Days used against a UAE
Human Rights Defender". Citizenlab.
Blog Post
Agosto 2016
https://citizenlab.org/2016/08/million-dollar-dissident-iphone-zero-day-nso-groupuae/
Schneier on Security
Blog Post
March 2014
https://www.schneier.com/blog/archives/2014/03/choosing_secure_1.html
"Bypassing iOS Lock Screens: A Comprehensive Arsenal of Vulns". DinoSec.
Blog Post
October 2016
http://blog.dinosec.com/2014/09/bypassing-ios-lock-screens.html
29
SIN CLASIFICAR