Reunimos a un conjunto de expertos en seguridad para que nos compartieran unos consejos de seguridad dirigidos a usuarios y departamentos de TI para ayudar a reducir los riesgos asociados con Android.
CIO | James A. Martin
Los profesionales de seguridad ofrecieron los siguientes ocho consejos de seguridad para Android que todos los administradores de TI y usuarios deben tener en cuenta.
1)No “rootees” el dispositivo Android
“Para hacer un daño significativo en los móviles, el malware tiene que actuar en dispositivos que han sido alterados a nivel administrativo“, según Dionisio Zumerle, analista principal de Gartner. “Los compromisos de plataforma más evidentes de esta naturaleza son los “jailbreak” en iOS o “rooteo” en los dispositivos Android.
Si bien estos métodos permiten a los usuarios acceder a determinados recursos del dispositivo que normalmente son inaccesibles (…) también ponen en peligro los datos“.
2)No pase por alto la seguridad Android o se centre solo en el malware
“Tal vez uno de los mayores riesgos de malware móvil es el hecho de que el malware móvil, en sí mismo, todavía no es abundante -dice Domingo Guerra, presidente y cofundador de Appthority-. Esto crea una falsa sensación de seguridad en las organizaciones gubernamentales y empresas.”
Guerra también identificó una serie de riesgos adicionales en Android, incluyendo “filtración de datos corporativos, malas prácticas de desarrollo de aplicaciones, mala gestión de los nombres de usuario y contraseñas, la mala aplicación de cifrado, y la recolección de datos y el intercambio con fines de comercialización.”
“Estos riesgos son a menudo pasados por alto, a cambio de estrategias de seguridad miopes centradas únicamente en la detección de malware“, dice Guerra.
3)No instale software en Android de tiendas de aplicaciones no oficiales
“Solo instale aplicaciones de la tienda de Google Play, que sean de los desarrolladores conocidos y de confianza -dice Terry May, desarrollador de Android con Detroit Labs-. También sería una buena práctica aprovechar los múltiples usuarios en Android, manteniendo una única cuenta de usuario a nombre de la empresa.”
4)Preste atención a las solicitudes de permiso de las aplicaciones Android
Leer las solicitudes de acceso de una aplicación es crítico, según Mark Huss, consultor senior de SystemExperts. Por ejemplo, una aplicación de linterna no necesita acceder a servicios de que tenga que pagar (como mensajería SMS), herramientas del sistema, lista de llamadas, información personal, la comunicación de red o servicio de localización, dice Huss.
5)Mantenga siempre el software y firmware Android actualizado
“Siempre compruebe si hay actualizaciones y parches de firmware disponibles, y descargue la última versión si es posible -asegura Gleb Sviripa, desarrollador de Android en KeepSolid–. La nueva versión tiene menos posibilidades de que los hackers puedan atacar a su dispositivo.”
6)Instale aplicaciones de seguridad y VPN
Es sencillo encontrar una gran cantidad de aplicaciones de seguridad para Android. Busque aplicaciones que escaneen por malware y bloqueen aplicaciones de fuentes no autorizadas, según Geoff Sanders, cofundador y CEO de Launchkey. La opción de cifrado debe estar habilitada y se debe negar el acceso a “aplicaciones que se han extralimitado a datos potencialmente sensibles“, dice.
Al navegar por Internet, los dispositivos Android deben protegerse con software de red privada virtual (VPN, por sus siglas en inglés), como VPN Unlimited, dice Sviripa.
7) Las organizaciones deben establecer políticas de acceso claras y promover su cumplimiento
Las empresas tienen que ser claras acerca de los materiales sensibles a los que pueden acceder los usuarios desde sus dispositivos móviles, y garantizar que esos dispositivos tienen “la infraestructura adecuada para protegerlos contra las amenazas móviles“, según Swarup Selvaraman, director de producto senior de Dell SonicWALL.
8) Los cuatro principios básicos de la seguridad de Android
Troy Vennon, director de Pulse Secure’s Mobile Threat Center, dice que la seguridad móvil empresarial se reduce a los siguientes cuatro pasos esenciales: No permitir dispositivos rooteados y con jailbreak; Asegurar que los dispositivos están protegidos por contraseñas; Mantener actualizados los dispositivos; y, Solicitar a los usuarios conectarse a través de una VPN.