Nuevos informes de seguridad advierten de la tendencia por parte de grupos (“hackers”) que operan en el ciberespacio, de utilizar los dispositivos móviles particulares y corporativos como punto de entrada en las redes y sistemas de información de organizaciones gubernamentales o empresariales, objetivo de sus intereses políticos, estratégicos o económicos, para llevar a cabo actividades de ciberespionaje y sabotaje.

Esta tendencia se debe, en parte, a la falta de adopción de medidas de seguridad y protección en estos dispositivos, así como malas prácticas y hábitos de los usuarios en relación a estos aspectos, que convierten al teléfono móvil y a su usuario en el eslabón más débil en los sistemas y redes de información de las organizaciones y empresas.

Como ejemplo de actividades maliciosas sobre los dispositivos móviles podemos citar:

• Acceso a datos particulares almacenados en el teléfono (cuentas bancarias, contraseñas, fotografías).
• Robo de la agenda de contactos para luego utilizarlos en campañas de phishing.
• Acceso a la información delicada guardada en la nube, para posteriormente someter a la víctima a chantaje y extorsiones.
• Acceso a la red corporativa a través del correo instalado en el dispositivo.
• Intercepción de las comunicaciones de un teléfono a través de una antena/dispositivo que suplanta a la antena del proveedor de servicios oficial (IMSI Catcher).

Siendo conscientes que la condición de seguridad absoluta es muy difícil de alcanzar, sí es cierto que gran parte de estos riesgos pueden evitarse con una concienciación adecuada, unos hábitos y prácticas de uso correcto, y medidas básicas de autoprotección.

Podríamos citar de forma genérica como recomendaciones básicas:

• Evitar el uso de redes públicas (conexiones WIFI abiertas), especialmente para el de datos bancarios y personales.
• Mantener el software del teléfono conveniente y permanentemente actualizado.
• Utilizar contraseñas robustas y diferentes entre sí para los distintos servicios y aplicaciones a los que se acceda con el teléfono móvil, así como para el acceso y bloqueo del dispositivo.
• No acceder a enlaces o documentos desconocidos que se presenten a través del correo electrónico, SMS, o Redes Sociales.
• No instalar software o app,s que no provengan de una fuente de confianza, como los mercados oficiales de apps (Google Play, App Store…).
• Realizar copias de seguridad periódicas, y preferiblemente automáticas, de todos los contenidos de seguridad del dispositivo móvil que se desea proteger y conservar.
• Deshabilitar todos los interfaces de comunicaciones inalámbricas del dispositivo móvil (NFC, Bluetooth , wifi, servicios de geolocalización, etc.) que no vayan a ser utilizados de forma permanente por parte del usuario. Deberían habilitarse solo cuando a vayan a ser utilizados, y volver a deshabilitarse al finalizar su uso.
• No conectar el dispositivo móvil a puertos USB desconocidos y no aceptar ninguna relación de confianza a través de USB si no se tiene constancia de estar conectando el dispositivo móvil a un ordenador de confianza.

Referencias del documento:
Articulo refundido y modificado por la Subdelegación de Defensa en Zaragoza.
Artículo publicado en el Boletín de Concienciación del Mando Conjunto de Ciberdefensa.