Mayo de 2021. Un periódico marroquí publica un artículo reproduciendo algunas de las conversaciones de WhatsApp que había intercambiado el periodista Ignacio Cembrero con autoridades españolas. Es algo que “me llamó extremadamente la atención y llegué a la conclusión de que habían leído o tenían acceso a mis mensajes de WhatsApp” explica el redactor especializado en el Magreb en ‘Un espía en el bolsillo’, el nuevo episodio del podcast Cuidado con las macros ocultas. Tras esa primera sospecha, dos meses más tarde, Cembrero recibe una llamada del grupo internacional de investigación Forbbiden Stories que le confirma que su teléfono se encuentra entre los 50.000 números hackeados por Pegasus, un software espía desarrollado por la empresa israelí NSO y comprado por gobiernos y cuerpos de seguridad del estado para infiltrarse de forma remota en dispositivos móviles. Es el mismo spyware protagonista del reciente escándalo de ciberespionaje y que habría infectado los móviles del presidente de Gobierno español y la ministra de Defensa y de más de 60 líderes independentistas catalanes y vascos.
«Tenían acceso a todo lo que tenía en el móvil, desde las conversaciones de WhatsApp y el correo electrónico, que es lo que más les ha interesado, a toda la parte privada de fotos y agenda de teléfonos»
Desde entonces, y siguiendo los consejos de expertos, Ignacio Cembrero ha cambiado de móvil y ordenador y los ha protegido con diferentes herramientas y ha iniciado una batalla judicial para que se identifique a los responsables del espionaje del que ha sido víctima. Como él, han sufrido este tipo de ciberataques jefes de estado, activistas y otros reporteros. Hasta una de las personas más ricas del mundo, el propietario de Amazon, Jeff Bezos, ha sido objetivo de un hackeo supuestamente también a través de un spyware. Estas historias son un ejemplo de que los dispositivos móviles se han convertido en la principal vía de entrada de las ciberamenazas.
Primer punto de entrada para un ciberataque
Servidor propiedad de la empresa
Servidor corporativo en la nube
Página web corporativa
Error de empleado
Dispositivo móvil de la empresa
Dispositivo móvil del empleado
Activo del proveedor
Internet de las cosas propiedad de la empresa
Fuente: Hiscox 2021
¿Las empresas protegen suficientemente los dispositivos móviles?
Existen dos tipos de amenazas con el móvil como vía de entrada, según resalta el CEO de Hispasec, Fernando Ramírez, en el podcast de Cuatroochenta. Unas son las que pretenden robar información y las otras las que se centran en la importancia o el dinero de una persona. Y aunque no todas las personas vayan a ser objetivo de un malware espía como Pegasus, subraya Ramírez, sí existen otro tipo de amenazas más extendidas como podría ser un troyano bancario que quisiera hacerse con el doble factor de autenticación.
«Toda la información que albergamos en el móvil, desde información personal a sanitaria o incluso la información de acceso a otras plataformas, como el banco, es susceptible de ser sustraída a través de una manipulación o un virus malicioso»
Para Ramírez las grandes empresas, que llevan tiempo invirtiendo en ciberseguridad, sí tienen en cuenta la seguridad del móvil, pero hay otras compañías, más pequeñas, que no tienen tanta madurez y para las que no es la primera prioridad. Aunque cada vez hay más herramientas y controles para garantizar la seguridad de los dispositivos móviles, Ramírez recuerda que la primera línea de defensa de cualquier organización debería ser el perímetro de seguridad, ya que es la puerta de acceso a los ciberdelincuentes. Pero ¿cuál es ese perímetro? Todo lo expuesto, puntualiza, desde las IP públicas a los dominios, pasando por las direcciones de correo electrónico.
«La primera conciencia del usuario debe ser no confiar en ninguna tecnología, es decir, lo que llamamos 'Zero Trust', que implica que asumimos que vamos a ser vulnerados y que va a haber un malware dentro de nuestro móvil capturando nuestra información o visualizando lo que tenemos almacenado y, en ese caso, tomamos medidas al respecto»
Buenas prácticas para proteger el móvil
La biometría, clave en el desarrollo de la seguridad del móvil
Cada vez los smartphones ofrecen más funciones y servicios y, como consecuencia, también crecen los riesgos. La biometría aporta una “capa extra de seguridad” según cuenta Nuno Ferreira-Martins, Partnerships & Business Development Senior Manager de FacePhi, partner de Sofistic. Explica que es un rasgo único de cada persona que permite “verificar su identidad digital de forma segura y certera”, por lo que cada vez son más los sectores que la utilizan como sistema de identificación y autenticación.
«La biometría es algo intransferible y que no puede ser robado como una contraseña, una tarjeta de acceso o un PIN»
Tipos de soluciones de biometría:
Onboarding digital
Permite dar de alta y registrarse en un servicio a través de datos biométricos.
Autenticación
Compara los datos biométricos de una persona con los registrados anteriormente.
Verificación
Compara los datos biométricos de una persona con una base de datos.
La mayor robustez, la usabilidad y la accesibilidad son los principales beneficios de las soluciones de biometría tanto para organizaciones como para las personas usuarias finales. El gran empuje a esta tecnología lo ha dado la banca, seguida del transporte, y ahora prácticamente se encuentra en cualquier sector. Se utiliza, por ejemplo, en el checking previo de un hotel o en el control y verificación de las personas que acceden a un estadio de fútbol.
