Cómo un nuevo modelo de seguridad móvil podría beneficiar a las empresas de alto riesgo ISMS.online

Cómo un nuevo modelo de seguridad móvil podría beneficiar a las empresas de alto riesgo

Por Phil Muncaster • 13 de junio de 2024

Hoy en día hay más potencia informática en un solo teléfono inteligente de la que estaba disponible al control de la misión durante el alunizaje del Apolo 11. Ése es el tipo de potencia de fuego que permite una enorme productividad en movimiento. Pero también es un imán para los actores de amenazas que buscan espiar conversaciones y recurrir a redes corporativas y almacenes de datos en la nube. Ataques tan sofisticados tal vez no sean una amenaza para todas las organizaciones, pero eso es de poco consuelo para aquellas que están en el punto de mira.

Afortunadamente, el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido ha ideado un nuevo modelo que podría ayudar a los defensores de la red a defenderse de sus ciberadversarios. Tras muchos años de desarrollo, las soluciones móviles avanzadas (AMS) podrían ayudar a las organizaciones de alto riesgo a mitigar la amenaza de un compromiso grave de datos y sistemas.

Por qué las amenazas se han vuelto móviles

Las amenazas móviles existen desde hace mucho tiempo. Pero en los últimos años, fabricantes de software espía comercial han cambiado el panorama de riesgos mediante su investigación y explotación de vulnerabilidades de día cero, particularmente en dispositivos iOS. Venden al mejor postor, lo que a menudo permite ataques cibernéticos sin intervención capaz de comprometer los dispositivos objetivo sin interacción del usuario. Su base de clientes está formada por gobiernos autocráticos, entre cuyos objetivos se incluyen a menudo disidentes, periodistas y otros "alborotadores". Pero estas herramientas podrían usarse con la misma facilidad para comprometer a los ejecutivos de alto nivel y otros objetivos de alto perfil.

El reto, como lo explica NCSC El arquitecto de seguridad “Chris P” es que la mayoría de las organizaciones no invierten en dispositivos personalizados y altamente seguros. En cambio, el personal utiliza teléfonos de consumo disponibles en el mercado, que son complejos y potentes, pero que también probablemente contengan vulnerabilidades.

Estos podrían ser atacados no sólo para monitorear los mensajes que pasan a través del dispositivo o la ubicación del individuo, sino también la infraestructura central de la empresa, como los servidores de correo electrónico, advierte el NCSC. Es un problema destacado en el nuevo ISMS.online Informe sobre el estado de la seguridad de la información 2024, lo que considera que BYOD es uno de los principales desafíos para los encuestados del Reino Unido. Alrededor del 30% lo citó este año, frente al 25% en 2023.

Presentamos AMS

Aquí es donde entra en juego el nuevo modelo de la agencia. AMS afirma que:

⦁ Los dispositivos individuales pueden verse comprometidos ocasionalmente y algunos datos se perderán: ese es el precio de la productividad
⦁ Se deben proteger flotas enteras de dispositivos contra riesgos
⦁ Cualquier compromiso no debería amenazar los datos en masa ni la seguridad de los sistemas confidenciales.
⦁ Se debe reducir el riesgo sistémico (de que el personal utilice sistemas y soluciones alternativas menos seguros)

Suponiendo que los estados nacionales y los grupos de cibercrimen con buenos recursos tengan acceso a exploits de día cero y técnicas sofisticadas de ingeniería social, AMS se propone seguir tres principios:

1) No se puede confiar en los dispositivos móviles y las redes deben diseñarse de manera que los dispositivos y los datos estén protegidos si uno o dos de esos dispositivos se ven comprometidos.

2) Las redes y servicios centrales deben protegerse con una “frontera sólida” entre la infraestructura móvil y la red central.

3) Los datos confidenciales y de texto sin formato nunca deben agregarse en la infraestructura móvil. Esto incluye datos que transitan entre servidores y se almacenan en servidores.

Una arquitectura de seis puntos

El modelo de riesgo está respaldado por seis elementos arquitectónicos clave diseñados para detectar rápidamente el riesgo y volver a implementarlo rápidamente para recuperarse:

Utilice la gestión de dispositivos móviles (MDM) para administrar dispositivos de forma segura y incluir en la lista permitida cualquier aplicación. Utilice siempre puertas de enlace de aislamiento del navegador remoto para acceder a aplicaciones conectadas a Internet. Las configuraciones de implementación de MDM se pueden diseñar con tecnología de dominio cruzado para proteger toda la flota.

Utilice la mejor tecnología comercial para proteger los datos en las redes globales.

Utilice terminadores VPN efímeros o de alta calidad para reducir el riesgo de ataque directo desde Internet. Y reglas de monitoreo para reducir el riesgo de DDoS e identificar actividades maliciosas.

Proteger la zona de acceso remoto – la infraestructura entre Internet y las puertas de enlace entre dominios que protegen los sistemas empresariales centrales. Asegúrese de que solo unos pocos servicios o datos del usuario persistan en todas las sesiones, lo que dificultará que los atacantes mantengan la persistencia y reducirá los riesgos de robo de datos en masa. Las capas de criptografía en este nivel también ayudan a reducir el riesgo de divulgación de datos.

Proteger redes y sistemas centrales a través de soluciones entre dominios construidas en puertas de enlace entre dominios basadas en hardware (FPGA) para inspeccionar todos los datos que ingresan a las redes centrales. La identidad del usuario basada en criptografía de clave pública ayuda a proteger contra la filtración de datos en esta capa.

Un trabajo en progreso

El NCSC entiende que no hay dos organizaciones iguales. Es por eso que actualmente está escribiendo una guía de riesgos, para que los equipos de seguridad individuales comprendan las compensaciones que pueden tener que hacer al desviarse de la arquitectura. Según Chris P, un servicio administrado basado en AMS ya está disponible en todo el gobierno, y la agencia busca expandir los “patrones y la tecnología” del modelo a otros sectores de infraestructura nacional crítica.

Mayur Upadhyaya, director ejecutivo de APIContext, da la bienvenida al AMS como una "hoja de ruta bien estructurada" para ayudar a las organizaciones de alto riesgo a mejorar el acceso móvil a datos confidenciales.

"Sus puntos fuertes principales residen en su modelo de amenaza realista, su arquitectura de seguridad en capas y su énfasis en el monitoreo continuo y la respuesta rápida", le dice a ISMS.online. "Los expertos en seguridad probablemente apreciarán estos aspectos, particularmente el enfoque en asumir compromisos y segmentación de la red".

Sin embargo, algunas organizaciones pueden tener dificultades para implementar AMS tal como está, añade.

“El modelo depende en gran medida de tecnologías avanzadas como la criptografía de alto grado en dispositivos de consumo, que pueden no estar fácilmente disponibles. Además, la compleja arquitectura en capas con seguridad basada en hardware y una sofisticada gestión de dispositivos móviles podría consumir muchos recursos para algunas organizaciones”, argumenta Upadhyaya.

“Además, lograr un equilibrio entre seguridad y usabilidad es crucial. Los controles estrictos podrían obstaculizar la experiencia del usuario y la agilidad del flujo de trabajo móvil. Y evitar la agregación de datos en redes móviles podría limitar las funcionalidades de las aplicaciones móviles basadas en datos”.

El CISO global de Cybereason, Greg Day, añade que la introducción de Apple de la descarga en iOS tras la presión de la UE probablemente provocará un aumento de las amenazas móviles. Eso hará que la gestión de riesgos sea aún más importante para las empresas que dependen de dispositivos portátiles para su productividad, afirma.

“Si bien la guía de AMS destaca la importancia de MDM, es sorprendente que Mobile Threat Defense (MTD) no se enfatice también como un requisito crucial. MDM es eficaz para establecer controles básicos, pero no logra detectar amenazas avanzadas como dispositivos liberados o rooteados”, dice Day a ISMS.online.

“A diferencia de MDM, que se centra principalmente en controlar el acceso a las tiendas de aplicaciones y poner aplicaciones en listas negras, MTD evalúa el riesgo de cada aplicación en función de sus funcionalidades. Además, MTD puede detectar ataques de phishing y de red, ofreciendo capacidades de filtrado de URL más avanzadas”.

En última instancia, no existen soluciones rápidas para el desafío de la seguridad de los dispositivos móviles. Sin embargo, sostiene que la educación de los usuarios y las estrategias de segmentación son un buen punto de partida.

“Las organizaciones deben priorizar la visibilidad y establecer carriles de riesgo, distinguiendo entre datos de riesgo bajo, medio y alto”, concluye Day. "Es crucial evitar que los datos de alto riesgo pasen a categorías de menor riesgo".

Phil Muncaster

Phil Muncaster ha sido periodista de TI durante 20 años. Comenzó como reportero en el título de TI empresarial IT Week en 2005 y ascendió al puesto de editor de noticias antes de dejarlo para seguir una carrera independiente. Desde entonces, Phil ha escrito para títulos como The Register, donde trabajó como corresponsal en Asia mientras residía en Hong Kong durante más de dos años, MIT Technology Review, SC Magazine, Infosecurity Magazine y otros.

Lea más de Phil Muncaster

La seguridad cibernética 11 December 2025

¿Es inevitable una brecha de seguridad de inteligencia artificial en 2026?

¿Es inevitable una vulneración de seguridad de la IA agente en 2026?

Puede que hayan pasado tres años desde que el lanzamiento de ChatGPT desencadenó una nueva carrera tecnológica, pero ahora todas las miradas están puestas en la IA agentica. Sus promotores afirman que...

Phil Muncaster

Seguridad de la información 9 December 2025

Un año en cumplimiento: cinco cosas que aprendimos en 2025

Un año de cumplimiento normativo: cinco cosas que aprendimos en 2025

Los últimos 12 meses han demostrado una vez más que el panorama de la ciberseguridad suele estar plagado de incidentes. Las brechas de seguridad importantes cuestan a las organizaciones...

Phil Muncaster

La seguridad cibernética 3 December 2025

Qué significa el proyecto de ley de ciberseguridad y resiliencia para las infraestructuras críticas

Ha tardado mucho en llegar. Tras haber sido objeto de reflexión desde el Discurso del Rey en 2024, el Proyecto de Ley de Ciberseguridad y Resiliencia (CSRB) ha llegado a su fin...

Phil Muncaster