La mayoría de las empresas se centran en mantener un entorno de trabajo limpio y seguro, especialmente en los sectores críticos. Ningún médico que valore la vida de sus pacientes descuidaría los protocolos de lavado de manos y esterilización de superficies. Nadie que trabaje con materiales peligrosos y valore su propia vida prescindiría del equipo de protección. Incluso en sectores como la educación y el comercio minorista, la higiene sigue siendo una prioridad absoluta.
Sin embargo, en los mismos entornos en los que se mantiene la higiene clínica, la higiene cibernética se deja a menudo al azar, especialmente en lo que se refiere a la seguridad de los dispositivos móviles.
Los dispositivos móviles ya no son simples herramientas de comunicación, ahora se consideran esenciales para las operaciones de primera línea. Esto significa que también son un objetivo prioritario para los ciberdelincuentes que buscan puntos débiles para penetrar en las redes corporativas.
A medida que crece la amenaza móvil, la higiene de la ciberseguridad debe tener el mismo nivel que la higiene física en el lugar de trabajo. Debe ser rutinaria, estar profundamente arraigada y ser intolerante con los atajos, no una ocurrencia tardía.
Un panorama de amenazas creciente, pero mal defendido
Dispositivos móviles como teléfonos, tablets y wearables se consideran de misión crítica en muchos sectores. Desde la sanidad a la educación, pasando por la energía, los trabajadores dependen cada vez más del móvil para sus operaciones básicas.
Los médicos acceden a los historiales médicos de los pacientes a través de aplicaciones móviles, los profesores interactúan con sus clases mediante pantallas interactivas y los ingenieros de campo gestionan infraestructuras críticas mediante dispositivos conectados.
Sin embargo, aunque este aluvión de dispositivos móviles aporta más agilidad y eficiencia, también está ampliando enormemente la superficie de ataque de estos sectores, y los ciberdelincuentes se han dado cuenta. El riesgo al que se enfrentan los dispositivos móviles ha crecido drásticamente en los últimos años, tanto en volumen como en sofisticación.
En un solo año se detectaron más de 33,8 millones de ataques específicos a móviles en todo el mundo, una cifra que sigue aumentando a medida que las amenazas aprovechan la creciente presencia de los dispositivos móviles en los entornos empresariales.
Estos ataques se aprovechan de las deficiencias en ciberhigiene que persisten en las flotas de móviles. A menudo se asume que los dispositivos son seguros por defecto o se descartan como de bajo riesgo. Los dispositivos móviles que ejecutan sistemas operativos obsoletos, aplicaciones sin parches o que carecen de protección de punto final son habituales. La reutilización de contraseñas y la ausencia de autenticación multifactor (MFA) elevan aún más el riesgo.
En muchos casos, los terminales móviles se han convertido en la parte más vulnerable de la red corporativa: ampliamente utilizados, mínimamente supervisados y protegidos de forma inconsistente. Al igual que las manos sucias pueden ser portadoras de patógenos invisibles, los dispositivos móviles pueden albergar amenazas invisibles. Y cuando se omiten las protecciones rutinarias, la exposición es inevitable.
Por qué seguimos tratando los dispositivos móviles de forma diferente y por qué es peligroso
A pesar de su ubicuidad, los dispositivos móviles siguen percibiéndose como fundamentalmente diferentes de los terminales tradicionales.
La mayoría de los trabajadores han interiorizado un enfoque cauteloso a la hora de navegar, instalar aplicaciones y hacer clic en archivos y enlaces entrantes cuando utilizan sus dispositivos de sobremesa y portátiles, quizá debido a su asociación con un entorno de trabajo formal.
Sin embargo, para muchos usuarios, el móvil se percibe como una experiencia más personal. Esto fomenta una actitud más relajada, que se suma a la idea de que, de alguna manera, son menos «explotables» que otros puntos finales.
Esta percepción fomenta la complacencia y hace que se preste menos atención a amenazas potenciales como archivos adjuntos y aplicaciones maliciosas. Además, los dispositivos móviles suelen utilizarse indistintamente para tareas personales y profesionales, lo que difumina las fronteras entre entornos seguros y vulnerables.
Los criminales explotan activamente esta mentalidad, especialmente con el phishing, que sigue siendo el método más común y eficaz de compromiso.
Las variantes específicas para móviles, como el smishing (phishing por SMS) y las solicitudes de aplicaciones maliciosas, tienen especial éxito debido a las URL abreviadas, el espacio limitado de la pantalla y la ausencia de señales visuales familiares de los ordenadores de sobremesa. Estas tácticas suelen ir acompañadas de spyware, adware y malware de captación de datos que pueden pasar desapercibidos durante largos periodos de tiempo.
Las organizaciones pueden reforzar inadvertidamente esta mentalidad de riesgo al no incluir el móvil en las estrategias de seguridad básicas. Las políticas y protecciones que son estándar en otros puntos finales, desde la gestión de parches a los controles de acceso, pueden estar ausentes o aplicarse de forma incoherente en los móviles.
Esta división operativa nunca se toleraría en entornos físicos, donde las medidas de protección están estandarizadas y se aplican en todas las herramientas y superficies. Es hora de que la ciberseguridad móvil adopte la misma actitud: sin excepciones, sin suposiciones.
Por qué la ciberhigiene debe ser tan rutinaria como lavarse las manos
Por qué la ciberhigiene debe ser tan rutinaria como lavarse las manos
Muchas de las vulnerabilidades explotadas en los ataques a móviles se derivan de fallos en la ciberhigiene básica, fallos totalmente evitables con prácticas coherentes y bien aplicadas. Para subsanar estas deficiencias no se necesita una tecnología revolucionaria, sino un enfoque disciplinado de la configuración, el mantenimiento y el comportamiento de los usuarios.
Los dispositivos móviles deben integrarse plenamente en los marcos de gestión de riesgos de la empresa, aplicando la misma diligencia que a los ordenadores portátiles y los servidores. Esto incluye evaluaciones de vulnerabilidad, inventario de activos, planificación de respuesta a incidentes y comprobaciones de cumplimiento.
Como mínimo, todos los dispositivos móviles deben mantenerse actualizados con los últimos parches del sistema operativo y de las aplicaciones. Esto se pasa por alto con frecuencia, sobre todo en entornos BYOD, en los que el departamento de TI tiene una visibilidad o un control limitados.
Las plataformas de gestión de dispositivos móviles (MDM) o de gestión unificada de terminales (UEM) pueden ayudar a las organizaciones a aplicar políticas de actualización de software, cifrado y listas blancas de aplicaciones en todos los dispositivos.
La higiene de las credenciales es igualmente crítica. Las contraseñas seguras, la aplicación de MFA y la desincentivación de la reutilización en distintos servicios ayudan a reducir el riesgo basado en cuentas. Las herramientas de protección de puntos finales que buscan enlaces o cargas maliciosas deben extenderse de forma estándar de los ordenadores de sobremesa y portátiles a los dispositivos móviles.
La formación de los usuarios es un componente esencial, junto con las herramientas y políticas adecuadas. Los empleados deben saber cómo reconocer los intentos de suplantación de identidad, evitar la instalación de aplicaciones no autorizadas e informar de actividades sospechosas. Las organizaciones pueden reducir drásticamente su exposición al riesgo móvil cuando las personas y las políticas se alinean.
Un reajuste estratégico: trata la seguridad móvil como una misión crítica
La higiene física se mantiene como una disciplina de todo el sistema en el lugar de trabajo. Está integrada en la formación, los procesos y la cultura, porque la alternativa es un riesgo inaceptable. Ese mismo principio debería regir nuestra forma de abordar la seguridad móvil.
Los dispositivos móviles se encuentran ahora en la intersección de la comodidad y la criticidad, y tratar su seguridad como algo secundario ya no es viable. Estos dispositivos son puntos finales de pleno derecho, con acceso a sistemas e información sensibles, y merecen ser tratados en consecuencia.
Como cualquier instrumento quirúrgico o herramienta crítica, los activos móviles deben mantenerse limpios, controlados y protegidos, sin excepción.
