jueves, 6 de noviembre de 2008

La verdadera amenaza azul "Bluetooth"

Consideremos que a mediados del 2008, la Argentina poseía unos 45 millones de dispositivos, que si bien no todos tenían esta tecnología, entendíamos que una gran parte de ellos la utilizaban para actividades personales y/o laborales confidenciales. Otro interrogante que se nos planteaba era ¿qué tanto las personas conocían sobre la seguridad en estos dispositivos bajo el uso del Bluetooth?

Es por eso que con varios equipos de alumnos del IUPFA realizamos una encuesta para bajar a realidad cuantificable sobre lo que Ezequiel llamó "La amenaza azul".

La encuesta realizada busca obtener información sobre los siguientes interrogantes:
1- ¿Posee teléfonos celulares? ¿Cuántos?
2- Si posee teléfono celular, ¿Dispone el mismo de la tecnología Bluetooth?
3- En caso afirmativo, ¿Hace uso de la tecnología Bluetooth?
4- ¿Conoce medidas de seguridad frente a los posibles riesgos de la tecnología Bluetooth?

Los equipos conformados por 60 alumnos alineados sobre el alcance planteado, realizaron entre sus contactos laborales y personales, un total de 596 encuestas.
De este total se obtuvieron que los encuestados poseen 876 teléfonos celulares, es decir, a razón de 1.47 dispositivos por persona. Alcanzando en algunos casos personas con hasta 3 teléfonos celulares.
Sobre el total de 876 teléfonos celulares, el 62.8% (550 dispositivos) poseen disponible la tecnología Bluetooth, pero solo el 51.5% (451 dispositivos) los utiliza activamente.
La funcionalidades sobre Bluetooth más utilizadas son aplicadas al uso de accesorios como manos libres, transferencias de archivos ringtones y/o imágenes, envío de archivos de datos, detalle de contactos y/o agendas, sincronización de información entre teléfono y estación de trabajo (PC).
Dentro de este escenario, nos preguntamos sobre la seguridad utilizada en los dispositivos. Solo el 12.2% (67 teléfonos móviles) aplica alguna medida de seguridad. Sobre el total de 876 teléfonos móviles encuestados, los 67 dispositivos con seguridad solo representan el 7.6%.
No ahondamos si el nivel de seguridad utilizado es suficiente o no, simplemente preguntamos sobre la conciencia de aplicar una medida de seguridad por este medio de comunicación bajo la tecnología Bluetooth. El grupo que no aplicaba un esquema de seguridad, indicaba que le restaba importancia al tema dado que lo utilizaba para actividades puntuales personales. Otros tantos desconocían de los riesgos de ser atacados por personas vía conexión Bluetooth, para acceder a la información confidencial de sus dispositivos.

Recordemos las estadísticas proporcionadas por Pointsec Mobile Technologies: 85% utilizan los celulares para almacenar información relacionada con sus actividades laborales y personales. 85% almacenan contactos y direcciones.33% almacenan PIN, usuarios y contraseñas. 32% reciben y envían correos. 25% almacenan información corporativa.

Volvamos entonces al punto de seguridad. El hecho de ser accedidos ilegalmente por un extraño utilizando la tecnología Bluetooth, implica de alguna manera el acceso idebido a información confidencial. En caso de ser un dispositivo laboral, será información relacionada con el negocio, incrementando el valor de dicha información de acuerdo a la actividad realizada y el nivel dentro de la organización que tenga la persona dueña del dispositivo. En caso de un dispositivo personal, redunda en la información privada a sus contactos y pormenores sociales que realiza o realizará en lo que a su privacidad se refiere.
Consideremos que esta encuesta pudiera representar a toda la Argentina. Esto significa que si existen 45 millones de teléfonos móviles, entonces el 62.8% (28 millones) posee tecnología Bluetooth, siendo 51.5% (23 millones) los que lo utilizan activamente. Considerando las medidas de seguridad aplicadas solo 5.5 millones (el 12.2%) aplican alguna medida de seguridad, mientras que casi 40 millones no lo hace.
Generalizando, de cada 10 personas que poseen celulares, solo una de ellas aplica seguridad y el resto queda expuesto a la situación que provoque la creatividad e innovación del intruso atacante.

¿Qué podemos hacer?
Es por eso que adjunto algunas recomendaciones extraídas por Gabriel Omar Soria en referencia a la protección sobre esta tecnología:
1- Activar el Bluetooth sólo cuando se vaya a utilizar.
2- Asignar un nombre al dispositivo que no refleje marca ni modelo.
3- Configurar el dispositivo para que no resulte visible para otros dispositivos.
4- Revisar periódicamente la lista de dispositivos de confianza registrados.
5- Utilizar claves de emparejamiento con al menos 5 caracteres.
6- Requerir autenticación en cualquier intento de acceso.
7- No aceptar ninguna conexión desconocida.
8- Utilizar cuando sea posible cifrado en las transmisiones.
9- Utilizar siempre que sea posible el bloqueo del dispositivo por clave.
10- Evitar guardar en los dispositivos información confidencial.

Autor: Oscar Andres SchmitzDirector de Cxo Community
Fuente: Portaldeseguridad.com


No hay comentarios: