“Las aplicaciones maliciosas en nuestra plataforma no se ejecutan de forma automática o silenciosa, pues requieren de los permisos del usuario para instalarse”, asevera Pablo Kulevicius, director de Seguridad de BlackBerry en Research In Motion (RIM) para Latinoamérica, al informar acerca de las amenazas basadas en ZeuS que afectaron a la plataforma el mes pasado, además de afirmar que en ningún momento éstas se aprovechan de alguna vulnerabilidad en su sistema operativo.
El vocero para Latinoamérica indica que Zeus-in-the-Mobile (ZitMo) es un ataque basado en técnicas de ingeniería social y requiere de los permisos del usuario para su instalación. “ZitMo utiliza las mismas interfaces de programación de aplicaciones (APIs, por sus siglas en inglés) de programación para BlackBerry que están publicadas en nuestro sitio, no se aprovecha de ninguna vulnerabilidad”, asegura.
Kulevicius explica que todas las herramientas para crear aplicaciones son gratuitas, de esta forma no existe alguna por la cual los desarrolladores deban pagar u obtener algún certificado. “La compañía hizo muy fácil el desarrollo de aplicaciones. Lamentablemente, ahí entran las legales y las malignas. Sin embargo, tenemos muchas herramientas para darle al usuario o al administrador el control sobre ellas”.
En este sentido, añade, todo lo sucedido en la plataforma móvil es explícito para el usuario. Por ello, “si fue engañado, simplemente, puede borrar la aplicación, pues la plataforma no permite aplicaciones escondidas”.
Asimismo, las herramientas del fabricante, existentes para el mercado corporativo, permiten un mayor control, pues, aparte del usuario, existe un administrador que está más al tanto de las notificaciones. Por ejemplo, por medio del BlackBerry Enterprise Server (BES) ellos pueden poner reglas sobre la instalación de aplicaciones o de los datos a los que éstas tienen acceso sin restringirlas, destaca.
La amenaza
De acuerdo con Kaspersky, ZitMo apareció en septiembre 2010 como una función adicional al ataque de ZeuS basado en PC. Una supuesta página de autenticación pedía a los usuarios información sobre la marca, modelo y número de sus teléfonos para enviarles actualizaciones de certificados de sus bancos. Posteriormente, mediante un mensaje de texto, los criminales pedían a los usuarios instalar un “certificado de seguridad” que inyectaba el malware a los teléfonos.
Las primeras versiones de ZeuS para móviles, así como las cuatro variantes descubiertas en agosto de este año, son troyanos cuya finalidad es robar mTANs (mobile transaction authentication numbers) enviados por bancos para confirmar operaciones de banca en línea, explica Denis Maslennikov, analista de Malware Senior para Kaspersky Lab.
En un correo electrónico, el investigador del corporativo ruso advierte que BlackBerry es un teléfono popular en el ámbito corporativo, por lo cual “este hecho podría generar serios riesgos para las compañías debido a que los dispositivos podrían contener mucha información corporativa sensible (desde correos hasta documentos financieros)”.
No obstante, el malware fue creado para países europeos. “Dado que en Latinoamérica no tenemos entidades financieras que utilicen este tipo de autenticación [mTANs], no existe riesgo para los usuarios de bancos locales”, acota el portavoz de RIM.
A decir de Maslennikov, en este momento BlackBerry no es el sistema operativo con mayor número de amenazas. “La mayoría de los criminales cibernéticos especializados en malware móvil están a la caza de usuarios de Android, simplemente, porque la plataforma es la más popular. En cuanto al sistema de RIM, hemos descubierto una docena de aplicaciones malignas, comparada con alrededor de 30 mil códigos para Android. La mayoría son troyanos ZitMo creados para robar mTANs”.
Más allá de la propia plataforma de la canadiense, la compañía rusa ha detectado vulnerabilidades recientes en el reproductor de Flash para la tableta PlayBook, que permite a “usuarios maliciosos obtener acceso al sistema y ejecutar código arbitrario con los privilegios de un usuario local”, así como múltiples agujeros en el servidor de correo electrónico del fabricante (BES) y en su aplicación de escritorio para la administración de dispositivos.
Por su parte, Kulevicius no descarta futuros ataques a la plataforma de BlackBerry, pues “no debemos perder de vista que la motivación de los criminales es económica. El tipo de plataforma usada por los ciberdelincuentes dependerá del objetivo que éstos tengan en mente”.
¿Es suficiente la seguridad en BlackBerry?
El especialista de BlackBerry destaca que “el concepto de los antivirus no es algo que se ajuste bien a las plataformas móviles. En equipos de escritorio son programas a nivel de sistema operativo que, de hecho, no han funcionado bien en estos ambientes, pues van corriendo detrás del malware y han tenido errores en sus bases de datos de aplicaciones maliciosas”.
Además, implementar este tipo de aplicaciones en el sistema operativo de la canadiense, advierte, implicaría abrir su plataforma a otros fabricantes. “Un dispositivo móvil tiene recursos limitados, por lo cual los antivirus como los conocemos no funcionan e incluso crean más agujeros de los que intentan solucionar, por ello nuestra visión es de prevención”, indica.
Sin embargo, según Maslennikov, siempre existe la posibilidad de agregar mayor protección a cualquier sistema operativo e indica que el fabricante euroasiático cuenta con un producto para proteger dispositivos RIM. A pesar de ello, sólo puede lograrse el nivel más alto de seguridad cuando hay un conocimiento por parte del usuario respecto a la existencia de las amenazas para todas las plataformas.
En este sentido, Pavel Orozco, ingeniero de Ventas para Websense, señala que la seguridad debe implementarse a nivel personal, desde las contraseñas hasta la instalación de herramientas para salvaguardar los datos contenidos en los dispositivos. Además, los usuarios necesitan evitar abrir correos de desconocidos y sólo aceptar comunicaciones de aquellos que son autorizados.
De igual manera, es más fiable descargar aplicaciones de los mercados de los propios fabricantes y de sitios conocidos (bancos, portales de noticias, etcétera), además de asegurarse que el proveedor de la aplicación sea seguro.
“El eslabón más débil de la cadena de seguridad siempre será el usuario final, pues son pocos los expertos o quienes conocen del tema, por lo cual siempre son necesarios mayores controles”, concluye.
Alberto Cruz
Compartir nota:
