Este informe sobre dispositivos móviles revela cuál fue el más vulnerable en 2021

La empresa de seguridad móvil Zimperium publicó su informe anual de amenazas móviles. En este informe la empresa muestra las tendencias de seguridad y los descubrimientos en el año que pasó sientan las bases para predecir lo que vendrá en 2022. 

En general, el foco de los ciberdelincuentes en las plataformas móviles ha aumentado en comparación con años anteriores, principalmente debido al impulso de la fuerza laboral global hacia el trabajo remoto.

Este enfoque se manifestó en volúmenes de distribución de malware más significativos, ataques de phishing y smishing. Asimismo, existieron más esfuerzos para descubrir y aprovechar las vulnerabilidades de seguridad de día cero (zero-day).

Las vulnerabilidades de día cero se divulgan públicamente o se explotan activamente como errores sin soluciones disponibles por parte del proveedor o los desarrolladores. Como es vital corregir las vulnerabilidades de día cero, los proveedores generalmente se apresuran a publicar actualizaciones de seguridad una vez que se divulgan.

Sin embargo, según las estadísticas de clientes de Zimperium y una encuesta realizada para el informe, sólo alrededor del 42 % de las personas que trabajan en entornos BYOD (traiga su propio dispositivo) aplicaron soluciones de alta prioridad dentro de los dos días posteriores a su lanzamiento.

Aproximadamente un tercio necesitó hasta una semana. Y, un significativo 20% no había parcheado sus dispositivos móviles antes de llegar a la marca de las dos semanas.

Amenazas por región

En 2021, los atacantes se centraron más en la fuerza de trabajo remota o en los dispositivos móviles en las instalaciones de las empresas. Esto provocó un aumento de los escaneos de red maliciosos y los ataques de intermediarios (MiTM). Los ataques de intermediarios tienen como objetivo robar información confidencial que juega un papel crucial en ataques más significativos contra las redes corporativas.

Las amenazas más frecuentes para cada región del mundo en 2021 fueron las siguientes:

• Asia/Pacífico: sitios web maliciosos, malware, MiTM
• África: malware
• Europa: malware, escaneos locales maliciosos, MiTM
• América del Norte: malware, MiTM
• América del Sur: malware, escaneos locales maliciosos

A nivel mundial, el malware móvil fue un problema encontrado en el 23% de todos los endpoints protegidos por Zimperium en 2021, seguido de MiTM (13%), sitios web maliciosos (12%) y escaneos (12%).

Android versus iOS

El mercado de los sistemas operativos móviles está dominado por un duopolio de Android e iOS. Por lo tanto, inevitablemente, todas las comparaciones bajo cualquier espectro giran en torno a esos dos.

En cuanto a la seguridad en 2021, Android parece ser generalmente más vulnerable que iOS, pero este último tiende a tener vulnerabilidades más graves.

A juzgar por el volumen, Android tuvo 574 vulnerabilidades descubiertas en 2021, una reducción notable de las 859 en 2020. Y, para mala fortuna, el 79% de ellas se caracterizaron por una baja complejidad de ataque. Esta categorización denota vulnerabilidades que son fáciles de explotar. 

De las 574 fallas de Android, 135 (23%) tuvieron una puntuación CVSS superior a 7.2, mientras que 18 fueron calificadas como críticas.

En iOS, los investigadores de seguridad encontraron 357 nuevas vulnerabilidades en el año que pasó. Sin embargo, solo el 24% de ellas fueron consideradas vulnerabilidades de baja complejidad.

Además, solo 63 (17%) tuvieron una clasificación de gravedad CVSS superior a 7.2. No obstante, el 45% de las vulnerabilidades fueron críticas, lo que significa que aprovecharlas puede resultar en un compromiso significativo para un dispositivo.

Esto hace que iOS sea un objetivo más desafiante pero lucrativo porque las vulnerabilidades son difíciles de poner en práctica, pero la recompensa es mayor.

Esta hipótesis se ve confirmada por las estadísticas de día cero para 2021. Las vulnerabilidades de iOS representaron el 64 % de los 17 ataques de día cero explotados dirigidos a dispositivos móviles en 2021.

En 2021, se revelaron 11 vulnerabilidades de día cero explotadas en el entorno dirigidas a Apple iOS y Apple WebKit. Esto representa el 19% de todas las vulnerabilidades de día cero del año.

Informe de Zimperium

Aplicaciones

Zimperium también analizó las aplicaciones más populares en las categorías financiera, de salud, comercio y de estilo de vida en Google Play Store y Apple App Store. La conclusión es que las aplicaciones son puntos de responsabilidad de seguridad significativa para dispositivos móviles.

En particular, el 80 % de las aplicaciones financieras para Android utilizan un cifrado vulnerable. Asimismo, el 82 % de las aplicaciones de comercio en iOS no cuentan con ninguna protección de código.

Perspectivas para el 2022

A medida que la importancia de los dispositivos móviles en la vida y el trabajo continúa creciendo y la cantidad de usuarios de teléfonos inteligentes alcanza nuevos máximos, se espera que los ciberdelincuentes continúen sus esfuerzos para atacar a los usuarios. 

Incluso con la escasez de semiconductores causando problemas de suministro para 2022, se prevé que los envíos de teléfonos inteligentes sean de 1,430 millones. Desafortunadamente, muchos de estos dispositivos serán el eslabón más débil en la cadena de seguridad de las grandes organizaciones. Y, por lo tanto, serán el objetivo de hackers expertos.

La encuesta de Zimperium reveló que el 84 % de los profesionales de seguridad en la actualidad habían habilitado Microsoft Office 365 en dispositivos móviles. Asimismo, el 38% de ellos se encontraba en el proceso de asegurar estas implementaciones en una segunda fase.

Esta estadística refleja perfectamente cuántas organizaciones sacrificaron los estrictos controles de seguridad para respaldar la productividad y la continuidad del negocio en tiempos de cambios dramáticos.

En comparación con años anteriores, tanto Google (Android) como Apple (iOS) han avanzado mucho en materia de seguridad. En otras palabras, sus sistemas móviles son lo suficientemente robustos como para descartar exploits fáciles.

Hoy en día, los atacantes se ven obligados a descubrir y encadenar múltiples vulnerabilidades para lograr objetivos significativos. Por lo tanto, estos ataques son cada vez más difíciles de llevar a cabo.

Correcciones importantes

Algunos de los descubrimientos y correcciones de seguridad móvil más notables en el año que pasó son:

• Apple lanzó iOS 14.4.2, corrigiendo una vulnerabilidad de WebKit día cero explotada activamente (CVE-2021-1879) para ataques de secuencias de comandos entre sitios.
• El malware de Android “GriftHorse” infectó 10 millones de dispositivos en 70 países.
• iOS 14.8 solucionó la vulnerabilidad de día cero explotada por el spyware Pegasus de NSO para operaciones globales de ciberespionaje.
• El malware de Android “FlyTrap” empleó ingeniería social y superposiciones para robar cuentas de Facebook en 140 países.
• Google lanzó la actualización de seguridad de Android de mayo de 2021 para abordar cuatro días cero explotados activamente en componentes de GPU móviles ubicuos.

Si bien es demasiado pronto para saber exactamente lo que vendrá en 2022, deberíamos esperar más de lo mismo.

Como tal, la clave para mantener sus dispositivos seguros es reducir la cantidad de aplicaciones instaladas al mínimo absoluto. Lamentablemente, cuantas más aplicaciones utilices, mayor será el riesgo para sus datos.

Finalmente, debes mantener actualizado el sistema operativo de tu móvil aplicando las actualizaciones de seguridad disponibles. Y, para Android, tienes que usar una herramienta antivirus, activar Play Protect y revisar los permisos de las aplicaciones regularmente.