El crecimiento en el uso de dispositivos móviles ha llevado a que en las organizaciones se incorporen estas herramientas para realizar muchas de las tareas diarias. A esta variedad de actividades se abre ahora otra posibilidad muy interesante: realizar Penetration Test para conocer el estado de la información corporativa y el nivel de seguridad para poder determinar qué tan protegida está la empresa.
El Penetration Testing es una actividad que busca obtener información a través de pruebas ofensivas contra los mecanismos de defensa existentes en el entorno que se está analizando, con el objetivo de identificar aquellas faltas de controles y las brechas que abren la posibilidad a que se materialicen incidentes como como pérdida de datos, fuga de información, accesos no autorizados, entre otros que pueden afectar la información crítica del negocio.
Dado que los dispositivos móviles son herramientas que cada día tienen mayores capacidades de procesamiento, se han convertido en una alternativa más para que el pentester (quien realiza las pruebas) lleve a cabo los análisis. Es así cómo se pueden encontrar una serie de herramientas que facilitan llevar a cabo las tareas de reconocimiento y escaneo propias de un análisis de penetración que combinado con la portabilidad de los dispositivos pueden llegar a brindar grandes facilidades. Algunas características de las aplicaciones que se pueden descargar de las tiendas en línea oficiales de cada sistema operativo:
- Analizadores WiFi: Son herramientas que muestran los canales WiFi por los cuales se está trasmitiendo información alrededor del dispositivo. Ayudan a identificar y determinar el alance de los router inalámbricos. Además tienen funcionalidades para mapear las redes WiFi detectadas.
- Aplicaciones para la detección de sistemas operativos, escaneo de puertos y análisis de traceroute.
- Clientes SSH de código abierto: permiten crear enlaces seguros para intercambiar información entre aplicaciones.
- Compiladores de código C y C++, las cuales permiten compilar código para correr en el dispositivo.
- Fingerprint para determinar el sistema operativo y otros parámetros: Este tipo de herramientas buscan en la red a la cual se puede conectar los puertos abiertos en los elementos de red. También cuentan con funcionalidades para hacer análisis Man-in-the-middle, crear servidores HTTP y detectar el sistema operativo.
Cómo se puede ver todas estas herramientas están disponibles para computadoras de escritorio desde las cuales se hacen tradicionalmente este tipo de análisis: escaneo de vulnerabilidades host, escaneo de vulnerabilidades de red, escaneo de aplicaciones, entre otras. Lo interesante de esto es que todos estos análisis desde dispositivos mucho más ligeros y portables, y teniendo en cuenta tendencias cómo BYOD se abre el abanico de escenarios que pueden ser vulnerables y que por lo tanto requieren un análisis de este tipo.
Lo más importante es que las empresas tomen las medidas adecuadas para evitar sufrir ataques e incidentes que puedan afectar la seguridad de la información en la organización. Es necesario que periódicamente se lleven a cabo análisis de que permitan conocer el estado de la seguridad, ya que la seguridad debe ser gestionada y no es cuestión de sólo cumplir una norma para obtener un certificado. ESET Latinoamérica cuenta con la unidad ESET Security Services que ofrece servicios que permiten identificar vulnerabilidades en la infraestructura de seguridad de la empresa para de esta forma garantizar mayores niveles de seguridad para la información.
H. Camilo Gutiérrez Amaya
Especialista de Awareness & Research