La Agencia Europea ENISA (European Network and Information Security Agency) es una agencia europea creada para predecir el comportamiento y la seguridad de los mercados internos europeos. Esta agencia es un centro de excelencia para los estados miembros de la Comunidad Europea e Instituciones Europeas en seguridad de la información y redes, ofreciendo consejos y recomendaciones y actuando como un foro de información y buenas prácticas. Esta Agencia facilita el contacto entre instituciones europeas, estados miembros y empresas privadas y participantes en la industria.
En su informe de septiembre de este año al respecto de la seguridad de las tiendas de aplicaciones para móviles, la ENISA ha establecido 5 líneas de defensa básicas para luchar contra el malware antes de que este plague a las iniciativas de distribución de aplicaciones para dispositivos móviles y sobre todo teléfonos inteligentes.
Los teléfonos inteligentes sobrepasarán a los ordenadores personales en 2013 según los datos de Gartner y se convertirán en los dispositivos mas usados para acceder a internet. Una de las características clave de estos dispositivos son las aplicaciones, gestionadas y controladas por tiendas en las que se ofrecen estas piezas de software a los usuarios.
Sin embargo, las aplicaciones para móviles no han escapado de los ojos de los ataques de los criminales: en 2010 se encontró diallerware (aplicaciones que hacen llamadas a números de teléfono de pago) en teléfonos con Windows Mobile y en 2011 la tienda de aplicaciones de Android distribuyó a través de una aplicación popular un malware que infectó a miles de teléfonos. A estas alturas, la existencia de malware para los teléfonos móviles simplemente palidece frente a la que hay para ordenadores personales gracias a su mayor cuota de mercado, pero conforme estas tornas vayan cambiando, el diseño de malware irá redefiniendo sus objetivos y apuntará a los teléfonos móviles.
Para consolidar una cabeza de puente segura sobre la que mantener una posición firme ante este futuro ataque, la ENISA ha determinado cuales son las 5 líneas de defensa básicas a desplegar por las empresas que quieran dedicarse a la distribución de aplicaciones para móviles, ya sean multinacionales o empresas pequeñas.
Estas 5 líneas son:
El documento de ENISA define también el formato y forma de un ecosistema móvil , un diagrama del flujo de datos de un ecosistema de este tipo y el modelado del mismo. Mas adelante, el documento recoge los posibles modelos de ataque a seguir y los puntos débiles que los criminales buscarán con mas insistencia como brechas no solo en la seguridad tecnología del dispositivo, su hardware, software o transmisión de datos, sino también en la confusión, duda e incertidumbre que pueden causar en el usuario final del dispositivo.
El informe hace un largo análisis sobre las amenazas y líneas de defensa, ya mas pormenorizado, en los que detalla protocolos para cada uno de los 5 puntos arriba mencionados.
El autor del informe ha sido el Dr. Dr. Marnix Dekker, CISA y el Dr. Giles Hogben. Los análisis de amenazas del informe han sido realizados en colaboración con e DistriNet Research Group, K.U.Leuven, Belgiumy en particular con el Prof. dr. Frank Piessens, Dr. Lieven Desmet, Dr. Pieter Philippaerts, y Philippe De Ryck.
Además han colaborado en la redacción del borrador, especialmente en la defensa contra el malware: Peter Dickman, Nick Kralevich (Google), Nader Henein (Research in Motion), Kari Ti. Kostiainen, Niall Odonoghue, Timo J. Heikkinen, Mikko Saario (Nokia) y Vinay Bansal (Cisco Systems).
El informe completo puede descargarse desde este enlace
Lo mejor, con mucho, además del artículo, es la documentación. Como desarrollador de aplicaciones me es extremadamente útil saber los procesos recomendados por las instituciones sobre estos temas, ya que es básico en el despliegue de estas tiendas.
Como siempre, un 10. Parece mentira que estos artículos que publicáis “no salgan” en otros sitios mas que aquí, tanto americano, tanto americano ….
Muchas gracias de nuevo.