No es ninguna novedad que el uso del teléfono móvil se ha disparado en la última década. De acuerdo con un estudio realizado por la Unión Internacional de Telecomunicaciones (UIT), hay aproximadamente 6800 millones de abonados a la telefonía móvil en el mundo. A medida que la tecnología se entrama más y más en la sociedad, el uso de smartphones se ha convertido cada vez más en una extensión común de los dispositivos informáticos de escritorio. Los empleados configuran sus dispositivos móviles personales para acceder a información de la empresa y los profesionales de TI a menudo luchan para encontrar la forma de asegurar la protección de los datos corporativos.
Esta dinámica ha creado nuevas oportunidades para la ciberdelincuencia. Los ciberdelincuentes están atacando cada vez más los smartphones utilizando una variedad de tácticas con fines malintencionados. Entre estas tácticas se incluye presentar código malicioso como una de las aplicaciones más populares para descargar en las tiendas o mercados de aplicaciones, URLs maliciosos diseñados para engañar a los usuarios para que descarguen aplicaciones o que proporcionen información personal, o el aprovechamiento de mensajes SMS erróneos o «smishing» como un medio para hacer subir la factura del dispositivo de un usuario.
Para ayudar a aliviar los crecientes desafíos que enfrentan los profesionales de TI en un entorno BYOD (Bring Your Own Device) en rápida evolución, Microsoft emplea su Ciclo de vida de desarrollo de seguridad (SDL) en el desarrollo de sus productos. El SDL es una metodología de aseguramiento de la seguridad utilizada por los equipos de ingenieros de Microsoft que incorpora un modelado a fondo de amenazas, pruebas de exploración de vulnerabilidades mediante datos aleatorios, y otras prácticas de desarrollo de software centradas en la seguridad, lo cual ayuda a prevenir el acceso no autorizado a los recursos del teléfono. El SDL aplica normas estrictas y un enfoque de defensa en profundidad y de varias capas para ayudar a proteger contra el malware, la fuga de datos y otras amenazas.
En el diseño de las defensas de seguridad en Windows Phone, Microsoft toma un enfoque de varios niveles.
-
Se inició diseñando un proceso de arranque seguro y la firma de código, lo que ayuda a asegurar la integridad de la plataforma, permite la ejecución exclusiva de software validado y ayuda a prevenir que los rootkits tomen el control.
-
Se implementó un modelo de seguridad en cámaras basado en los principios de aislamiento y privilegios mínimos, que ayudan a minimizar la superficie de ataque, maximizar el consentimiento del usuario y el control y a evitar que las aplicaciones accedan a la memoria utilizada o a datos almacenados por otras aplicaciones.
-
Se tomaron medidas para reducir el riesgo de los sitios web maliciosos mediante el uso de Microsoft Smart Screen.
-
Antes de poner a disposición una aplicación enviada a la Tienda de Windows Phone, se comprueba que no contengan características maliciosas y verificamos que se hayan incorporado las firmas digitales. También se cuida que las empresas que deseen inscribirse en privado y ofrecer su propia línea de aplicaciones de negocios tengan las herramientas para hacerlo.
-
Se ha abordado el proceso de actualización de software para establecer un canal único y controlado para la entrega de actualizaciones de características y correcciones de errores para fabricantes de hardware, operadores móviles y el equipo de ingeniería de Windows Phone.
-
Se han establecido procesos con el Centro de respuestas de seguridad de Microsoft, un líder de este sector, para entregar actualizaciones críticas para todos los teléfonos con Windows a nivel mundial si se descubren vulnerabilidades de alto impacto.
-
Microsoft ha implementado una combinación de cifrado de dispositivos y políticas de acceso a dispositivos eficaces, tales como exigir el uso de un PIN o contraseña, borrar un teléfono de forma remota y prevenir el uso de tarjetas de memoria extraíbles.
-
También el equipo de Windows Phone incorpora el soporte nativo de Information Rights Management (IRM), como medio para proteger información confidencial contenida en el correo electrónico y en los documentos de Microsoft Office.
El resultado final de todos estos esfuerzos es un smartphone más seguro que los profesionales de TI pueden integrar fácilmente en su infraestructura existente de Windows. Para obtener información detallada, visitar http://www.windowsphone.com/business/ y descargar el informe técnico «Información general de seguridad de Windows 8«.
Alan Meeus
Director Senior
Windows Phone