5.3.2021 | Fernando Castillo, Gerente General, México, Bittium
La facilidad con la que nos comunicamos en estos tiempos es impresionante. Es difícil imaginar que la velocidad con la que mandamos mensajes escritos, clips de voz, archivos adjuntos o hacemos llamadas o video-llamadas pudieran ser más eficientes. Basta tener un Smartphone, una aplicación y una red celular entro Wi-Fi disponible.
Usar Apps de comunicación es una parte casi inherente de tener un Smartphone, y es por ello que su uso ha invadido las esferas de lo personal y lo profesional sin diferenciarse. Todo fue demasiado rápido y fácil: intercambiamos fotos, archivos, ligas a sitios web y nuestra ubicación, sin detenernos a pensar en el valor que pueden tener estos datos para un atacante.
En el entorno profesional, y especialmente en los sectores de seguridad pública, la adopción tecnológica de aplicaciones como Whatsapp, Telegram y otras, se dio en muchos casos sin hacer un análisis de los riesgos para la seguridad de la información de los usuarios y sus corporaciones.
Quien escribe, ha escuchado varios casos de personas que trabajan en temas de seguridad y he escuchado algunos ejemplos preocupantes:
• Utilizan teléfonos comerciales baratos para equipar a las corporaciones o caros pero inseguros para oficiales de medio y alto rango
• Han estado mandando información de operativos de seguridad (ubicación, fichas de personas de interés, etc.), mediante aplicaciones gratuitas
• Le prestan el teléfono del trabajo a sus hijos para que bajen juegos sin verificar los permisos que tienen que darle a las aplicaciones
• Utilizan redes sociales sin ningún tipo de control
Los resultados pueden ser potencialmente dañinos y diversos: desde filtración de información confidencial, sustracción de datos de los teléfonos, espionaje no detectado o ataques a la infraestructura de las agencias usando a los teléfonos como caballos de Troya. ¿Cómo puede atenderse esta problemática?
Parte del problema es el desconocimiento. Como se mencionó antes, la adopción tecnológica de los Smartphones en el ámbito de la seguridad pública fue tan rápida, que no existieron esquemas paralelos de educación de riesgos en la seguridad móvil que permearan en las corporaciones de los más altos niveles a los usuarios desplegados en campo.
El resultado ha sido el despliegue de dispositivos comerciales sin un mínimo de seguridad, así como el uso de aplicaciones de uso masivo sin control de las organizaciones. En ese sentido, el reto más difícil es aprender a identificar, asimilar y diseminar al interior de las agencias de seguridad los riesgos más comunes: malware, clonación de dispositivos, uso de aplicaciones inseguras, etc., para luego elegir e implementar las soluciones que más convengan para crear un ecosistema seguro.
La fase de diagnóstico es fundamental y naturalmente debe llevar a hacerse preguntas básicas:
1. ¿Qué clase de teléfonos está usando la organización y cuánta seguridad le ofrece de manera directa a los usuarios y su corporaciones?
2. ¿Cuentan estos teléfonos con mecanismos de identificación de manipulaciones, arranque seguro, cifrado de disco, botones de privacidad y emergencia?
3. ¿Qué aplicaciones se utilizan en estos teléfonos y cuánto control tiene la organización sobre éstas?
4. ¿Qué aplicación se utiliza para intercambiar información sensible (instrucciones de operativos, ubicación, videos o fotografías), o para hacer llamadas y video-llamadas? ¿Quién desarrolló esa aplicación y quién controla el servidor?
5. ¿Qué control geográfico se tiene de la flotilla de teléfonos desplegados?
6. ¿Qué tanto pueden definirse perfiles de usuario con diferentes privilegios (uso de cámaras, Bluetooth, transferencia de datos mediante USB, ubicación, recepción o envío de SMS, MMS e incluso llamadas celulares?
7. ¿Cómo se protege el tráfico de datos entre los teléfonos de la organización?
Una de las consecuencias más importantes del análisis debiera ser el reconocimiento de la necesidad de contar con comunicaciones móviles seguras, que integre bajo una misma solución a los mandos de las corporaciones policiacas así como a los oficiales desplegados en campo. Dicho de otro modo, si se le pide a la base de usuarios que adopten ciertas tecnologías y reglas de uso, lo mismo deben hacer las capas media y superior de mando.
En ese sentido, Bittium ha sabido responder asertivamente a las preguntas antes plateadas con una solución de Hardware + Software totalmente desarrollada en Finlandia sin puertas traseras, instalada donde los clientes lo requieren.
Bittium ofrece los Smartphones seguros Tough Mobile y Tough Mobile 2 con diversos controles de seguridad para que actúen como una primera línea de defensa en contra de ataques, revisando la integridad de sus componentes y firmware en cada reinicio, detectando intentos de manipulación física que activan procesos de borrado o permitiendo además cifrar las tarjetas de memoria expandibles .
Los teléfonos pueden o no tener habilitados de fábrica los Servicios Móviles, o incluso contar con dos sistemas operativos totalmente independientes para incrementar su seguridad y el perfil personal del profesional. Estos dispositivos cuentan además con un diseño robusto para ser operados en condiciones de uso, dándoles a los usuarios incluso la certeza de una cadena de suministros segura para mayor confiabilidad.
La seguridad de los Smartphones de Bittium es reforzada con una herramienta de administración que permite diseñar y modelar los parámetros de uso de toda la flotilla, controlando el uso de aplicaciones y actualizaciones, y pudiendo incluso gestionar eventos basados en la ubicación de los equipos utilizando una red privada virtual (VPN) con un cifrado sofisticado, todo bajo control de la organización y no de terceros.
Por último, la solución da de alta una aplicación con un cifrado independiente para hacer llamadas IP y enviar mensajes y adjuntos, utilizando redes celulares o WiFi sin riesgo de intercepción o filtraciones, todo ello instalado en donde los clientes lo requieres, es decir, en su propia infraestructura de centro de datos o en la nube si así lo desean.
Tratándose de seguridad, las organizaciones deben estar conscientes de los riesgos que enfrentan, pero también saber que existen opciones que pueden ajustarse a sus necesidades específicas de seguridad. Las herramientas existen y es hora de que se implementen si realmente se quiere fortalecer la confidencialidad de las comunicaciones oficiales.
Fernando se unió a Bittium en el 2017 y desde entonces, ha encabezado uno de los proyectos estratégicos de Bittium para México usando sus habilidades gerenciales para desarrollar relaciones fuertes con los actores clave. Él es también el responsable de promover los productos y servicios de Bittium en la región de Latinoamérica.
