Parece que hay un sinfín de formas en las que su dispositivo móvil puede ser atacado. Con las aterradoras imágenes mentales de astutos piratas informáticos que van minando la seguridad de nuestro dispositivo móvil, es fácil olvidar que la forma más común de que un dispositivo se vea comprometido es a través de una acción descuidada por parte del usuario final. Una de estas acciones es la carga lateral de aplicaciones peligrosas en el dispositivo.
- ¿Qué es la carga lateral?
- ¿Cuál es la diferencia entre jailbreaking, rooting y sideloading?
- ¿Qué aplicaciones son mis empleados sideloading?
- Aplicaciones empresariales personalizadas
- ¿Cuál es el riesgo?
- Tiendas de aplicaciones de terceros
- ¿Cuál es el riesgo?
- Juegos
- ¿Cuál es el riesgo?
- Visores de películas «gratis»
- ¿Cuál es el riesgo?
- El mercado de las criptodivisas
- ¿Cuál es el riesgo?
- Todo lo demás
- ¿Qué puedo hacer?
- 3ª Parte App Stores
- Tutuapp
- Juegos
- Aplicaciones de cine gratis
- Criptomoneda
¿Qué es la carga lateral?
La carga lateral, en el contexto de la seguridad móvil, es el proceso de añadir una aplicación que no ha sido aprobada por el desarrollador del sistema operativo del dispositivo. Todas las aplicaciones de la App Store o de Google Play Store han sido examinadas por sus respectivas organizaciones. Aunque ha habido casos de aplicaciones maliciosas encontradas tanto en la App Store como en la Play Store (más a menudo en la Google Play Store), las tiendas de aplicaciones oficiales actúan como un filtro adicional, bloqueando la gran mayoría de las aplicaciones maliciosas para que no lleguen al usuario final.
Sideloading permite el acceso a aplicaciones que no están disponibles en las tiendas de aplicaciones oficiales por cualquiera de una serie de razones. Las aplicaciones de otras fuentes pueden no ser examinadas en cuanto a seguridad y pueden tener intenciones maliciosas, pero a menudo los usuarios las instalan en su dispositivo, abriéndose a las amenazas. En el caso de los dispositivos de Apple, esto a menudo (aunque no siempre) requiere que el dispositivo tenga jailbreak.
¿Cuál es la diferencia entre jailbreaking, rooting y sideloading?
El término ‘jailbreaking’ puede aplicarse a cualquier tipo de dispositivo móvil, pero generalmente se refiere a los dispositivos de Apple. Apple mantiene un alto nivel de seguridad de los dispositivos al restringir todos los dispositivos para permitir sólo las aplicaciones descargadas de su App Store oficial. El Jailbreaking es un método para eludir esto aumentando los permisos del usuario en el dispositivo. Los usuarios pueden seguir accediendo a todas las funciones normales del dispositivo, pero pueden instalar aplicaciones de fuentes distintas a la App Store.
Google no bloquea el sistema operativo Android tanto como Apple: aunque la configuración por defecto no permite las aplicaciones cargadas desde el lateral, es posible cambiar un ajuste para permitir las aplicaciones de fuentes de terceros. Nuestra investigación muestra que alrededor del 20% de los dispositivos tienen esta configuración activada. Este método parece menos arriesgado que el jailbreaking, pero abre el dispositivo a las amenazas exactamente de la misma manera.
El rooting se confunde a menudo como la versión de Android del jailbreaking. Aunque el rooting es similar al jailbreaking en el sentido de que ambos son una escalada de privilegios, el rooting proporciona mucha más libertad a los usuarios de Android. Llamado así porque proporciona acceso a la raíz del dispositivo, el rooting permite privilegios mucho mayores, de superusuario, por lo que los usuarios pueden hacer cambios drásticos – hasta e incluyendo el cambio del sistema operativo del dispositivo.
¿Qué aplicaciones son mis empleados sideloading?
Nuestra investigación muestra que hay una gran variedad de aplicaciones que se cargan de forma lateral en los dispositivos corporativos, pero hemos podido clasificar las cinco aplicaciones más comunes que se cargan de forma lateral:
Aplicaciones empresariales personalizadas
Las aplicaciones personalizadas ofrecen beneficios significativos para las organizaciones, ya que permiten al departamento de TI adaptar las aplicaciones para satisfacer los casos de uso específicos de varios departamentos de la empresa. Por ejemplo, uno de nuestros clientes creó e implantó una aplicación personalizada para que el personal sanitario pudiera actualizar los historiales de los pacientes y pedir recetas desde la cabecera del enfermo, minimizando la administración y aumentando el tiempo dedicado a los pacientes.
Para implantar aplicaciones personalizadas, las empresas suelen tener que evitar las tiendas de aplicaciones oficiales, ya que no quieren que sus aplicaciones estén ampliamente disponibles para el público debido a la información sensible que contienen. Por ejemplo, una aplicación de recursos humanos del directorio de empleados contiene información personal sobre el personal, y las aplicaciones de noticias internas de la empresa contienen información corporativa sensible. Es comprensible que el departamento de TI quiera encontrar otra forma de poner estas aplicaciones a disposición de sus usuarios sin añadir complejidad al añadir la autorización del usuario.
¿Cuál es el riesgo?
La carga lateral de las aplicaciones suele ser una práctica peligrosa, pero en este caso, es una práctica común y el método preferido de distribución. Una organización puede garantizar que la app en cuestión ha sido diseñada sin intenciones maliciosas y puede ajustarse a los niveles de seguridad deseados. Si la organización hace jailbreak a los dispositivos para permitir la aplicación, podrían descargarse e instalarse aplicaciones de riesgo, por lo que es más probable que se utilicen otros métodos. Ya sea preinstalando el perfil de certificado con el que se firma la aplicación personalizada o utilizando una herramienta de gestión de la movilidad empresarial (EMM).
Las empresas que tienen aplicaciones personalizadas suelen subcontratar el desarrollo a terceros. El problema con estos desarrolladores externos es que no aplican un flujo de trabajo sólido para detectar problemas de rendimiento y seguridad, como por ejemplo, conexiones de red inseguras. Recientemente, Wandera descubrió una aplicación de formación de recursos humanos personalizada de una empresa que no protegía los nombres de usuario y las contraseñas de los usuarios que se conectaban, que eran las mismas credenciales que utilizaban para iniciar sesión en sus cuentas de correo electrónico corporativas.
Otra cosa que hay que tener en cuenta: estas aplicaciones personalizadas estarán optimizadas para el sistema operativo existente, por lo que cuando Apple o Android lancen una actualización del sistema operativo, algunas de las funcionalidades de la aplicación podrían romperse. Por eso, utilizar un servicio para controlar el despliegue de las actualizaciones del sistema operativo es útil para garantizar que las aplicaciones personalizadas sigan funcionando de forma óptima.
Riesgo – 1/5
Tiendas de aplicaciones de terceros
La App Store de Apple para iOS y la Play Store de Google para Android son los dos mayores canales de distribución de aplicaciones móviles. Pero hay un gran mundo de tiendas de aplicaciones de terceros y aplicaciones que existen fuera de estos dos grandes actores. De hecho, hay más de 300 tiendas de aplicaciones en todo el mundo y ese número sigue creciendo.
Según nuestros datos, una de las apps de terceros más populares para dispositivos iOS corporativos es Tutuapp, originalmente una tienda de aplicaciones china que lanzó una versión en inglés en 2017. Tutuapp es conocida por alojar versiones modificadas o hackeadas de juegos populares, incluyendo una versión de Pokemon Go en la que el jugador no necesita moverse para encontrar y atrapar Pokemon. Las aplicaciones alojadas en Tutuapp no se someten a un control exhaustivo como las de Google Play y la App Store.
En Android, la instalación de tiendas de aplicaciones de terceros no es tan común porque un usuario puede simplemente visitar el sitio web de la aplicación y descargarla directamente desde el navegador, siempre y cuando se haya activado la configuración para permitir las descargas de fuentes desconocidas.
Aún así, estas son las dos tiendas de aplicaciones de terceros más populares desde las que los usuarios de Android hacen sideload:
- Aptoide
- Amazon Appstore
Amazon aprueba todas las aplicaciones antes de publicarlas en la tienda, de forma muy similar a como lo hace Apple, lo que sugiere que la propia Amazon Appstore es relativamente segura. Aptoide, en cambio, es menos fiable.
Aptoide cuenta con una función de escaneo de virus (señalada con un símbolo de escudo junto al icono de la aplicación), pero sigue publicando aplicaciones que no han sido escaneadas, exponiendo a los clientes a posibles amenazas. Aunque no hay indicios de que la propia aplicación Aptoide contenga malware, las aplicaciones que ofrece podrían suponer una amenaza.
¿Cuál es el riesgo?
Aunque la mayoría de las aplicaciones de tiendas de aplicaciones de terceros pueden estar libres de malware y ser relativamente seguras, los comportamientos que permiten son una amenaza mucho mayor. Se puede asumir con seguridad que cualquier persona que cargue de forma lateral una tienda de aplicaciones de terceros está planeando instalar una o más aplicaciones alojadas por ellos. Dado que la mayoría de estas tiendas de aplicaciones no aplican un riguroso control de seguridad de las aplicaciones que ofrecen, esto puede hacer que cualquier dispositivo en el que se hayan instalado sea especialmente vulnerable a las amenazas.
Riesgo – 5/5
Juegos
Después de las aplicaciones personalizadas y las tiendas de aplicaciones de terceros, la razón más común para la carga lateral de aplicaciones es la instalación de juegos que no están disponibles en las tiendas de aplicaciones oficiales. Según nuestros datos, el 10 por ciento de los empleados juegan en sus dispositivos corporativos a diario.
El ejemplo más notable de un juego popular que necesita ser sideloaded es Fortnite para Android. Cuando Epic Games tomó la decisión de saltarse la tienda de Google Play y ofrecer el esperado juego solo a través de su propio sitio web, nosotros (y otros expertos en seguridad) nos apresuramos a comunicar los riesgos, que incluyen la normalización de la configuración de riesgo, la distribución de juegos falsos de Fortnite y los ataques de phishing basados en Fortnite.
Poco después, el equipo de seguridad de Google descubrió una vulnerabilidad en el instalador de Fortnite. Esto podría ser explotado por otras aplicaciones en el dispositivo para secuestrar la solicitud de descarga de Fortnite de Epic Games para descargar secretamente cualquier otra cosa, incluyendo malware o spyware. A favor de Epic, la vulnerabilidad fue parcheada rápidamente.
¿Cuál es el riesgo?
Los empleadores pueden pensar que la instalación de juegos en los dispositivos corporativos es lo suficientemente perjudicial para la productividad. Sin embargo, la amenaza potencial que suponen los juegos cargados lateralmente es sustancial. Sin la capa de seguridad adicional del control de aplicaciones de Apple o Google, las vulnerabilidades y el contenido malicioso pueden pasar desapercibidos, exponiendo el dispositivo a una multitud de amenazas. Incluso uno de los principales editores de juegos, Epic Games, fue incapaz de garantizar la seguridad de su versión móvil más emblemática, y con los «lanzamientos tempranos», las versiones modificadas y las «guías» falsas, los juegos son un blanco fácil para aquellos con intenciones maliciosas.
Riesgo – 4/5
Visores de películas «gratis»
A medida que las velocidades de transferencia de datos y la cobertura de Internet móvil han aumentado en los últimos años, también lo ha hecho el uso de los dispositivos móviles para transmitir películas y televisión. Es habitual que los usuarios de móviles hagan streaming de películas íntegramente en sus dispositivos, por lo que ha aumentado el número de apps para ofrecer contenidos.
Además de los servicios legítimos, como Netflix o Amazon Prime Video (una app que solía cargarse de forma habitual, hasta que se añadió a la Google Play Store en 2017), una serie de aplicaciones que ofrecen el visionado gratuito de películas se cargan de forma habitual en los dispositivos corporativos. Las más populares para iOS son MovieBox y CotoMovies (antes Bobby Movie o Bobby HD), y el 50% de las empresas tienen instalada al menos una de las dos apps. CotoMovies es un ejemplo de aplicación de carga lateral que no requiere que el iPhone tenga jailbreak, pero el usuario tiene que cambiar la configuración del perfil en el dispositivo, lo que puede hacerlo especialmente vulnerable a los ataques.
Desgraciadamente, hay una serie de problemas con estas aplicaciones: el principal es que estas aplicaciones están pirateando ilegalmente las películas que anuncian. Las aplicaciones aprobadas por Apple o Google no permiten ninguna actividad ilegal, pero con las aplicaciones de carga lateral no hay ninguna garantía.
La transmisión de vídeo es particularmente intensiva en datos, lo que podría llevar a posibles cargos por exceso de datos si no se controla. Este es un peligro con todas las aplicaciones de streaming, incluidas las legítimas. Sin embargo, algunas aplicaciones de streaming ilícitas pueden suponer otro problema de datos. Moviebox es un servicio peer-to-peer, lo que significa que mientras un usuario está descargando un archivo, también lo estará subiendo, probablemente sin saberlo.
¿Cuál es el riesgo?
Los visores de películas gratuitos tienen una serie de problemas a primera vista. Son definitivamente arriesgados desde el punto de vista de la seguridad móvil, pero también presentan dificultades para el uso de datos y la productividad. Y lo que es peor, usarlos para ver películas es participar en la piratería, algo que no es precisamente lo que se quiere que ocurra en un dispositivo corporativo.
Riesgo – 3/5
El mercado de las criptodivisas
En los últimos años, las criptodivisas como el bitcoin han despegado. Con gente que se hace millonaria prácticamente de la noche a la mañana, todo el mundo está buscando el próximo éxito. Esto ha creado un mercado preparado para el abuso, sobre todo debido a la naturaleza mercurial de las criptomonedas y la forma en que se negocian.
Existe un número considerable de aplicaciones de comercio de criptomonedas, y constituyen la quinta categoría más común de aplicaciones que se cargan en los dispositivos. La aplicación de criptomonedas más común cargada lateralmente en los dispositivos iOS es Binance.
Las aplicaciones de comercio financiero no verificadas son objetivos increíblemente valiosos para los actores maliciosos: se transfiere una gran cantidad de información financiera y existe el potencial de obtener ganancias sustanciales (y pérdidas personales sustanciales para un usuario descuidado). Las amenazas para estas aplicaciones pueden adoptar la forma de vulnerabilidades que los desarrolladores negligentes pasan por alto o de versiones falsas de la aplicación que robarán toda la información introducida en ella.
Otra aplicación que levanta sospechas es Kucoin. Está en la Google Play Store, pero no en la App Store. En el caso de iOS, se puede cargar de forma lateral, pero requiere la instalación de un perfil, y fue creada por «Meridian Medical Network Corp.» – Las solicitudes inusuales como esta a menudo pueden ser una señal de advertencia. También ha habido al menos un caso de creación de una aplicación falsa de Kucoin.
¿Cuál es el riesgo?
Al igual que con las demás categorías más comunes de aplicaciones de carga lateral, existe un riesgo inherente debido a la falta de supervisión de la seguridad de las aplicaciones individuales. Cualquier explotación accidental será perseguida y expuesta, y habrá aplicaciones deliberadamente maliciosas por ahí que el usuario incauto puede instalar poniéndolo en riesgo de daño financiero personal.
Riesgo – 2/5 para la organización – 4/5 para el usuario final de la aplicación
Todo lo demás
Hemos cubierto sólo los cinco tipos más comunes de aplicaciones cargadas desde el lateral – hay muchas otras que los usuarios pueden instalar para obtener acceso adicional a su dispositivo, o para eludir la política que Google y Apple mantienen en sus respectivas tiendas de aplicaciones. Se ha demostrado que las ayudas al enraizamiento, el contenido para adultos e incluso los lectores de pdf contienen contenido malicioso, y cuando se carga de forma lateral, hay muy pocas garantías de que una aplicación sea segura. Todo esto refuerza el punto de que la supervisión y la visibilidad adecuadas son vitales para garantizar la plena seguridad móvil.
¿Qué puedo hacer?
En primer lugar, hemos recopilado todos los AppID de las aplicaciones mencionadas en este artículo (que se encuentran al final de esta página), para que puedas estar atento a ellas en tus dispositivos; deberías poder ver todos los AppID instalados si utilizas una solución EMM.
En segundo lugar, debería considerar la posibilidad de invertir en una solución de seguridad que pueda supervisar y bloquear continuamente las amenazas emergentes en toda su flota, dondequiera que se activen en el dispositivo. Con respecto a las aplicaciones cargadas lateralmente, debería buscar una solución que marque las configuraciones peligrosas en el dispositivo (como permitir descargas de fuentes desconocidas o estar liberado), que bloquee las aplicaciones que usted haya señalado como indeseables y que le notifique de las aplicaciones que muestren actividades peligrosas como la exfiltración de datos.
Si desea obtener más información sobre la protección de su organización frente a las amenazas móviles, póngase en contacto con uno de nuestros expertos en movilidad hoy mismo.
3ª Parte App Stores
Tutuapp
iOS: com.tutuapp.tutuapphwenterprise, com.wjxhw.yhyy
Android: com.feng.droid.tutu
Aptoide
Android: cm.aptoide.pt
Juegos
Instalador de Fortnite
Android: Com.epicgames.portal
Aplicaciones de cine gratis
Movie Box
iOS: com.sull.videofun, com.vshare.move, com.tweakbox.moviebox
BobbyHD/Cotomovies
iOS: bobb.bcc.com, com.tweakbox.bobbymovie, bobby.bcc.movie, bobby.movie.bcc
Criptomoneda
Binance
iOS: com.binanceInternational.app, com.bijie.Binance, com.forbnbsignedinternational.app, com.NATELOOO20180329.internalApp, com.InternaluseSignbnbCloud.bnbapp, com.internalUseSign180322.app
Kucoin
iOS: com.koins.nb, com.kucoin.KuCoin.App