| Noticias | 30 ABR 2009

Cómo hackear un smartphone

¿Qué tipo de información tiene en su tarjeta de visita? ¿El nombre de su compañía? Comprúebelo. ¿Su nombre y cargo? Asegúrese. ¿La dirección de su oficina? Eche un vistazo. ¿Los números de su teléfono móvil y fijo del trabajo?. Espere un minuto.
Paula Bardera

CSO y Trust Digital, firmas especializadas en seguridad, se han unido para realizar una demostración de cómo hackear un smartphone sin tener más herramientas que el número del teléfono. “Todo lo que se necesita es una tarjeta de trabajo”, ha declarado Meir Machlin, director de arquitectura de producto de Trust Digital, que fue el encargado de realizar la demostración.

Primer paso.

Machlin mostró cómo hackear un teléfono utilizando herramientas básicas al alcance de cualquiera de nosotros. Entre estas herramientas, Machlin contaba con un portátil con conectividad WiFi y dos teléfonos. Uno de estos teléfonos actúa como un módem GSM para el portátil, mientras el otro es el teléfono personal de Machlin, que utiliza para recibir información. Un tercer teléfono es el objeto de la acción, es decir, el dispositivo “atacado” en la demostración.

El primer ataque ha sido bautizado como “Midgnigh Raid”, porque suele llevarse a cabo durante la noche, cuando el dueño del móvil está durmiendo y el dispositivo sigue encendido mientras se carga, o simplemente está en la mesilla de noche.

Machlin envió un simple SMS que ejecutó Internet Explorer en el dispositivo. Primero, Machlin envió un gráfico al teléfono atacado que decía “Has sido atacado”, para mostrar lo fácil y rápido que es entrar en el teléfono móvil de otro usuario con un simple SMS.  En segundo lugar, Machlin puso en marcha una aplicación en el teléfono atacado que podía recuperar datos. El SMS volvió al teléfono de Machlin con el número INSI del teléfono móvil, el único identificador del teléfono. En cualquier caso, Machlin señaló que la aplicación podría haber robado igual de fácilmente la lista de contactos, tanto personal como profesional, por ejemplo. Además, remarcó que también era posible en este mismo escenario enviar virus al dispositivo e incluso iniciar un ataque de denegación de servicio.

Segunda parte.

En la segunda demostración, Machlin ensayó lo que sería un ataque de control de mensajes. En este tipo de ataque, se pueden cambiar los controles de un dispositivo sin que el usuario se de cuenta del hecho. Así, mostró cómo podía dejar el dispositivo vulnerable sin ningún tipo de encriptación. Y como final de la demostración, envió un comando de limpieza, que eliminó toda la información almacenada en el dispositivo. Este comando, según Machlin, también podría enviarse a todos los teléfonos de la lista de contactos del móvil atacado.

Los ataques, según Machlin, demuestran que los textos no deben seguir considerándose inofensivos. Este tipo de ataques son sólo para teléfonos inteligentes, puesto que los PC no cuentan con capacidades para enviar o recibir SMS. Pero, ¿qué smartphones son vulnerables a este tipo de ataques? Lo cierto es que la respuesta varía en función de los parámetros de seguridad del móvil, así como de las prácticas puestas en marcha para el uso del dispositivo. Algunos afirman que los teléfonos móviles aún no son una gran amenaza para las empresas. En cualquier caso, un informe realizado por el analista John Girard, de Gartner, predice que, a medida que los dispositivos móviles se conviertan en más populares en las empresas, crecerán los problemas de seguridad que planteen.

Por su parte, Machlin recomendó que todos los smartphones que estén bajo el control de una empresa, sean vigilados y monitorizados de cerca, actualizándolos y resolviendo sus problemas de seguridad regularmente para, en la medida de lo posible, evitar que los usuarios realicen tareas que no deban. “El personal técnico de las empresas necesita tener el control de los teléfonos y asegurarse de que son fiables. Necesitan estar siempre por delante de las amenazas y proporcionar los parches de seguridad necesarios”.

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información