Seguridad en entornos móviles
La seguridad en aplicaciones móviles supone un nuevo reto para los responsables de tecnología de las empresas. Asegurar los datos y las transacciones desde el terminal móvil a través del aire, de los enlaces de los operadores a través de Internet y en el servidor final implica resolver cuestiones de múltiples niveles; cuestiones que van desde el propio terminal a la red incluyendo, por supuesto, la infraestructura interna de la empresa.
A nivel del terminal. Por definición, los terminales móviles son pequeños y portátiles. Su ligero peso y pequeño tamaño los hacen fáciles de llevar pero a la vez fáciles de olvidar o perder. A causa de su movilidad y portabilidad estos terminales sufren altos niveles de robo y pérdida y son muy accesibles a personas distintas de su propietario autorizado, que en caso de lograr autenticarse tendrán acceso inmediato a todos los servicios e informaciones del sistema. Estas vulnerabilidades, que pueden ser molestas para un propietario, individual se convierten en enormes problemas de complicada gestión en una empresa que disponga de multitud de terminales móviles para sus empleados o clientes.
La protección de los datos enviados es también un importante problema a resolver. Los terminales móviles funcionan con una potencia muy inferior a la de la CPU de cualquier PC; por ejemplo, la Palm VII utiliza un chip de Motorola que funciona a 33 MHz frente a los 1500 MHz a los que corre el nuevo Intel Pentiun IV. De igual manera, la memoria disponible en los terminales móviles es mucho más limitada: la nueva Palm VII tiene 8Mb de memoria frente a los 128Mb que incluye como mínimo cualquier PC. Estas limitaciones, junto con la restricción impuesta por la finita duración de la batería, restringen el uso de técnicas de encriptación excesivamente complejas en los dispositivos móviles. Tecnologías de encriptación robustas pero ligeras están ya disponibles para este tipo de terminales, pero están sólo comenzando a introducirse y tendrán un tremendo potencial de crecimiento con la generalización del uso de aplicaciones móviles.
Entre el terminal e Internet. A los problemas señalados ha de sumarse la naturaleza múltiple del enlace entre el terminal móvil y su red de destino.
La mayoría de proveedores de servicios móviles cubren la seguridad de este enlace en dos niveles:
- Parte radio del enlace: los paquetes se transmiten encriptados para garantizar su privacidad hasta el gateway. En éste son desencriptados y examinados para poder direccionarlos a fin de ser encriptados de nuevo inmediatamente después.
Aparece así lo que se suele denominar un “gap de encriptación”, es decir, un punto en el que la información permanece desencriptada y por tanto vulnerable. Soluciones para este gap comenzaron a introducirse en el segundo trimestre del 2001 con la versión 1.3 de WAP pero el riesgo sigue existiendo. Para gestionar este riesgo a corto plazo las empresas deben llegar a acuerdos en el nivel de servicio ofrecido por la operadora que gestiona el gateway.
- Parte fija del enlace que se enfrenta a los mismos riesgos que las redes tradicionales.
Entre Internet y la empresa. Los problemas de seguridad no terminan con el terminal y el enlace; la propia empresa y la gestión que en ella se hace del acceso desde dispositivos móviles completan la situación a manejar con objeto de lograr la seguridad integral extremo a extremo. Si la política de seguridad de la empresa no recoge de forma consistente las peculiaridades de este tipo de acceso surge un nuevo “gap” de seguridad, que en este caso sí puede ser resuelto directamente por la empresa.
Por Jaime García Cantero
Senior Analyst IDC
A nivel del terminal. Por definición, los terminales móviles son pequeños y portátiles. Su ligero peso y pequeño tamaño los hacen fáciles de llevar pero a la vez fáciles de olvidar o perder. A causa de su movilidad y portabilidad estos terminales sufren altos niveles de robo y pérdida y son muy accesibles a personas distintas de su propietario autorizado, que en caso de lograr autenticarse tendrán acceso inmediato a todos los servicios e informaciones del sistema. Estas vulnerabilidades, que pueden ser molestas para un propietario, individual se convierten en enormes problemas de complicada gestión en una empresa que disponga de multitud de terminales móviles para sus empleados o clientes.
La protección de los datos enviados es también un importante problema a resolver. Los terminales móviles funcionan con una potencia muy inferior a la de la CPU de cualquier PC; por ejemplo, la Palm VII utiliza un chip de Motorola que funciona a 33 MHz frente a los 1500 MHz a los que corre el nuevo Intel Pentiun IV. De igual manera, la memoria disponible en los terminales móviles es mucho más limitada: la nueva Palm VII tiene 8Mb de memoria frente a los 128Mb que incluye como mínimo cualquier PC. Estas limitaciones, junto con la restricción impuesta por la finita duración de la batería, restringen el uso de técnicas de encriptación excesivamente complejas en los dispositivos móviles. Tecnologías de encriptación robustas pero ligeras están ya disponibles para este tipo de terminales, pero están sólo comenzando a introducirse y tendrán un tremendo potencial de crecimiento con la generalización del uso de aplicaciones móviles.
Entre el terminal e Internet. A los problemas señalados ha de sumarse la naturaleza múltiple del enlace entre el terminal móvil y su red de destino.
La mayoría de proveedores de servicios móviles cubren la seguridad de este enlace en dos niveles:
- Parte radio del enlace: los paquetes se transmiten encriptados para garantizar su privacidad hasta el gateway. En éste son desencriptados y examinados para poder direccionarlos a fin de ser encriptados de nuevo inmediatamente después.
Aparece así lo que se suele denominar un “gap de encriptación”, es decir, un punto en el que la información permanece desencriptada y por tanto vulnerable. Soluciones para este gap comenzaron a introducirse en el segundo trimestre del 2001 con la versión 1.3 de WAP pero el riesgo sigue existiendo. Para gestionar este riesgo a corto plazo las empresas deben llegar a acuerdos en el nivel de servicio ofrecido por la operadora que gestiona el gateway.
- Parte fija del enlace que se enfrenta a los mismos riesgos que las redes tradicionales.
Entre Internet y la empresa. Los problemas de seguridad no terminan con el terminal y el enlace; la propia empresa y la gestión que en ella se hace del acceso desde dispositivos móviles completan la situación a manejar con objeto de lograr la seguridad integral extremo a extremo. Si la política de seguridad de la empresa no recoge de forma consistente las peculiaridades de este tipo de acceso surge un nuevo “gap” de seguridad, que en este caso sí puede ser resuelto directamente por la empresa.
Por Jaime García Cantero
Senior Analyst IDC
