© 2010 Taddong S.L. Todos los derechos reservados
Dispositivos móviles:
nuevas amenazas
Seguridad en las comunicaciones móviles
III Curso de Verano de
Seguridad Informática
David Pérez
José Picó
© 2010 Taddong S.L. Todos los derechos reservados 2
Dispositivos móviles como fuente
de amenaza
© 2010 Taddong S.L. Todos los derechos reservados 3
Dispositivos móviles como fuente
de amenaza
• Cada vez más, los dispositivos móviles
tienen acceso a información sensible
• Serán dentro de poco la nueva vía de
ataque
© 2010 Taddong S.L. Todos los derechos reservados 4
Dispositivos móviles como fuente
de amenaza
• Teléfono móvil = un ordenador portátil de
su empresa:
– sistema operativo que es una variación de un
estándar
– conexión a internet (vía Wifi ó 3G)
– acceso a datos internos (correo,
documentación).
© 2010 Taddong S.L. Todos los derechos reservados 5
Dispositivos móviles como fuente
de amenaza
• Riesgos adicionales de un móvil:
– Otras conexiones normalmente habilitadas
(WiFi, bluetooth)
– No suele disponer de software de cifrado,
VPN, etc.
– 2G/3G: canal adicional de comunicaciones,
normalmente no contemplado en las acciones
preventivas de la seguridad de las empresas
– IP pública
© 2010 Taddong S.L. Todos los derechos reservados 6
Seguridad de las comunicaciones
2G/3G
© 2010 Taddong S.L. Todos los derechos reservados 7
La confidencialidad, integridad y
disponibilidad de las
comunicaciones móviles, sólo
pueden ser rotas por las
operadoras, y sólo bajo orden
judicial.
¿Seguro?
© 2010 Taddong S.L. Todos los derechos reservados 8
Escenario de ataque:
desde la red del operador
© 2010 Taddong S.L. Todos los derechos reservados 9
Escenario de ataque:
escuchando en 2G/3G
© 2010 Taddong S.L. Todos los derechos reservados 10
Escenario de ataque:
actuando como un operador
© 2010 Taddong S.L. Todos los derechos reservados 11
Escenario de ataque:
actuando como un operador
© 2010 Taddong S.L. Todos los derechos reservados 12
Escenario de ataque:
actuando como un operador
Laboratorio de pruebas: la jaula de Faraday simula una
situación en la que la señal de radio del atacante es más
fuerte que la del operador, pero sin emisión en el
espacio público radioeléctrico.
© 2010 Taddong S.L. Todos los derechos reservados 13
Sabemos a qué operador estamos
conectados.
¿Seguro?
© 2010 Taddong S.L. Todos los derechos reservados 14
Vídeo:
Suplantando a un operador
© 2010 Taddong S.L. Todos los derechos reservados 15
Escenario de ataque:
Suplantando a un operador
movistar
© 2010 Taddong S.L. Todos los derechos reservados 16
Nuestra conversación es privada.
¿Seguro?
© 2010 Taddong S.L. Todos los derechos reservados 17
Vídeo:
Escuchando mensajes SMS
© 2010 Taddong S.L. Todos los derechos reservados 18
Escenario de ataque:
Escuchando mensajes SMS
© 2010 Taddong S.L. Todos los derechos reservados 19
Sabemos quién nos llama.
¿Seguro?
© 2010 Taddong S.L. Todos los derechos reservados 20
Vídeo:
Llamando desde usuario falso
© 2010 Taddong S.L. Todos los derechos reservados 21
Escenario de ataque:
Llamando desde usuario falso
© 2010 Taddong S.L. Todos los derechos reservados 22
Sabemos a quién llamamos.
¿Seguro?
© 2010 Taddong S.L. Todos los derechos reservados 23
Vídeo:
Redireccionando destino de llamada
© 2010 Taddong S.L. Todos los derechos reservados 24
Escenario de ataque:
Redireccionando destino de llamada
© 2010 Taddong S.L. Todos los derechos reservados 25
Resumen
• Objetivo de esta línea de investigación:– Demostrar que es necesario plantearse la
seguridad de los dispositivos y comunicacionesmóviles
• En esta charla: seguridad 2G/3G– ¿Sabemos a qué operador estamos conectados?
– ¿Nuestra conversación es privada?
– ¿Sabemos quién nos llama?
– ¿Sabemos a quién llamamos?
• Seguimos trabajando:– Curso de seguridad en 2G/3G, y más...
© 2010 Taddong S.L. Todos los derechos reservados
s e g u r i d a d e n p r o f u n d i d a dwww.taddong.com | [email protected] | @taddong