© 2010 Taddong S.L. Todos los derechos reservados

Dispositivos móviles:

nuevas amenazas

Seguridad en las comunicaciones móviles

III Curso de Verano de

Seguridad Informática

David Pérez

José Picó

© 2010 Taddong S.L. Todos los derechos reservados 2

Dispositivos móviles como fuente

de amenaza

© 2010 Taddong S.L. Todos los derechos reservados 3

Dispositivos móviles como fuente

de amenaza

• Cada vez más, los dispositivos móviles

tienen acceso a información sensible

• Serán dentro de poco la nueva vía de

ataque

© 2010 Taddong S.L. Todos los derechos reservados 4

Dispositivos móviles como fuente

de amenaza

• Teléfono móvil = un ordenador portátil de

su empresa:

– sistema operativo que es una variación de un

estándar

– conexión a internet (vía Wifi ó 3G)

– acceso a datos internos (correo,

documentación).

© 2010 Taddong S.L. Todos los derechos reservados 5

Dispositivos móviles como fuente

de amenaza

• Riesgos adicionales de un móvil:

– Otras conexiones normalmente habilitadas

(WiFi, bluetooth)

– No suele disponer de software de cifrado,

VPN, etc.

– 2G/3G: canal adicional de comunicaciones,

normalmente no contemplado en las acciones

preventivas de la seguridad de las empresas

– IP pública

© 2010 Taddong S.L. Todos los derechos reservados 6

Seguridad de las comunicaciones

2G/3G

© 2010 Taddong S.L. Todos los derechos reservados 7

La confidencialidad, integridad y

disponibilidad de las

comunicaciones móviles, sólo

pueden ser rotas por las

operadoras, y sólo bajo orden

judicial.

¿Seguro?

© 2010 Taddong S.L. Todos los derechos reservados 8

Escenario de ataque:

desde la red del operador

© 2010 Taddong S.L. Todos los derechos reservados 9

Escenario de ataque:

escuchando en 2G/3G

© 2010 Taddong S.L. Todos los derechos reservados 10

Escenario de ataque:

actuando como un operador

© 2010 Taddong S.L. Todos los derechos reservados 11

Escenario de ataque:

actuando como un operador

© 2010 Taddong S.L. Todos los derechos reservados 12

Escenario de ataque:

actuando como un operador

Laboratorio de pruebas: la jaula de Faraday simula una

situación en la que la señal de radio del atacante es más

fuerte que la del operador, pero sin emisión en el

espacio público radioeléctrico.

© 2010 Taddong S.L. Todos los derechos reservados 13

Sabemos a qué operador estamos

conectados.

¿Seguro?

© 2010 Taddong S.L. Todos los derechos reservados 14

Vídeo:

Suplantando a un operador

© 2010 Taddong S.L. Todos los derechos reservados 15

Escenario de ataque:

Suplantando a un operador

movistar

© 2010 Taddong S.L. Todos los derechos reservados 16

Nuestra conversación es privada.

¿Seguro?

© 2010 Taddong S.L. Todos los derechos reservados 17

Vídeo:

Escuchando mensajes SMS

© 2010 Taddong S.L. Todos los derechos reservados 18

Escenario de ataque:

Escuchando mensajes SMS

© 2010 Taddong S.L. Todos los derechos reservados 19

Sabemos quién nos llama.

¿Seguro?

© 2010 Taddong S.L. Todos los derechos reservados 20

Vídeo:

Llamando desde usuario falso

© 2010 Taddong S.L. Todos los derechos reservados 21

Escenario de ataque:

Llamando desde usuario falso

© 2010 Taddong S.L. Todos los derechos reservados 22

Sabemos a quién llamamos.

¿Seguro?

© 2010 Taddong S.L. Todos los derechos reservados 23

Vídeo:

Redireccionando destino de llamada

© 2010 Taddong S.L. Todos los derechos reservados 24

Escenario de ataque:

Redireccionando destino de llamada

© 2010 Taddong S.L. Todos los derechos reservados 25

Resumen

• Objetivo de esta línea de investigación:– Demostrar que es necesario plantearse la

seguridad de los dispositivos y comunicacionesmóviles

• En esta charla: seguridad 2G/3G– ¿Sabemos a qué operador estamos conectados?

– ¿Nuestra conversación es privada?

– ¿Sabemos quién nos llama?

– ¿Sabemos a quién llamamos?

• Seguimos trabajando:– Curso de seguridad en 2G/3G, y más...

© 2010 Taddong S.L. Todos los derechos reservados

s e g u r i d a d e n p r o f u n d i d a dwww.taddong.com | info@taddong.com | @taddong