Pese al creciente número de ciberataques móviles, muchas startups siguen ignorando las actualizaciones básicas de seguridad.
La verdadera amenaza no son los hackers sofisticados, sino nuestra falta de prevención.
na startup es solo tan fuerte como su seguridad. Por supuesto, aspectos como la innovación y el ajuste producto-mercado dominan la atención de los fundadores, pero muchas veces pasan por alto la importancia empresarial de contar con un ecosistema seguro. Su idea revolucionaria, equipo talentoso y visión estratégica se vuelven vulnerables cuando se descuidan las medidas básicas de seguridad. Y, en el panorama actual, esa vulnerabilidad comienza con el dispositivo que tiene en sus manos.
Una nueva investigación de Zimperium revela que la mitad de los dispositivos móviles funcionan con sistemas operativos desactualizados. Como resultado, los ataques móviles y las vulnerabilidades de aplicaciones están aumentando, con actores maliciosos que explotan cada vez más el uso generalizado de los smartphones en entornos remotos. Esto representa una amenaza mayor para las startups, pues el 60% de las pequeñas empresas cierran dentro de los seis meses posteriores a un ataque exitoso.
Los fundadores y emprendedores deben reconocer que el aumento del malware móvil, phishing, y estafas por SMS no se debe a la sofisticación de los hackers, sino a nuestra propia negligencia en seguridad. Básicamente estamos dejando la puerta trasera abierta a nuestros endpoints móviles y datos empresariales. Exploremos cómo cerrarla.
Los dispositivos móviles desactualizados abren puertas traseras en las startups
Piensa en la escala potencial de este vector de ataque. La startup típica emplea entre 15 y 20 miembros del equipo, cada uno usando al menos dos dispositivos o endpoints. Si la mitad de estos opera con sistemas desactualizados, entre 15 y 20 dispositivos no están recibiendo soporte de seguridad, instalando actualizaciones automáticas, o manteniéndose completamente compatibles con las aplicaciones. Estas son puertas traseras que los hackers pueden y están explotando.
El informe de Zimperium revela la gravedad de esta situación: aproximadamente uno de cada cuatro dispositivos móviles es demasiado antiguo para actualizar su sistema operativo. Esta es una señal de alarma, pues los sistemas desactualizados contienen fallas de seguridad conocidas que los hackers explotan con herramientas de ataque previamente desarrolladas. El año pasado, Android tuvo 500 vulnerabilidades documentadas, mientras que iOS tuvo más de 300.
Cada vulnerabilidad sin parchar representa un punto de entrada potencial para los atacantes.
Esta amenaza ya se está materializando con uno de cada cinco dispositivos Android encontrando malware. Para una startup con 15 a 20 miembros del equipo, esto se traduce en varios endpoints de empleados ya expuestos a software malicioso. Cuando estos dispositivos se conectan a su ecosistema —a través de correo electrónico, almacenamiento en la nube, o VPN— crean rutas directas hacia sus datos más sensibles.
Phishing, instalación lateral y gestión de vulnerabilidades
Esta amenaza móvil crea varios problemas para las startups. Primero, social engineering se vuelve mucho más difícil de detener. Estos ataques manipulan a los usuarios para realizar acciones riesgosas —como dar clic en un enlace sospechoso— con sistemas operativos desactualizados que aumentan las tasas de éxito de los ataques.
¿Por qué? Porque los sistemas más antiguos carecen de las últimas protecciones anti-phishing, notificaciones de seguridad, y salvaguardas del navegador. Sin estas defensas que señalen intentos sospechosos, el phishing vía mensaje de texto ahora comprende más de dos tercios de los ataques de phishing móvil.
Segundo, la instalación lateral se vuelve más prevalente y peligrosa. Las aplicaciones instaladas lateralmente o sideloading —aquellas instaladas fuera de las tiendas oficiales de aplicaciones— aparecen en una cuarta parte de los dispositivos empresariales. Los sistemas operativos desactualizados frecuentemente obligan a los usuarios hacia la instalación lateral cuando las versiones más nuevas de las aplicaciones se vuelven incompatibles, forzándolos a buscar alternativas. Estas aplicaciones no oficiales pueden contener código malicioso embebido que monitorea comunicaciones, roba credenciales, o extrae datos de la empresa.
Tercero, la gestión de vulnerabilidades se vuelve casi imposible. Si la mitad de los endpoints móviles están desactualizados, y una cuarta parte son demasiado antiguos para actualizar, los administradores de startups están en una brecha de seguridad permanente. Esto no es suficiente en una era donde los hackers están haciendo más con menos gracias a tecnologías como la inteligencia artificial.
Toma en serio las actualizaciones y mejoras móviles
Las startups necesitan resolver este problema urgentemente. Si los empleados usan sus propios dispositivos, asegura la consistencia del software con gestión unificada de endpoints. Esta herramienta garantiza que múltiples dispositivos sigan la misma política de seguridad a través de todo el ecosistema. Hace posible enviar parches de software, deshabilitar la instalación lateral, y combatir el phishing encriptando información y bloqueando sitios web maliciosos con un clic.
Trabaja además con tus empleados para asegurar que sean la primera línea de defensa. Organiza sesiones de capacitación enfocadas en reconocer intentos de phishing, entender los riesgos de descargar aplicaciones fuera de las tiendas oficiales, y la importancia de las actualizaciones de software y sistema. Esto contribuirá en gran medida a hacer de la seguridad parte de tu cultura y no solo un requisito de TI.
Finalmente, piensa con anticipación en caso de un hackeo exitoso. Si los actores maliciosos comprometen un endpoint, asegúrate de que solo puedan llegar hasta cierto punto con una arquitectura de zero trust. Este marco de seguridad opera bajo el principio de que ningún usuario o dispositivo debe ser inherentemente confiable. Cada solicitud de acceso es verificada, autenticada, y autorizada antes de otorgar permisos limitados a recursos específicos. Esta filosofía previene brechas al impedir el movimiento lateral dentro de su red y solo compartir información según la necesidad de conocer.Los celulares son fantásticos habilitadores de información y eficiencia. Pero, si lo permitimos, también son puertas traseras peligrosas hacia nuestros datos. Al implementar estas medidas prácticas y asequibles, las startups pueden convertir la seguridad móvil de una vulnerabilidad en una ventaja competitiva que proteja su innovación, datos de clientes y futuro empresarial.
Artículo tomado de Entrepreneur, lea el original aquí.
