SlideShare una empresa de Scribd logo

Seguridad dispositivos móviles(Android e iOS)

Jose Manuel Ortega Candel
Jose Manuel Ortega Candel

Este documento presenta una agenda para una charla sobre seguridad en dispositivos móviles. La agenda cubre temas como la situación actual de la seguridad móvil, seguridad en aplicaciones Android e iOS, prevención de malware, phishing en aplicaciones, riesgos en aplicaciones, buenas prácticas de desarrollo seguro, y seguridad en empresas mediante enfoques BYOD y MDM. El documento también incluye diapositivas para cada sección de la agenda.

Tecnología
1 de 100
Descargar para leer sin conexión
Seguridad en dispositivos móviles 10 Abril 2015 José Manuel Ortega @jmortegac
2 https://speakerdeck.com/jmortega
3
4 Congreso de Internet en Alicante 24,25 Abril http://internet30.es
Agenda • Situación actual • Seguridad en aplicaciones Android e iOS • Prevención y detección de malware • Phishing en aplicaciones móviles • Riesgos en aplicaciones móviles • Buenas prácticas de desarrollo • Seguridad en la empresa mediante los enfoques BYOD y MDM • Conclusiones 5
Agenda • Situación actual • Seguridad en aplicaciones Android e iOS • Prevención y detección de malware • Phishing en aplicaciones móviles • Riesgos en aplicaciones móviles • Buenas prácticas de desarrollo seguro • Seguridad en la empresa mediante los enfoques BYOD y MDM • Conclusiones 6
Situación actual 7
Agenda • Situación actual • Seguridad en aplicaciones Android e iOS • Prevención y detección de malware • Phishing en aplicaciones móviles • Riesgos en aplicaciones móviles • Buenas prácticas de desarrollo seguro • Seguridad en la empresa mediante los enfoques BYOD y MDM • Conclusiones 8
Android 9 /system/ Corresponde al sistema operativo Contiene aplicaciones preinstaladas /data/ Almacena los datos de usuario y aplicaciones /data/app/ Almacena aplicaciones /data/data/ Almacena datos de las aplicaciones Incluye un subdirectorio por aplicación, con los permisos de esa aplicación root
Permisos en Android 10 Solicitud de permisos en el AndroidManifest.xml Información personal (calendario, contactos,…) Información del dispositivo(Datos de red, SMS,..) Hay que tratar de minimizar los permisos que se solicitan
Permisos en Android 11
Android Permisos 12
Android Permisos 13
Aplicaciones en Android 14  Empaqueta todo el contenido de las aplicaciones Android bajo un mismo fichero  Es un archivo comprimido.zip con extensión APK  Es posible descomprimirlo utilizando software archivador de ficheros Contiene: • Assets • META-INF • res • resources.asrc • AndroidManifest.xml • classes.dex
Aplicaciones en Android 15
Aplicaciones en Android 16 Apk extractor  http://apps.evozi.com/apk-downloader
Firmar aplicaciones en Android 17 Firma de aplicaciones Almacén de claves por defecto
Firmar aplicaciones en Android 18 Firma de aplicaciones Generar nuestro propio certificado cuando queramos subir la aplicación
Firmar aplicaciones en Android 19
iOS 20  Las aplicaciones se cifran con el certificado que proporciona Apple  El iPhone descifra las aplicaciones a la hora de ejecutarlas  Desarrolladas en el lenguaje de programación Objetive-C /Swift  Las aplicaciones se distribuyen e instalan bajo el formato.ipa
iOS 21 Objective - C (in Xcode) Compiled to ARM and encrypted Packaged as IPA file with resources Deployed to phone file system as .app directory
iOS Permisos 22 Info.plist Permite asegurar la compatibilidad del dispositivo
iOS Permisos 23 Privacy AnalysisTools for iOs Applications patia.unileon.es
Permisos Android 24 http://privacygrade.org
Privacidad 25 Permission Manager
Privacidad Android 26
Agenda • Situación actual • Seguridad en aplicaciones Android e iOS • Prevención y detección de malware • Phishing en aplicaciones móviles • Riesgos en aplicaciones móviles • Buenas prácticas de desarrollo seguro • Seguridad en la empresa mediante los enfoques BYOD y MDM • Conclusiones 27
28  Debemos tener en cuenta que no es necesario, que el atacante, acceda al dispositivo móvil físicamente. Las formas más habituales son las siguientes:  Spyware, capaces de obtener una trazabilidad, sobre nuestros contactos, emails, llamadas, SMS y enviarlos al atacante.  Malware, que realizan compras, obtienen acceso a servicios de pago a cargo de su tarjeta.  Phishing, que en apariencia se confunden con aplicaciones legítimas, como entidades bancarias o redes sociales, para robar las credenciales  Procesos en background, que vigilan lo que sucede en los dispositivos, esperando su oportunidad.
Recomendaciones para evitar malware 29  Instalar de orígenes conocidos Comprobar los permisos antes de instalar/actualizar Revisar comentarios de los usuarios Deshabilitar conexión automática a redes Wifi y evitar conectarnos a redes Free.
VPN 30 https://www.tunnelbear.com 500MB free/month
31 Evitar aplicaciones que no sean de markets oficiales No aceptar mensajes o archivos vía Bluetooth por parte de desconocidos. No instalar aplicaciones sin haber verificado su procedencia, especialmente si no están firmadas. En caso de hacer jailbreak a tu iPhone, cambia la contraseña de superusuario. Si tienes un Android rooteado, instala Superuser para que toda aplicación solicite permiso. Instala programas antivirus /antimalware móvil para tu plataforma. Recomendaciones para evitar malware
Antivirus /Antimalware Android 32 AVG Antivirus Kaspersky Internet Security NQ Mobile Security & Antivirus Comodo Mobile Security Norton Antivirus y Seguridad BitDefender Mobile Security Mobile Security & Antivirus (avast!) Lookout Antivirus & Seguridad MobiShield free F-Secure Mobile Security
Antivirus /Antimalware Android 33
Antivirus /Antimalware Android 34
CONAN mobile for Android 35  https://play.google.com/store/apps/details?id=es.inteco.conanmobile  Configuración segura del dispositivo  Aplicaciones instaladas  Permisos de aplicaciones  Servicios proactivos de seguridad  Desarrollada por el INCIBE(Instituto Nacional de Ciberseguridad)  https://www.osi.es/es/conan-mobile
CONAN mobile for Android 36
CONAN mobile for Android 37
Herramientas online 38  “Dexter” online service  https://dexter.bluebox.com  “virustotal.com” online service  https://www.virustotal.com/es  foresafe.com/scan  andrototal.org
Herramientas online 39  http://anubis.iseclab.org  http://mobilesandbox.org  http://www.visualthreat.com  http://dunkelheit.com.br/amat/analysis  http://apkscan.nviso.be
Herramientas online 40
Malware 41 http://forensics.spreitzenbarth.de/android-malware http://forensics.spreitzenbarth.de/current-ios-malware
Mensajería segura(alternativas a whatsApp) 42  Mejoran el cifrado y al seguridad de las comunicaciones  SafeSlinger (Open Source)  Disponible en Android e iOS  https://www.cylab.cmu.edu/safeslinger/index.html  Surespot encrypted messenger  https://surespot.me  Telegram(Open source)  API for developers  https://telegram.org
Telegram(Source Code+ API) 43
Herramientas online 44
Android rooted 45
Check Android rooted 46
IPhone jailbreak 47  Cydia  JailbreakME(versiones antiguas hasta la 5)  Evasion(iOS version>=6)  http://evasi0n.com  Pangu(Windows,Mac)  http://en.pangu.io  Redsnow, SnowBreeze(reinstala iOS)
Check iOS JailBreak 48
Agenda • Situación actual • Seguridad en aplicaciones Android e iOS • Prevención y detección de malware • Phishing en aplicaciones móviles • Riesgos en aplicaciones móviles • Buenas prácticas de desarrollo seguro • Seguridad en la empresa mediante los enfoques BYOD y MDM • Conclusiones 49
Phishing 50  Estafa que mediante ingeniería social pretende obtener información de una victima de forma fraudulenta.  El estafador envía un email a la victima haciéndose pasar por una organización legitima.  En este email se insta a la victima a acceder a un enlace adjunto e introducir sus datos con el fin de confirmar su cuenta, recibir dinero, haber ganado un concurso.  El enlace dirige a una aplicación web controlada por el estafador y similar a la de la organización suplantada.  La victima accede a la aplicación web del enlace e introduce en ella los datos solicitados.  La aplicación web envía los datos introducidos al estafador.
Phishing en app móviles 51  Aplicaciones falsas:  Similares a las aplicaciones legitimas  Robo de información  Para evitarlo:  Descargar aplicaciones únicamente de los markets oficiales  Verificar el desarrollador  Verificar los permisos solicitados  Uso de antivirus / antispyware  Aplicar el sentido común
Phishing en app móviles 52
Phishing en app móviles 53  Particularidades del navegador en el dispositivo:  Aprovechan las características del navegador de los dispositivos móviles para realizar Phishing UrlSpoofingAtack:  Aprovechan que solo se muestra el inicio de la url en el navegador  Phising con nombres de subdominio legítimos UISpoofingSafari:  Ciertas versiones de Safari ocultan la pestaña de navegación tras cargar una página.  Aprovechando lo anterior mediante la inserción de una imagen,se puede hacer creer al usuario que se encuentra en un dominio legitimo.
Phishing en app móviles 54
Agenda • Situación actual • Seguridad en aplicaciones Android e iOS • Prevención y detección de malware • Phishing en aplicaciones móviles • Riesgos en aplicaciones móviles • Buenas prácticas de desarrollo seguro • Seguridad en la empresa mediante los enfoques BYOD y MDM • Conclusiones 55
Riesgos en dispositivos móviles 56 Riesgos en disp móviles
Riesgos en aplicaciones móviles 57  https://www.owasp.org/index.php/OWASP_Mobile_Security_Project
Riesgos en aplicaciones móviles 58 1- Almacenamiento de datos inseguro 2- Controles débiles en el lado del servidor 3- Protección insuficiente en la capa de transporte 4- Inyección en el lado del cliente 5- Sistema pobre de autenticación y autorización 6- Gestión inadecuada de la sesión 7- Decisiones de seguridad a partir de entradas inseguras 8- Canal lateral de fuga de datos 9- Rotura de la criptografía 10- Divulgación de información confidencial
Almacenamiento de datos 59 Encriptación de datos Nunca almacenar credenciales del usuario Usar herramientas como SQLCipher, para almacenar datos en BBDD internas No otorgar permisos globales a las aplicaciones, usar el principio de “privilegio más bajo”
Autenticación y autorización 60 Utilizar sistemas de autenticación adecuados, como las claves de acceso, o los patrones en los dispositivos móviles. Apoyarse en sistemas de autenticación como Oauth.
Agenda • Situación actual • Seguridad en aplicaciones Android e iOS • Prevención y detección de malware • Phishing en aplicaciones móviles • Riesgos en aplicaciones móviles • Buenas prácticas de desarrollo seguro • Seguridad en la empresa mediante los enfoques BYOD y MDM • Conclusiones 61
Buenas prácticas desarrollo 62 Pruebas de caja blanca Análisis estático del código Pruebas de caja negra Análisis en tiempo de ejecución
Buenas prácticas desarrollo 63 Logs Almacenamiento en la SDCard [los datos no se protegen] JavaScript and Webview SQLite Conexiones HTTP Debuggable Shared preferences Análisis estático de aplicaciones
Buenas prácticas desarrollo 64  Logs
Buenas prácticas desarrollo 65  Webview
Buenas prácticas desarrollo 66 Tener cuidado con librerías de terceros
Buenas prácticas desarrollo 67 SQLite La mayoría de las aplicaciones emplean sqlite para almacenar los datos de las aplicaciones en el dispositivo Sqlite no tiene soporte para cifrar los datos
Buenas prácticas desarrollo 68
Buenas prácticas desarrollo 69 Cifrado de BD SQLite Support iOS / Android https://www.zetetic.net/sqlcipher/open-source 256-bit AES Encrypt SQLite database
Buenas prácticas desarrollo 70  Shared Preferences
Buenas prácticas desarrollo 71  Shared Preferences  Librería para securizar este fichero  https://github.com/scottyab/secure-preferences
Buenas prácticas desarrollo 72 Almacenamiento interno en ficheros WORLD_READABLE / WORLD_WRITABLE Otras apps podrían leer el fichero si conocen la ruta Los ficheros deberían crearse en MODE_PRIVATE FileOutputStream fos = openFileOutput(“MyFile", Context.MODE_PRIVATE); fos.write(“contenido”.getBytes()); fos.close();
Buenas prácticas desarrollo 73 Android Lint Inspect Profile
Buenas prácticas desarrollo 74
Buenas prácticas desarrollo 75
Buenas prácticas desarrollo 76 Script que permita detectar funciones peligrosas relacionadas con: SharedPreferences TapJacking(Ejecutar código sin que el usuario se dé cuenta cuando realiza una acción) Almacenamiento Algoritmos de cifrado Tráfico inseguro Flag de depuración
Buenas prácticas desarrollo 77
Buenas prácticas desarrollo 78  https://github.com/maaaaz/androwarn python androwarn.py -i my_apk.apk -r html -v 3 Telephony identifiers exfiltration: IMEI, IMSI, MCC, MNC, LAC, CID, operator's name... Device settings exfiltration: software version, usage statistics, system settings, logs... Geolocation information leakage: GPS/WiFi geolocation... Connection interfaces information exfiltration:WiFi credentials, Bluetooth MAC adress... Telephony services abuse: premium SMS sending, phone call composition... Audio/video flow interception: call recording, video capture... Remote connection establishment: socket open call, Bluetooth pairing,APN settings edit... PIM data leakage: contacts, calendar, SMS, mails... External memory operations: file access on SD card... PIM data modification: add/delete contacts, calendar events... Arbitrary code execution: native code using JNI, UNIX command, privilege escalation... Denial of Service: event notification deactivation, file deletion, process killing, virtual keyboard disable, terminal shutdown/reboot...
Buenas prácticas desarrollo 79 Análisis dinámico en tiempo de ejecución  Cobertura de código  Hashes para los paquetes analizados  Datos de red mediante herramientas como wireShark para analizar los paquetes de red  Información de debug  Operaciones de lectura/escritura en ficheros  Operaciones de criptografía utilizando la API de Android  Envío de SMS y llamadas de teléfono
Buenas prácticas desarrollo 80 Ofuscar la aplicación para dificultar al máximo la posibilidad de realizar ingeniería inversa
Buenas prácticas desarrollo 81 http://proguard.sourceforge.net
Buenas prácticas desarrollo 82
Buenas prácticas desarrollo 83 xCode  Static Analyzer  Detect memory leaks
Buenas prácticas desarrollo 84 ARC(Automatic Reference Counting)
Buenas prácticas desarrollo 85 Almacenamiento inseguro  Todos los archivos del SD card pueden ser leídos por cualquier aplicación.  Programadores erróneamente guardan información sensible.  SharedPrefs es un simple archivo XML que puede ser extraído  /data/data/nombre.de.paquete/: • cache • databases • lib • shared_prefs root
Agenda • Situación actual • Seguridad en aplicaciones Android e iOS • Prevención y detección de malware • Phishing en aplicaciones móviles • Buenas prácticas de desarrollo seguro • Seguridad en la empresa mediante los enfoques BYOD y MDM • Conclusiones 86
BYOD(Bring Your Own Device) 87  Consiste en una política empresarial en la que los empleados llevan sus propios dispositivos al lugar de trabajo, para acceder a recursos de la empresa.  Espías y hackers podrían captar esta información si no se implantan los sistemas de seguridad adecuados para impedirlo.  Controlar las aplicaciones que se instala el usuario. Tanto aplicaciones pasa uso personal como aplicaciones que se usan para incrementar la productividad en el trabajo.  Modelos BYOT (Bring Your Own Technology), BYOA (Bring Your Own Application), CYOD (ConnectYour Own Device),
BYOD(Bring Your Own Device) 88 Riesgos  Movilidad del usuario  Uso de dispositivos rooteados o con jailbreak  Redes inseguras o con una mala configuración  Interconexión con otros sistemas  Uso de servicios de localización
89 1 • Protección del acceso password, reconocimiento dactilar o facial 2 • Control de la conectividad WiFi , GPS o Bluetooth 3 • Controlar el acceso y permisos de la aplicaciones debemos considerarlo durante la instalación 4 • Mantener el firmware y S.O. actualizado considerar las actualizaciones del fabricante 5 • Mantener copia de los datos sobre los datos críticos, personales y de la empresa 6 • Borrar datos si el dispositivo se pierde algunos servicios permiten el borrado de datos de forma remota 7 • No almacene información privada datos como tarjetas de crédito y passwords 8 • Cuidado con las aplicaciones gratuitas pueden haber sido alteradas o contener spyware 9 • Use antivirus y herramientas de escaneo tenerlos actualizados 10 • Use software MDM configuran y monitorizan el acceso
MDM(Mobile Device Management) 90  Software que permite asegurar, monitorear y administrar dispositivos móviles sin importar el operador o proveedor de servicios  Instalación masiva de aplicaciones  Políticas de control sobre las aplicaciones  Localización y rastreo de dispositivos  Sincronización de archivos, reportes de datos y acceso a dispositivos  Bloqueo de funciones (activar o desactivar cámara, micrófono, USB, etc.)  Control de gastos (duración de llamadas, consumo de datos, etc.)  Borrado remoto en caso de pérdida o robo  Aplicar contraseña desde el servidor (configurando la longitud, el tipo, si es alfanumérica o numérica, el número de intentos, etc.)
MDM(Mobile Device Management) 91 Componentes  Servidor centralizado  Software-cliente instalado en cada dispositivo móvil  Base de datos centralizada con el estado de cada dispositivo conectado a la red  Modelo de comunicación entre el servidor centralizado y cada uno de los dispositivos móviles. Por ejemplo una OTA capaz de configurar de forma remota cada dispositivo a nivel de actualizaciones de aplicaciones y S.O, escaneo de forma remota de los dispositivos en busca de malware
MDM(Mobile Device Management) 92
Políticas de Seguridad Móvil empresarial 93  Autenticar el acceso a los datos para usuarios y dispositivos  Proporcionar seguridad en la conexiones  Concienciar y formar a los usuarios  Instalación de herramientas para la detección de malware  Centralizar la seguridad de los dispositivos móviles
Acceso al dispositivo iOS 94  Protección mediante código de desbloqueo(Passcode).  Aumento del tiempo de reintento tras código incorrecto.  Configuración de la complejidad del código mediante MDM  MDM (Mobile Device Management) permite aplicar una serie de contramedidas de seguridad, como borrar remotamente la información en caso de pérdida, o desconectar los dispositivos de la red corporativa si se detectase una intrusión
Acceso al dispositivo Android 95
Encriptación en Android 96 Soportado desde Android 3.0 Lleva 1h encriptar los datos Implica una reducción del rendimiento No se puede deshabilitar
Encriptación en Android 97
Consejos 98  No rootear el dispositivo al menos que sea estrictamente necesario(por ejemplo instalar una custom room o desinstalar algunas aplicaciones que traen por defecto)  No instalar aplicaciones desde fuentes desconocidas  Leer los permisos antes de instalar  Leer opiniones de la gente en los market
Consejos 99
100 Gracias ?

Recomendados

Seguridad Dispositivos móviles Extened Edition
Seguridad Dispositivos móviles Extened EditionSeguridad Dispositivos móviles Extened Edition
Seguridad Dispositivos móviles Extened EditionJose Manuel Ortega Candel
 
Seguridad en dispositivos móviles
Seguridad en dispositivos móvilesSeguridad en dispositivos móviles
Seguridad en dispositivos móvilesIng. Juan Pablo Quiñe Paz, CISSP-ISSMP
 
Seguridad en dispositivos móviles
Seguridad en dispositivos móvilesSeguridad en dispositivos móviles
Seguridad en dispositivos móvilespmendi
 
Seguridad en dispositivos móviles
Seguridad en dispositivos móvilesSeguridad en dispositivos móviles
Seguridad en dispositivos móvilesChema Alonso
 
Seguridad en android.ppt
Seguridad en android.pptSeguridad en android.ppt
Seguridad en android.pptfabibmx7
 
Seguridad en dispositivos móviles
Seguridad en dispositivos móvilesSeguridad en dispositivos móviles
Seguridad en dispositivos móvilesMarcos Harasimowicz
 
Smartphone: Herramienta de Bolsillo de un Hacker.
Smartphone: Herramienta de Bolsillo de un Hacker.Smartphone: Herramienta de Bolsillo de un Hacker.
Smartphone: Herramienta de Bolsillo de un Hacker.Dylan Irzi
 
LAS AMENAZAS INTERNAS Y SU IMPACTO EN SEGURIDAD DE DATOS
LAS AMENAZAS INTERNAS Y SU IMPACTO EN SEGURIDAD DE DATOSLAS AMENAZAS INTERNAS Y SU IMPACTO EN SEGURIDAD DE DATOS
LAS AMENAZAS INTERNAS Y SU IMPACTO EN SEGURIDAD DE DATOSCristian Garcia G.
 

Recomendados

Seguridad Dispositivos móviles Extened Edition
Seguridad Dispositivos móviles Extened EditionSeguridad Dispositivos móviles Extened Edition
Seguridad Dispositivos móviles Extened EditionJose Manuel Ortega Candel
 
Seguridad en dispositivos móviles
Seguridad en dispositivos móvilesSeguridad en dispositivos móviles
Seguridad en dispositivos móvilesIng. Juan Pablo Quiñe Paz, CISSP-ISSMP
 
Seguridad en dispositivos móviles
Seguridad en dispositivos móvilesSeguridad en dispositivos móviles
Seguridad en dispositivos móvilespmendi
 
Seguridad en dispositivos móviles
Seguridad en dispositivos móvilesSeguridad en dispositivos móviles
Seguridad en dispositivos móvilesChema Alonso
 
Seguridad en android.ppt
Seguridad en android.pptSeguridad en android.ppt
Seguridad en android.pptfabibmx7
 
Seguridad en dispositivos móviles
Seguridad en dispositivos móvilesSeguridad en dispositivos móviles
Seguridad en dispositivos móvilesMarcos Harasimowicz
 
Smartphone: Herramienta de Bolsillo de un Hacker.
Smartphone: Herramienta de Bolsillo de un Hacker.Smartphone: Herramienta de Bolsillo de un Hacker.
Smartphone: Herramienta de Bolsillo de un Hacker.Dylan Irzi
 
LAS AMENAZAS INTERNAS Y SU IMPACTO EN SEGURIDAD DE DATOS
LAS AMENAZAS INTERNAS Y SU IMPACTO EN SEGURIDAD DE DATOSLAS AMENAZAS INTERNAS Y SU IMPACTO EN SEGURIDAD DE DATOS
LAS AMENAZAS INTERNAS Y SU IMPACTO EN SEGURIDAD DE DATOSCristian Garcia G.
 
TechTuesday: Seguridad en Desarrollo de Apps
TechTuesday: Seguridad en Desarrollo de Apps TechTuesday: Seguridad en Desarrollo de Apps
TechTuesday: Seguridad en Desarrollo de Apps netmind
 
Analisis y diagnostico consultivo Eduardo Rivero
Analisis y diagnostico consultivo Eduardo RiveroAnalisis y diagnostico consultivo Eduardo Rivero
Analisis y diagnostico consultivo Eduardo RiveroCristian Garcia G.
 
Seguridad en dispositivos móviles 2014
Seguridad en dispositivos móviles 2014Seguridad en dispositivos móviles 2014
Seguridad en dispositivos móviles 2014edwardo
 
Seguridad en Dispositivos Móviles
Seguridad en Dispositivos MóvilesSeguridad en Dispositivos Móviles
Seguridad en Dispositivos MóvilesJaime Restrepo
 
Somos marionetas informáticas v2017
Somos marionetas informáticas v2017Somos marionetas informáticas v2017
Somos marionetas informáticas v2017Secpro - Security Professionals
 
Seguridad para tu ordenador1
Seguridad para tu ordenador1Seguridad para tu ordenador1
Seguridad para tu ordenador1ticoiescla
 
Argentesting 2019 - Analizando la seguridad en aplicaciones móviles
Argentesting 2019 - Analizando la seguridad en aplicaciones móvilesArgentesting 2019 - Analizando la seguridad en aplicaciones móviles
Argentesting 2019 - Analizando la seguridad en aplicaciones móvilesArgentesting
 
Enfoque del negocio vs seguridad en la banca digital Christian Ramos
Enfoque del negocio vs seguridad en la banca digital Christian RamosEnfoque del negocio vs seguridad en la banca digital Christian Ramos
Enfoque del negocio vs seguridad en la banca digital Christian RamosCristian Garcia G.
 
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]AngelGomezRomero
 
Amenazas y fraudes en internet bruno de llanos
Amenazas y fraudes en internet bruno de llanosAmenazas y fraudes en internet bruno de llanos
Amenazas y fraudes en internet bruno de llanosBrunoDeLlanos
 
Análisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadAnálisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadArgentesting
 
Taller de seguridad informatica
Taller de seguridad informaticaTaller de seguridad informatica
Taller de seguridad informaticaJuan Osorio
 
Taller de seguridad informatica
Taller de seguridad informaticaTaller de seguridad informatica
Taller de seguridad informaticavalenposada36
 
Posada
PosadaPosada
Posadavalenposada36
 
116 owasp mobile-top_10_security_risks
116 owasp mobile-top_10_security_risks116 owasp mobile-top_10_security_risks
116 owasp mobile-top_10_security_risksGeneXus
 
54. OWASP Mobile Top Ten
54. OWASP Mobile Top Ten54. OWASP Mobile Top Ten
54. OWASP Mobile Top TenGeneXus
 
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...Raúl Díaz
 
SEGURIDAD PARA ESPACIOS DE TRABAJO MODERNO
SEGURIDAD PARA ESPACIOS DE TRABAJO MODERNOSEGURIDAD PARA ESPACIOS DE TRABAJO MODERNO
SEGURIDAD PARA ESPACIOS DE TRABAJO MODERNOCristian Garcia G.
 
Dns malware iicybersecurity
Dns malware iicybersecurityDns malware iicybersecurity
Dns malware iicybersecurityDavid Thomas
 
Estudio sobre la Situación del Malware para Android
Estudio sobre la Situación del Malware para AndroidEstudio sobre la Situación del Malware para Android
Estudio sobre la Situación del Malware para AndroidAlfredo Vela Zancada
 
2020 enero Argentesting
2020 enero Argentesting2020 enero Argentesting
2020 enero ArgentestingEnrique Gustavo Dutra
 
Seguridad en android.ppt
Seguridad en android.pptSeguridad en android.ppt
Seguridad en android.pptflavioemmanuel160599
 

Más contenido relacionado

La actualidad más candente

TechTuesday: Seguridad en Desarrollo de Apps
TechTuesday: Seguridad en Desarrollo de Apps TechTuesday: Seguridad en Desarrollo de Apps
TechTuesday: Seguridad en Desarrollo de Apps netmind
 
Analisis y diagnostico consultivo Eduardo Rivero
Analisis y diagnostico consultivo Eduardo RiveroAnalisis y diagnostico consultivo Eduardo Rivero
Analisis y diagnostico consultivo Eduardo RiveroCristian Garcia G.
 
Seguridad en dispositivos móviles 2014
Seguridad en dispositivos móviles 2014Seguridad en dispositivos móviles 2014
Seguridad en dispositivos móviles 2014edwardo
 
Seguridad en Dispositivos Móviles
Seguridad en Dispositivos MóvilesSeguridad en Dispositivos Móviles
Seguridad en Dispositivos MóvilesJaime Restrepo
 
Seguridad para tu ordenador1
Seguridad para tu ordenador1Seguridad para tu ordenador1
Seguridad para tu ordenador1ticoiescla
 
Argentesting 2019 - Analizando la seguridad en aplicaciones móviles
Argentesting 2019 - Analizando la seguridad en aplicaciones móvilesArgentesting 2019 - Analizando la seguridad en aplicaciones móviles
Argentesting 2019 - Analizando la seguridad en aplicaciones móvilesArgentesting
 
Enfoque del negocio vs seguridad en la banca digital Christian Ramos
Enfoque del negocio vs seguridad en la banca digital Christian RamosEnfoque del negocio vs seguridad en la banca digital Christian Ramos
Enfoque del negocio vs seguridad en la banca digital Christian RamosCristian Garcia G.
 
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]AngelGomezRomero
 
Amenazas y fraudes en internet bruno de llanos
Amenazas y fraudes en internet bruno de llanosAmenazas y fraudes en internet bruno de llanos
Amenazas y fraudes en internet bruno de llanosBrunoDeLlanos
 
Análisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadAnálisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadArgentesting
 
Taller de seguridad informatica
Taller de seguridad informaticaTaller de seguridad informatica
Taller de seguridad informaticaJuan Osorio
 
Taller de seguridad informatica
Taller de seguridad informaticaTaller de seguridad informatica
Taller de seguridad informaticavalenposada36
 
116 owasp mobile-top_10_security_risks
116 owasp mobile-top_10_security_risks116 owasp mobile-top_10_security_risks
116 owasp mobile-top_10_security_risksGeneXus
 
54. OWASP Mobile Top Ten
54. OWASP Mobile Top Ten54. OWASP Mobile Top Ten
54. OWASP Mobile Top TenGeneXus
 
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...Raúl Díaz
 
SEGURIDAD PARA ESPACIOS DE TRABAJO MODERNO
SEGURIDAD PARA ESPACIOS DE TRABAJO MODERNOSEGURIDAD PARA ESPACIOS DE TRABAJO MODERNO
SEGURIDAD PARA ESPACIOS DE TRABAJO MODERNOCristian Garcia G.
 
Dns malware iicybersecurity
Dns malware iicybersecurityDns malware iicybersecurity
Dns malware iicybersecurityDavid Thomas
 

La actualidad más candente (19)

TechTuesday: Seguridad en Desarrollo de Apps
TechTuesday: Seguridad en Desarrollo de Apps TechTuesday: Seguridad en Desarrollo de Apps
TechTuesday: Seguridad en Desarrollo de Apps
 
Analisis y diagnostico consultivo Eduardo Rivero
Analisis y diagnostico consultivo Eduardo RiveroAnalisis y diagnostico consultivo Eduardo Rivero
Analisis y diagnostico consultivo Eduardo Rivero
 
Seguridad en dispositivos móviles 2014
Seguridad en dispositivos móviles 2014Seguridad en dispositivos móviles 2014
Seguridad en dispositivos móviles 2014
 
Seguridad en Dispositivos Móviles
Seguridad en Dispositivos MóvilesSeguridad en Dispositivos Móviles
Seguridad en Dispositivos Móviles
 
Somos marionetas informáticas v2017
Somos marionetas informáticas v2017Somos marionetas informáticas v2017
Somos marionetas informáticas v2017
 
Seguridad para tu ordenador1
Seguridad para tu ordenador1Seguridad para tu ordenador1
Seguridad para tu ordenador1
 
Argentesting 2019 - Analizando la seguridad en aplicaciones móviles
Argentesting 2019 - Analizando la seguridad en aplicaciones móvilesArgentesting 2019 - Analizando la seguridad en aplicaciones móviles
Argentesting 2019 - Analizando la seguridad en aplicaciones móviles
 
Enfoque del negocio vs seguridad en la banca digital Christian Ramos
Enfoque del negocio vs seguridad en la banca digital Christian RamosEnfoque del negocio vs seguridad en la banca digital Christian Ramos
Enfoque del negocio vs seguridad en la banca digital Christian Ramos
 
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
OpenSouthCode '18 - OWASP Top 10 (2017) [2018-June-01]
 
Amenazas y fraudes en internet bruno de llanos
Amenazas y fraudes en internet bruno de llanosAmenazas y fraudes en internet bruno de llanos
Amenazas y fraudes en internet bruno de llanos
 
Análisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadAnálisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridad
 
Taller de seguridad informatica
Taller de seguridad informaticaTaller de seguridad informatica
Taller de seguridad informatica
 
Taller de seguridad informatica
Taller de seguridad informaticaTaller de seguridad informatica
Taller de seguridad informatica
 
Posada
PosadaPosada
Posada
 
116 owasp mobile-top_10_security_risks
116 owasp mobile-top_10_security_risks116 owasp mobile-top_10_security_risks
116 owasp mobile-top_10_security_risks
 
54. OWASP Mobile Top Ten
54. OWASP Mobile Top Ten54. OWASP Mobile Top Ten
54. OWASP Mobile Top Ten
 
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
 
SEGURIDAD PARA ESPACIOS DE TRABAJO MODERNO
SEGURIDAD PARA ESPACIOS DE TRABAJO MODERNOSEGURIDAD PARA ESPACIOS DE TRABAJO MODERNO
SEGURIDAD PARA ESPACIOS DE TRABAJO MODERNO
 
Dns malware iicybersecurity
Dns malware iicybersecurityDns malware iicybersecurity
Dns malware iicybersecurity
 

Similar a Seguridad dispositivos móviles(Android e iOS)

Estudio sobre la Situación del Malware para Android
Estudio sobre la Situación del Malware para AndroidEstudio sobre la Situación del Malware para Android
Estudio sobre la Situación del Malware para AndroidAlfredo Vela Zancada
 
Charla de seguridad en dispositivos móviles
Charla de seguridad en dispositivos móvilesCharla de seguridad en dispositivos móviles
Charla de seguridad en dispositivos móvilesGissim
 
Hackeando plataformas móviles
Hackeando plataformas móvilesHackeando plataformas móviles
Hackeando plataformas móvilesHacking Bolivia
 
Taller de seguridad informatica
Taller de seguridad informaticaTaller de seguridad informatica
Taller de seguridad informaticavalenposada36
 
Taller de seguridad informatica
Taller de seguridad informaticaTaller de seguridad informatica
Taller de seguridad informaticasantiramirez17
 
Los 10 mitos sobre la navegación segura por internet
Los 10 mitos sobre la navegación segura por internetLos 10 mitos sobre la navegación segura por internet
Los 10 mitos sobre la navegación segura por internetGabriel Cuesta
 
Taller de seguridad informatica
Taller de seguridad informaticaTaller de seguridad informatica
Taller de seguridad informaticajfuy
 
Taller de seguridad informatica
Taller de seguridad informaticaTaller de seguridad informatica
Taller de seguridad informaticamanurioslopera
 
Phishing en moviles (Segu-Info)
Phishing en moviles (Segu-Info)Phishing en moviles (Segu-Info)
Phishing en moviles (Segu-Info)Cristian Borghello
 
Tallerdeseguridadinformatica
TallerdeseguridadinformaticaTallerdeseguridadinformatica
Tallerdeseguridadinformaticaanzola07
 
Análisis forense de dispositivos android 01
Análisis forense de dispositivos android 01Análisis forense de dispositivos android 01
Análisis forense de dispositivos android 01Eventos Creativos
 
Taller de seguridad informatica
Taller de seguridad informaticaTaller de seguridad informatica
Taller de seguridad informaticaAlejandro Holguin
 
Ciberseguridad, Fundamental para la Transformación Digital
Ciberseguridad, Fundamental para la Transformación DigitalCiberseguridad, Fundamental para la Transformación Digital
Ciberseguridad, Fundamental para la Transformación DigitalEdgar Parada
 
Self Defending Mobile Apps – Julio San José – Socio de ITRA de EY
Self Defending Mobile Apps – Julio San José – Socio de ITRA de EYSelf Defending Mobile Apps – Julio San José – Socio de ITRA de EY
Self Defending Mobile Apps – Julio San José – Socio de ITRA de EYEY
 
Estrategias para utilizar android con seguridad
Estrategias para utilizar android con seguridadEstrategias para utilizar android con seguridad
Estrategias para utilizar android con seguridadJuan Quiroz
 

Similar a Seguridad dispositivos móviles(Android e iOS) (20)

Estudio sobre la Situación del Malware para Android
Estudio sobre la Situación del Malware para AndroidEstudio sobre la Situación del Malware para Android
Estudio sobre la Situación del Malware para Android
 
2020 enero Argentesting
2020 enero Argentesting2020 enero Argentesting
2020 enero Argentesting
 
Seguridad en android.ppt
Seguridad en android.pptSeguridad en android.ppt
Seguridad en android.ppt
 
Charla de seguridad en dispositivos móviles
Charla de seguridad en dispositivos móvilesCharla de seguridad en dispositivos móviles
Charla de seguridad en dispositivos móviles
 
Hackeando plataformas móviles
Hackeando plataformas móvilesHackeando plataformas móviles
Hackeando plataformas móviles
 
Taller de seguridad informatica
Taller de seguridad informaticaTaller de seguridad informatica
Taller de seguridad informatica
 
Taller de seguridad informatica
Taller de seguridad informaticaTaller de seguridad informatica
Taller de seguridad informatica
 
Los 10 mitos sobre la navegación segura por internet
Los 10 mitos sobre la navegación segura por internetLos 10 mitos sobre la navegación segura por internet
Los 10 mitos sobre la navegación segura por internet
 
Lo que las apps esconden
Lo que las apps escondenLo que las apps esconden
Lo que las apps esconden
 
Taller de seguridad informatica
Taller de seguridad informaticaTaller de seguridad informatica
Taller de seguridad informatica
 
Taller de seguridad informatica
Taller de seguridad informaticaTaller de seguridad informatica
Taller de seguridad informatica
 
Consejos de seguridad
Consejos de seguridadConsejos de seguridad
Consejos de seguridad
 
Phishing en moviles (Segu-Info)
Phishing en moviles (Segu-Info)Phishing en moviles (Segu-Info)
Phishing en moviles (Segu-Info)
 
Seguridad en internet
Seguridad en internetSeguridad en internet
Seguridad en internet
 
Tallerdeseguridadinformatica
TallerdeseguridadinformaticaTallerdeseguridadinformatica
Tallerdeseguridadinformatica
 
Análisis forense de dispositivos android 01
Análisis forense de dispositivos android 01Análisis forense de dispositivos android 01
Análisis forense de dispositivos android 01
 
Taller de seguridad informatica
Taller de seguridad informaticaTaller de seguridad informatica
Taller de seguridad informatica
 
Ciberseguridad, Fundamental para la Transformación Digital
Ciberseguridad, Fundamental para la Transformación DigitalCiberseguridad, Fundamental para la Transformación Digital
Ciberseguridad, Fundamental para la Transformación Digital
 
Self Defending Mobile Apps – Julio San José – Socio de ITRA de EY
Self Defending Mobile Apps – Julio San José – Socio de ITRA de EYSelf Defending Mobile Apps – Julio San José – Socio de ITRA de EY
Self Defending Mobile Apps – Julio San José – Socio de ITRA de EY
 
Estrategias para utilizar android con seguridad
Estrategias para utilizar android con seguridadEstrategias para utilizar android con seguridad
Estrategias para utilizar android con seguridad
 

Más de Jose Manuel Ortega Candel

Asegurando tus APIs Explorando el OWASP Top 10 de Seguridad en APIs.pdf
Asegurando tus APIs Explorando el OWASP Top 10 de Seguridad en APIs.pdfAsegurando tus APIs Explorando el OWASP Top 10 de Seguridad en APIs.pdf
Asegurando tus APIs Explorando el OWASP Top 10 de Seguridad en APIs.pdfJose Manuel Ortega Candel
 
PyGoat Analizando la seguridad en aplicaciones Django.pdf
PyGoat Analizando la seguridad en aplicaciones Django.pdfPyGoat Analizando la seguridad en aplicaciones Django.pdf
PyGoat Analizando la seguridad en aplicaciones Django.pdfJose Manuel Ortega Candel
 
Ciberseguridad en Blockchain y Smart Contracts: Explorando los Desafíos y Sol...
Ciberseguridad en Blockchain y Smart Contracts: Explorando los Desafíos y Sol...Ciberseguridad en Blockchain y Smart Contracts: Explorando los Desafíos y Sol...
Ciberseguridad en Blockchain y Smart Contracts: Explorando los Desafíos y Sol...Jose Manuel Ortega Candel
 
Evolution of security strategies in K8s environments- All day devops
Evolution of security strategies in K8s environments- All day devops Evolution of security strategies in K8s environments- All day devops
Evolution of security strategies in K8s environments- All day devops Jose Manuel Ortega Candel
 
Evolution of security strategies in K8s environments.pdf
Evolution of security strategies in K8s environments.pdfEvolution of security strategies in K8s environments.pdf
Evolution of security strategies in K8s environments.pdfJose Manuel Ortega Candel
 
Implementing Observability for Kubernetes.pdf
Implementing Observability for Kubernetes.pdfImplementing Observability for Kubernetes.pdf
Implementing Observability for Kubernetes.pdfJose Manuel Ortega Candel
 
Seguridad en arquitecturas serverless y entornos cloud
Seguridad en arquitecturas serverless y entornos cloudSeguridad en arquitecturas serverless y entornos cloud
Seguridad en arquitecturas serverless y entornos cloudJose Manuel Ortega Candel
 
Construyendo arquitecturas zero trust sobre entornos cloud
Construyendo arquitecturas zero trust sobre entornos cloud Construyendo arquitecturas zero trust sobre entornos cloud
Construyendo arquitecturas zero trust sobre entornos cloud Jose Manuel Ortega Candel
 
Tips and tricks for data science projects with Python
Tips and tricks for data science projects with Python Tips and tricks for data science projects with Python
Tips and tricks for data science projects with Python Jose Manuel Ortega Candel
 
Sharing secret keys in Docker containers and K8s
Sharing secret keys in Docker containers and K8sSharing secret keys in Docker containers and K8s
Sharing secret keys in Docker containers and K8sJose Manuel Ortega Candel
 
Python para equipos de ciberseguridad(pycones)
Python para equipos de ciberseguridad(pycones)Python para equipos de ciberseguridad(pycones)
Python para equipos de ciberseguridad(pycones)Jose Manuel Ortega Candel
 
Shodan Tips and tricks. Automatiza y maximiza las búsquedas shodan
Shodan Tips and tricks. Automatiza y maximiza las búsquedas shodanShodan Tips and tricks. Automatiza y maximiza las búsquedas shodan
Shodan Tips and tricks. Automatiza y maximiza las búsquedas shodanJose Manuel Ortega Candel
 
ELK para analistas de seguridad y equipos Blue Team
ELK para analistas de seguridad y equipos Blue TeamELK para analistas de seguridad y equipos Blue Team
ELK para analistas de seguridad y equipos Blue TeamJose Manuel Ortega Candel
 
Monitoring and managing Containers using Open Source tools
Monitoring and managing Containers using Open Source toolsMonitoring and managing Containers using Open Source tools
Monitoring and managing Containers using Open Source toolsJose Manuel Ortega Candel
 
Python memory managment. Deeping in Garbage collector
Python memory managment. Deeping in Garbage collectorPython memory managment. Deeping in Garbage collector
Python memory managment. Deeping in Garbage collectorJose Manuel Ortega Candel
 

Más de Jose Manuel Ortega Candel (20)

Asegurando tus APIs Explorando el OWASP Top 10 de Seguridad en APIs.pdf
Asegurando tus APIs Explorando el OWASP Top 10 de Seguridad en APIs.pdfAsegurando tus APIs Explorando el OWASP Top 10 de Seguridad en APIs.pdf
Asegurando tus APIs Explorando el OWASP Top 10 de Seguridad en APIs.pdf
 
PyGoat Analizando la seguridad en aplicaciones Django.pdf
PyGoat Analizando la seguridad en aplicaciones Django.pdfPyGoat Analizando la seguridad en aplicaciones Django.pdf
PyGoat Analizando la seguridad en aplicaciones Django.pdf
 
Ciberseguridad en Blockchain y Smart Contracts: Explorando los Desafíos y Sol...
Ciberseguridad en Blockchain y Smart Contracts: Explorando los Desafíos y Sol...Ciberseguridad en Blockchain y Smart Contracts: Explorando los Desafíos y Sol...
Ciberseguridad en Blockchain y Smart Contracts: Explorando los Desafíos y Sol...
 
Evolution of security strategies in K8s environments- All day devops
Evolution of security strategies in K8s environments- All day devops Evolution of security strategies in K8s environments- All day devops
Evolution of security strategies in K8s environments- All day devops
 
Evolution of security strategies in K8s environments.pdf
Evolution of security strategies in K8s environments.pdfEvolution of security strategies in K8s environments.pdf
Evolution of security strategies in K8s environments.pdf
 
Implementing Observability for Kubernetes.pdf
Implementing Observability for Kubernetes.pdfImplementing Observability for Kubernetes.pdf
Implementing Observability for Kubernetes.pdf
 
Computación distribuida usando Python
Computación distribuida usando PythonComputación distribuida usando Python
Computación distribuida usando Python
 
Seguridad en arquitecturas serverless y entornos cloud
Seguridad en arquitecturas serverless y entornos cloudSeguridad en arquitecturas serverless y entornos cloud
Seguridad en arquitecturas serverless y entornos cloud
 
Construyendo arquitecturas zero trust sobre entornos cloud
Construyendo arquitecturas zero trust sobre entornos cloud Construyendo arquitecturas zero trust sobre entornos cloud
Construyendo arquitecturas zero trust sobre entornos cloud
 
Tips and tricks for data science projects with Python
Tips and tricks for data science projects with Python Tips and tricks for data science projects with Python
Tips and tricks for data science projects with Python
 
Sharing secret keys in Docker containers and K8s
Sharing secret keys in Docker containers and K8sSharing secret keys in Docker containers and K8s
Sharing secret keys in Docker containers and K8s
 
Implementing cert-manager in K8s
Implementing cert-manager in K8sImplementing cert-manager in K8s
Implementing cert-manager in K8s
 
Python para equipos de ciberseguridad(pycones)
Python para equipos de ciberseguridad(pycones)Python para equipos de ciberseguridad(pycones)
Python para equipos de ciberseguridad(pycones)
 
Python para equipos de ciberseguridad
Python para equipos de ciberseguridad Python para equipos de ciberseguridad
Python para equipos de ciberseguridad
 
Shodan Tips and tricks. Automatiza y maximiza las búsquedas shodan
Shodan Tips and tricks. Automatiza y maximiza las búsquedas shodanShodan Tips and tricks. Automatiza y maximiza las búsquedas shodan
Shodan Tips and tricks. Automatiza y maximiza las búsquedas shodan
 
ELK para analistas de seguridad y equipos Blue Team
ELK para analistas de seguridad y equipos Blue TeamELK para analistas de seguridad y equipos Blue Team
ELK para analistas de seguridad y equipos Blue Team
 
Monitoring and managing Containers using Open Source tools
Monitoring and managing Containers using Open Source toolsMonitoring and managing Containers using Open Source tools
Monitoring and managing Containers using Open Source tools
 
Python Memory Management 101(Europython)
Python Memory Management 101(Europython)Python Memory Management 101(Europython)
Python Memory Management 101(Europython)
 
SecDevOps containers
SecDevOps containersSecDevOps containers
SecDevOps containers
 
Python memory managment. Deeping in Garbage collector
Python memory managment. Deeping in Garbage collectorPython memory managment. Deeping in Garbage collector
Python memory managment. Deeping in Garbage collector
 

Último

Hernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxHernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxJOSEMANUELHERNANDEZH11
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 
Segunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxSegunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxMariaBurgos55
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxAlexander López
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son241514984
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativaAdrianaMartnez618894
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxAlexander López
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptMiguelAtencio10
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx241522327
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptJavierHerrera662252
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaarkananubis
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxJOSEFERNANDOARENASCA
 
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxGoogle-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxAlexander López
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELmaryfer27m
 
Plan Sarmiento - Netbook del GCBA 2019..
Plan Sarmiento - Netbook del GCBA 2019..Plan Sarmiento - Netbook del GCBA 2019..
Plan Sarmiento - Netbook del GCBA 2019..RobertoGumucio2
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxazmysanros90
 

Último (20)

Hernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxHernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptx
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 
Segunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxSegunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptx
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativa
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.ppt
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en mina
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptx
 
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxGoogle-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFEL
 
Plan Sarmiento - Netbook del GCBA 2019..
Plan Sarmiento - Netbook del GCBA 2019..Plan Sarmiento - Netbook del GCBA 2019..
Plan Sarmiento - Netbook del GCBA 2019..
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptx
 

Seguridad dispositivos móviles(Android e iOS)

  • 1. Seguridad en dispositivos móviles 10 Abril 2015 José Manuel Ortega @jmortegac
  • 3. 3
  • 4. 4 Congreso de Internet en Alicante 24,25 Abril http://internet30.es
  • 5. Agenda • Situación actual • Seguridad en aplicaciones Android e iOS • Prevención y detección de malware • Phishing en aplicaciones móviles • Riesgos en aplicaciones móviles • Buenas prácticas de desarrollo • Seguridad en la empresa mediante los enfoques BYOD y MDM • Conclusiones 5
  • 6. Agenda • Situación actual • Seguridad en aplicaciones Android e iOS • Prevención y detección de malware • Phishing en aplicaciones móviles • Riesgos en aplicaciones móviles • Buenas prácticas de desarrollo seguro • Seguridad en la empresa mediante los enfoques BYOD y MDM • Conclusiones 6
  • 8. Agenda • Situación actual • Seguridad en aplicaciones Android e iOS • Prevención y detección de malware • Phishing en aplicaciones móviles • Riesgos en aplicaciones móviles • Buenas prácticas de desarrollo seguro • Seguridad en la empresa mediante los enfoques BYOD y MDM • Conclusiones 8
  • 9. Android 9 /system/ Corresponde al sistema operativo Contiene aplicaciones preinstaladas /data/ Almacena los datos de usuario y aplicaciones /data/app/ Almacena aplicaciones /data/data/ Almacena datos de las aplicaciones Incluye un subdirectorio por aplicación, con los permisos de esa aplicación root
  • 10. Permisos en Android 10 Solicitud de permisos en el AndroidManifest.xml Información personal (calendario, contactos,…) Información del dispositivo(Datos de red, SMS,..) Hay que tratar de minimizar los permisos que se solicitan
  • 14. Aplicaciones en Android 14  Empaqueta todo el contenido de las aplicaciones Android bajo un mismo fichero  Es un archivo comprimido.zip con extensión APK  Es posible descomprimirlo utilizando software archivador de ficheros Contiene: • Assets • META-INF • res • resources.asrc • AndroidManifest.xml • classes.dex
  • 16. Aplicaciones en Android 16 Apk extractor  http://apps.evozi.com/apk-downloader
  • 17. Firmar aplicaciones en Android 17 Firma de aplicaciones Almacén de claves por defecto
  • 18. Firmar aplicaciones en Android 18 Firma de aplicaciones Generar nuestro propio certificado cuando queramos subir la aplicación
  • 20. iOS 20  Las aplicaciones se cifran con el certificado que proporciona Apple  El iPhone descifra las aplicaciones a la hora de ejecutarlas  Desarrolladas en el lenguaje de programación Objetive-C /Swift  Las aplicaciones se distribuyen e instalan bajo el formato.ipa
  • 21. iOS 21 Objective - C (in Xcode) Compiled to ARM and encrypted Packaged as IPA file with resources Deployed to phone file system as .app directory
  • 22. iOS Permisos 22 Info.plist Permite asegurar la compatibilidad del dispositivo
  • 23. iOS Permisos 23 Privacy AnalysisTools for iOs Applications patia.unileon.es
  • 27. Agenda • Situación actual • Seguridad en aplicaciones Android e iOS • Prevención y detección de malware • Phishing en aplicaciones móviles • Riesgos en aplicaciones móviles • Buenas prácticas de desarrollo seguro • Seguridad en la empresa mediante los enfoques BYOD y MDM • Conclusiones 27
  • 28. 28  Debemos tener en cuenta que no es necesario, que el atacante, acceda al dispositivo móvil físicamente. Las formas más habituales son las siguientes:  Spyware, capaces de obtener una trazabilidad, sobre nuestros contactos, emails, llamadas, SMS y enviarlos al atacante.  Malware, que realizan compras, obtienen acceso a servicios de pago a cargo de su tarjeta.  Phishing, que en apariencia se confunden con aplicaciones legítimas, como entidades bancarias o redes sociales, para robar las credenciales  Procesos en background, que vigilan lo que sucede en los dispositivos, esperando su oportunidad.
  • 29. Recomendaciones para evitar malware 29  Instalar de orígenes conocidos Comprobar los permisos antes de instalar/actualizar Revisar comentarios de los usuarios Deshabilitar conexión automática a redes Wifi y evitar conectarnos a redes Free.
  • 31. 31 Evitar aplicaciones que no sean de markets oficiales No aceptar mensajes o archivos vía Bluetooth por parte de desconocidos. No instalar aplicaciones sin haber verificado su procedencia, especialmente si no están firmadas. En caso de hacer jailbreak a tu iPhone, cambia la contraseña de superusuario. Si tienes un Android rooteado, instala Superuser para que toda aplicación solicite permiso. Instala programas antivirus /antimalware móvil para tu plataforma. Recomendaciones para evitar malware
  • 32. Antivirus /Antimalware Android 32 AVG Antivirus Kaspersky Internet Security NQ Mobile Security & Antivirus Comodo Mobile Security Norton Antivirus y Seguridad BitDefender Mobile Security Mobile Security & Antivirus (avast!) Lookout Antivirus & Seguridad MobiShield free F-Secure Mobile Security
  • 35. CONAN mobile for Android 35  https://play.google.com/store/apps/details?id=es.inteco.conanmobile  Configuración segura del dispositivo  Aplicaciones instaladas  Permisos de aplicaciones  Servicios proactivos de seguridad  Desarrollada por el INCIBE(Instituto Nacional de Ciberseguridad)  https://www.osi.es/es/conan-mobile
  • 36. CONAN mobile for Android 36
  • 37. CONAN mobile for Android 37
  • 38. Herramientas online 38  “Dexter” online service  https://dexter.bluebox.com  “virustotal.com” online service  https://www.virustotal.com/es  foresafe.com/scan  andrototal.org
  • 39. Herramientas online 39  http://anubis.iseclab.org  http://mobilesandbox.org  http://www.visualthreat.com  http://dunkelheit.com.br/amat/analysis  http://apkscan.nviso.be
  • 42. Mensajería segura(alternativas a whatsApp) 42  Mejoran el cifrado y al seguridad de las comunicaciones  SafeSlinger (Open Source)  Disponible en Android e iOS  https://www.cylab.cmu.edu/safeslinger/index.html  Surespot encrypted messenger  https://surespot.me  Telegram(Open source)  API for developers  https://telegram.org
  • 47. IPhone jailbreak 47  Cydia  JailbreakME(versiones antiguas hasta la 5)  Evasion(iOS version>=6)  http://evasi0n.com  Pangu(Windows,Mac)  http://en.pangu.io  Redsnow, SnowBreeze(reinstala iOS)
  • 49. Agenda • Situación actual • Seguridad en aplicaciones Android e iOS • Prevención y detección de malware • Phishing en aplicaciones móviles • Riesgos en aplicaciones móviles • Buenas prácticas de desarrollo seguro • Seguridad en la empresa mediante los enfoques BYOD y MDM • Conclusiones 49
  • 50. Phishing 50  Estafa que mediante ingeniería social pretende obtener información de una victima de forma fraudulenta.  El estafador envía un email a la victima haciéndose pasar por una organización legitima.  En este email se insta a la victima a acceder a un enlace adjunto e introducir sus datos con el fin de confirmar su cuenta, recibir dinero, haber ganado un concurso.  El enlace dirige a una aplicación web controlada por el estafador y similar a la de la organización suplantada.  La victima accede a la aplicación web del enlace e introduce en ella los datos solicitados.  La aplicación web envía los datos introducidos al estafador.
  • 51. Phishing en app móviles 51  Aplicaciones falsas:  Similares a las aplicaciones legitimas  Robo de información  Para evitarlo:  Descargar aplicaciones únicamente de los markets oficiales  Verificar el desarrollador  Verificar los permisos solicitados  Uso de antivirus / antispyware  Aplicar el sentido común
  • 52. Phishing en app móviles 52
  • 53. Phishing en app móviles 53  Particularidades del navegador en el dispositivo:  Aprovechan las características del navegador de los dispositivos móviles para realizar Phishing UrlSpoofingAtack:  Aprovechan que solo se muestra el inicio de la url en el navegador  Phising con nombres de subdominio legítimos UISpoofingSafari:  Ciertas versiones de Safari ocultan la pestaña de navegación tras cargar una página.  Aprovechando lo anterior mediante la inserción de una imagen,se puede hacer creer al usuario que se encuentra en un dominio legitimo.
  • 54. Phishing en app móviles 54
  • 55. Agenda • Situación actual • Seguridad en aplicaciones Android e iOS • Prevención y detección de malware • Phishing en aplicaciones móviles • Riesgos en aplicaciones móviles • Buenas prácticas de desarrollo seguro • Seguridad en la empresa mediante los enfoques BYOD y MDM • Conclusiones 55
  • 56. Riesgos en dispositivos móviles 56 Riesgos en disp móviles
  • 57. Riesgos en aplicaciones móviles 57  https://www.owasp.org/index.php/OWASP_Mobile_Security_Project
  • 58. Riesgos en aplicaciones móviles 58 1- Almacenamiento de datos inseguro 2- Controles débiles en el lado del servidor 3- Protección insuficiente en la capa de transporte 4- Inyección en el lado del cliente 5- Sistema pobre de autenticación y autorización 6- Gestión inadecuada de la sesión 7- Decisiones de seguridad a partir de entradas inseguras 8- Canal lateral de fuga de datos 9- Rotura de la criptografía 10- Divulgación de información confidencial
  • 59. Almacenamiento de datos 59 Encriptación de datos Nunca almacenar credenciales del usuario Usar herramientas como SQLCipher, para almacenar datos en BBDD internas No otorgar permisos globales a las aplicaciones, usar el principio de “privilegio más bajo”
  • 60. Autenticación y autorización 60 Utilizar sistemas de autenticación adecuados, como las claves de acceso, o los patrones en los dispositivos móviles. Apoyarse en sistemas de autenticación como Oauth.
  • 61. Agenda • Situación actual • Seguridad en aplicaciones Android e iOS • Prevención y detección de malware • Phishing en aplicaciones móviles • Riesgos en aplicaciones móviles • Buenas prácticas de desarrollo seguro • Seguridad en la empresa mediante los enfoques BYOD y MDM • Conclusiones 61
  • 62. Buenas prácticas desarrollo 62 Pruebas de caja blanca Análisis estático del código Pruebas de caja negra Análisis en tiempo de ejecución
  • 63. Buenas prácticas desarrollo 63 Logs Almacenamiento en la SDCard [los datos no se protegen] JavaScript and Webview SQLite Conexiones HTTP Debuggable Shared preferences Análisis estático de aplicaciones
  • 66. Buenas prácticas desarrollo 66 Tener cuidado con librerías de terceros
  • 67. Buenas prácticas desarrollo 67 SQLite La mayoría de las aplicaciones emplean sqlite para almacenar los datos de las aplicaciones en el dispositivo Sqlite no tiene soporte para cifrar los datos
  • 69. Buenas prácticas desarrollo 69 Cifrado de BD SQLite Support iOS / Android https://www.zetetic.net/sqlcipher/open-source 256-bit AES Encrypt SQLite database
  • 71. Buenas prácticas desarrollo 71  Shared Preferences  Librería para securizar este fichero  https://github.com/scottyab/secure-preferences
  • 72. Buenas prácticas desarrollo 72 Almacenamiento interno en ficheros WORLD_READABLE / WORLD_WRITABLE Otras apps podrían leer el fichero si conocen la ruta Los ficheros deberían crearse en MODE_PRIVATE FileOutputStream fos = openFileOutput(“MyFile", Context.MODE_PRIVATE); fos.write(“contenido”.getBytes()); fos.close();
  • 76. Buenas prácticas desarrollo 76 Script que permita detectar funciones peligrosas relacionadas con: SharedPreferences TapJacking(Ejecutar código sin que el usuario se dé cuenta cuando realiza una acción) Almacenamiento Algoritmos de cifrado Tráfico inseguro Flag de depuración
  • 78. Buenas prácticas desarrollo 78  https://github.com/maaaaz/androwarn python androwarn.py -i my_apk.apk -r html -v 3 Telephony identifiers exfiltration: IMEI, IMSI, MCC, MNC, LAC, CID, operator's name... Device settings exfiltration: software version, usage statistics, system settings, logs... Geolocation information leakage: GPS/WiFi geolocation... Connection interfaces information exfiltration:WiFi credentials, Bluetooth MAC adress... Telephony services abuse: premium SMS sending, phone call composition... Audio/video flow interception: call recording, video capture... Remote connection establishment: socket open call, Bluetooth pairing,APN settings edit... PIM data leakage: contacts, calendar, SMS, mails... External memory operations: file access on SD card... PIM data modification: add/delete contacts, calendar events... Arbitrary code execution: native code using JNI, UNIX command, privilege escalation... Denial of Service: event notification deactivation, file deletion, process killing, virtual keyboard disable, terminal shutdown/reboot...
  • 79. Buenas prácticas desarrollo 79 Análisis dinámico en tiempo de ejecución  Cobertura de código  Hashes para los paquetes analizados  Datos de red mediante herramientas como wireShark para analizar los paquetes de red  Información de debug  Operaciones de lectura/escritura en ficheros  Operaciones de criptografía utilizando la API de Android  Envío de SMS y llamadas de teléfono
  • 80. Buenas prácticas desarrollo 80 Ofuscar la aplicación para dificultar al máximo la posibilidad de realizar ingeniería inversa
  • 83. Buenas prácticas desarrollo 83 xCode  Static Analyzer  Detect memory leaks
  • 85. Buenas prácticas desarrollo 85 Almacenamiento inseguro  Todos los archivos del SD card pueden ser leídos por cualquier aplicación.  Programadores erróneamente guardan información sensible.  SharedPrefs es un simple archivo XML que puede ser extraído  /data/data/nombre.de.paquete/: • cache • databases • lib • shared_prefs root
  • 86. Agenda • Situación actual • Seguridad en aplicaciones Android e iOS • Prevención y detección de malware • Phishing en aplicaciones móviles • Buenas prácticas de desarrollo seguro • Seguridad en la empresa mediante los enfoques BYOD y MDM • Conclusiones 86
  • 87. BYOD(Bring Your Own Device) 87  Consiste en una política empresarial en la que los empleados llevan sus propios dispositivos al lugar de trabajo, para acceder a recursos de la empresa.  Espías y hackers podrían captar esta información si no se implantan los sistemas de seguridad adecuados para impedirlo.  Controlar las aplicaciones que se instala el usuario. Tanto aplicaciones pasa uso personal como aplicaciones que se usan para incrementar la productividad en el trabajo.  Modelos BYOT (Bring Your Own Technology), BYOA (Bring Your Own Application), CYOD (ConnectYour Own Device),
  • 88. BYOD(Bring Your Own Device) 88 Riesgos  Movilidad del usuario  Uso de dispositivos rooteados o con jailbreak  Redes inseguras o con una mala configuración  Interconexión con otros sistemas  Uso de servicios de localización
  • 89. 89 1 • Protección del acceso password, reconocimiento dactilar o facial 2 • Control de la conectividad WiFi , GPS o Bluetooth 3 • Controlar el acceso y permisos de la aplicaciones debemos considerarlo durante la instalación 4 • Mantener el firmware y S.O. actualizado considerar las actualizaciones del fabricante 5 • Mantener copia de los datos sobre los datos críticos, personales y de la empresa 6 • Borrar datos si el dispositivo se pierde algunos servicios permiten el borrado de datos de forma remota 7 • No almacene información privada datos como tarjetas de crédito y passwords 8 • Cuidado con las aplicaciones gratuitas pueden haber sido alteradas o contener spyware 9 • Use antivirus y herramientas de escaneo tenerlos actualizados 10 • Use software MDM configuran y monitorizan el acceso
  • 90. MDM(Mobile Device Management) 90  Software que permite asegurar, monitorear y administrar dispositivos móviles sin importar el operador o proveedor de servicios  Instalación masiva de aplicaciones  Políticas de control sobre las aplicaciones  Localización y rastreo de dispositivos  Sincronización de archivos, reportes de datos y acceso a dispositivos  Bloqueo de funciones (activar o desactivar cámara, micrófono, USB, etc.)  Control de gastos (duración de llamadas, consumo de datos, etc.)  Borrado remoto en caso de pérdida o robo  Aplicar contraseña desde el servidor (configurando la longitud, el tipo, si es alfanumérica o numérica, el número de intentos, etc.)
  • 91. MDM(Mobile Device Management) 91 Componentes  Servidor centralizado  Software-cliente instalado en cada dispositivo móvil  Base de datos centralizada con el estado de cada dispositivo conectado a la red  Modelo de comunicación entre el servidor centralizado y cada uno de los dispositivos móviles. Por ejemplo una OTA capaz de configurar de forma remota cada dispositivo a nivel de actualizaciones de aplicaciones y S.O, escaneo de forma remota de los dispositivos en busca de malware
  • 93. Políticas de Seguridad Móvil empresarial 93  Autenticar el acceso a los datos para usuarios y dispositivos  Proporcionar seguridad en la conexiones  Concienciar y formar a los usuarios  Instalación de herramientas para la detección de malware  Centralizar la seguridad de los dispositivos móviles
  • 94. Acceso al dispositivo iOS 94  Protección mediante código de desbloqueo(Passcode).  Aumento del tiempo de reintento tras código incorrecto.  Configuración de la complejidad del código mediante MDM  MDM (Mobile Device Management) permite aplicar una serie de contramedidas de seguridad, como borrar remotamente la información en caso de pérdida, o desconectar los dispositivos de la red corporativa si se detectase una intrusión
  • 95. Acceso al dispositivo Android 95
  • 96. Encriptación en Android 96 Soportado desde Android 3.0 Lleva 1h encriptar los datos Implica una reducción del rendimiento No se puede deshabilitar
  • 98. Consejos 98  No rootear el dispositivo al menos que sea estrictamente necesario(por ejemplo instalar una custom room o desinstalar algunas aplicaciones que traen por defecto)  No instalar aplicaciones desde fuentes desconocidas  Leer los permisos antes de instalar  Leer opiniones de la gente en los market