Todos sabemos cuál es el modelo de negocio que más triunfa, con sus claros y oscuros, en esta era tecnológica: te ofrezco información, acceso o posibilidad de uso de manera gratuita pero a cambio tienes que ver publicidad. Debido a lo extendido del modelo, está claro que es más aceptado por los consumidores. Pero el problema está cuando en realidad estamos pagando el servicio con algo más que nuestra atención.

Lo hemos visto con Facebook: no solo es nuestra atención, son nuestros datos y nuestro comportamiento. Y lo mismo sucede con muchas aplicaciones móviles: que recogen muchos más datos de los que nos indican en un primer momento. Y esto es, tal y como nos explican desde TechCrunch, un riesgo grave que puede afectar incluso a una empresa cualquiera, que puede llegar a ser atacada por medio de los datos que se recopilan de sus trabajadores.

Se obtienen más datos de los que se dicen

Las aplicaciones móviles recopilan una cantidad verdaderamente masiva de datos personales: nuestra ubicación, nuestro historial de navegación online, nuestros contactos, nuestra agenda, nuestra identidad y muchas más cosas. Todos estos datos son después compartidos instantáneamente con las redes de publicidad móvil, que los usan para determinar el mejor anuncio para un usuario dado en un momento y lugar concreto.

Por lo tanto, el trato que se nos ofrece no es en realidad exponernos a publicidad a cambio de usar una aplicación, sino usar la aplicación a cambio de aceptar ser vigilados a través de nuestro celular. Al aceptar las condiciones de una aplicación móvil gratuita financiada por anuncios, estamos consintiendo un modelo económico que implica una vigilancia personal continua y exhaustiva. Es lo que Al Gore calificó con precisión como la «economía del stalker».

La razón de que los datos que recopilan estas aplicaciones sean tan demandados por el marketing es que, a diferencia de los que se obtienen a través del escritorio, permiten obtener un perfil más definido de cada usuario. El escritorio permanece siempre en el mismo sitio, pero un teléfono es algo que llevamos a todas partes y que está transmitiendo datos personales de manera constante. Al saber quiénes somos, dónde estamos y qué estamos haciendo, se pueden enviar anuncios más efectivos. Se le llama «marketing de proximidad».

Aunque suene inocuo, como mínimo es molesto. Pero va más allá de molestia. Hemos habilitado un sistema en el que un minorista puede saber, por ejemplo, que una adolescente está embarazada antes de que sus padres lo sepan. ¿Cómo? Simplemente correlacionando sus datos de actividad, búsqueda y compra. Ese minorista entonces puede abordar la chica por correo convencial o electrónico o, lo más posible, mandarle una notificación cuando está cerca de un punto de la venta. Esta intrusión en nuestra privacidad colectiva no va a desaparecer pronto (si es que lo hace alguna vez), ya que los incentivos económicos para los desarrolladores de aplicaciones y para los anunciantes son demasiado fuertes.

Este tipo de vigilancia que afecta al consumidor es intrusivo y hasta espeluznante. Pero también amenaza a la seguridad empresarial: a medida que más dispositivos móviles personales invaden el mundo de los negocios, las fugas que estos provocan abren la puerta a hackeos, robos de información y ataques cibernéticos.

La empresa también se pone en riesgo

Si una empresa permite a sus empleados sincronizar sus calendarios corporativos y cuentas de correo electrónico con sus dispositivos móviles personales se corre todo tipo de riesgos. De repente, los teléfonos de los empleados contienen o pueden acceder a la información de contacto de todos los miembros de la empresa. Además, cualquier aplicación móvil que solicite acceso a los contactos y al calendario de los empleados también tiene acceso a los nombres y títulos de los empleados de la empresa, así como a los códigos de acceso telefónico para todas las llamadas privadas. Esta información puede usarse de manera efectiva para un ataque phising por parte de una aplicación maliciosa o por un hacker. un hacker.

Y la cosa se pone peor: muchas aplicaciones monetizan sus bases de usuarios compartiendo los datos que obtienen con redes publicitarias que comparten y combinan datos con otras redes, por lo que es imposible saber dónde están usando exactamente la información y si es manejado de manera segura por cualquiera de las muchas partes que tienen acceso a ella. Todo este intercambio significa que un hacker malicioso ni siquiera tiene que acceder directamente al teléfono de un empleado para atacar a una empresa. Puede hackear una red de anuncios que tiene información de millones de usuarios y partir desde lo que consigue allí.

La información robada se puede usar de muchas maneras imaginativas para robar atacar a una empresa. Un ejemplo imaginario pero que es perfectamente factible. Digamos que un pequeño grupo de ejecutivos almuerzan regularmente en un restaurante local. Es algo que un atacante con acceso a sus datos de geolocalización puede saber con facilidad. Este atacante entonces hace una asunción que es correcta: algunos de estos ejecutivos entran al sitio web del restaurante para hacer reservaciones y revisar el menú antes del almuerzo. Entonces, todo lo que tiene que hacer es colocar un malware en esa web, que posiblemente cuente con medidas de seguridad bastante precarias, y así comprometer una computadora de la empresa objetivo o el dispositivo móvil de uno o más de sus ejecutivos. Es decir, que se consigue abrir una brecha de seguridad exitosa.

Un celular comprometido representa una amenaza no sólo para el empleado, sino para toda la empresa. Él es tan solo el medio para conseguir otras cosas más jugosas. La información sobre las actividades de los empleados, tanto en el trabajo como en otros lugares, combinada con cualquier correo electrónico, documentos o información confidencial relacionada con la empresa, puede ser devastadora para una organización si se pone en manos equivocadas.

¿Qué deben hacer las empresas para combatir esta amenaza?

El primer paso que debe dar cualquier empresa es conocer el «paisaje móvil», por así decirlo. La organización necesita saber que aplicación están usando los empleados, que es lo que hacen esas aplicaciones y si cumplen o no las políticas de seguridad corporativas. Por ejemplo: ¿hay alguna aplicación para compartir archivos particularmente peligrosa que no se quiere que usen los empleados? ¿Se está usando? SI no se conocen las aplicaciones que usan los empleados para trabajar, la empresa esta a ciegas y corriendo un gran riesgo.

Segundo, es necesario que exista una política respecto al uso de dispositivos móviles. Muchas organizaciones ya cuentan con políticas para otras plataformas, incluyendo la gestión de firewalls y los datos que se comparten con otras empresas con las que se asocian o colaboran. Es igualmente importante crear estas políticas para los celulares y tablets. Por ejemplo, si el personal está usando versiones gratuitas de aplicaciones que están aprobadas por la empresa pero que incluyen publicidad, crear una política que requiera que los empleados se actualicen a la versión pagada para minimizar, si es que no eliminar, los datos no autorizados que se hacen llegar a los empleados en forma de publicidad, aunque esto no elimina la recolección implacable de datos personales y privados.

Luego, la organización debe educar a su personal para que conozcan el riesgo implícito que hay en las aplicaciones que descargan. Va en beneficio de la empresa que los usuarios cuenten con herramientas y entrenamiento para tomar mejores decisiones acerca de qué aplicaciones descargan y usan. Por ejemplo, enseñar a los empleados a cuestionarse acerca de los permisos que piden las aplicaciones. Hay muchas que quieren acceder a la ubicación, los contactos o la cámara y no es necesario que el usuario diga «Sí» a todos estos permisos. Muchas aplicaciones funcionan bien si la petición de acceso a esos datos se niega y alertan cuando el permiso es necesario de verdad. Si una aplicación pide un permiso que a todas luces no es necesario para que cumplan con su función, hay que estar alerta porque es un signo de que se quiere acceder a datos de manera oculta.

Por último, todas estas áreas se pueden abordar con una buena solución de seguridad móvil. Cualquier empresa sin una solución móvil de protección contra amenazas es, por definición, inconsciente de qué información se está filtrando y por dónde, y no puede hacer frente a los riesgos que existen en su entorno. Por lo tanto, es imperativo que toda compañía incluya la protección contra amenazas móviles como parte de su estrategia de seguridad general. Así conseguirá proteger la privacidad de los empleados y los datos de la empresa de la amenaza cada vez mayor de la vigilancia móvil y la recopilación de datos.

El BYOD es un peligro en según qué manos

Cabe resaltar que todo lo que aquí hemos dicho es lo que se cuenta en el artículo de TechCrunch. Sin embargo, hay que señalar que la mayoría de las cosas son aplicables en empresas que tienen la política de BYOD: Bring Your Own Device o «trae tu propio dispositivo». Es decir, que por comodidad o por conveniencia, se permite que sea el empleado el que haga uso de su propio celular o su propia tablet para tareas del trabajo.

La solución más directa y que evita más problemas es que la empresa sea la que provea del dispositivo al empleado, limitando los permisos acerca de lo que puede hacer o no en su sesión, tal y como se hace en la mayoría de casos con las computadoras de escritorio.

Sin embargo, hay que reconocer que esto, hoy en día, con tantos servicios exteriorizados y tanto personal que trabaja a distancia, esto puede ser un poco oneroso o complicado. Incluso el trabajador puede preferir usar sus propios equipos. Aquí es donde la empresa debe tomar la decisión que más se adecúe a sus necesidades, pero sin duda todo lo propuesto en TechCrunch también se hace aplicable en este caso, aunque con limitaciones para precisamente no traspasar la frontera de la privacidad de los empleados.

En cualquier caso, toda compañía debe siempre apostar por formar a sus trabajadores en este terreno de la seguridad. Como se ha dicho, es algo que repercute en su propio beneficio y que reduce el riesgo de filtraciones de información.