La Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) publicó recientemente publicó recomendaciones detalladas de seguridad móvil para proteger a "individuos altamente seleccionados", incluidos altos funcionarios gubernamentales y políticos, después de que se descubrieran ataques generalizados a redes de telecomunicaciones estadounidenses por parte de atacantes patrocinados por el Estado chino.

Estos ataques, relacionados con el grupo de piratas informáticos "Salt Typhoon", fueron verificados posteriormente por la CISA y el FBI y muestran un esfuerzo de espionaje por parte de la República Popular China (RPC). Las filtraciones permitieron probablemente el robo de información, incluidos registros de llamadas de clientes y datos relativos a solicitudes de la policía estadounidense. En respuesta a esto, las nuevas directrices de CISA pretenden reforzar la seguridad de las comunicaciones móviles desde la perspectiva del usuario y de la plataforma para ayudar a evitar que los usuarios sean explotados en el futuro por los mismos malos actores.

Conclusiones

En términos más generales, CISA sugiere utilizar herramientas de autenticación resistentes al phishing, abandonar la MFA basada en SMS, utilizar gestores de contraseñas con regularidad, actualizar el software, etc. Otra medida adicional recomendada es el cifrado, utilizando el cifrado de extremo a extremo (E2EE) para los mensajes personales. CISA señala plataformas de mensajería como Signal, que ofrecen E2EE multiplataforma (es decir, los mensajes no pueden leerse en caso de interceptación).

En iPhone específicamente, CISA recomienda "Lockdown Mode," "Turning Off SMS," "Using Apple iCloud Private Relay," y "Limiting App Permissions." Los usuarios de Android sólo deben utilizar teléfonos de fabricantes con una sólida reputación de seguridad, establecer configuraciones DNS privadas y utilizar Rich Communication Services si están habilitados para E2EE.

Durante una rueda de prensa, Jeff Greene, Subdirector Ejecutivo de Ciberseguridad de CISA, destacó el cifrado. "El cifrado es tu aliado", dijo Greene, señalando cómo el cifrado protege la información del adversario. Destacó que la E2EE debe implantarse lo antes posible para protegerse de futuros ataques.

La brecha de Salt Typhoon ilustra una vez más la naturaleza global de los obstáculos a la ciberseguridad. Hace tiempo que se culpa a los hackers estatales chinos de invadir las infraestructuras críticas estadounidenses, pero la última brecha en las telecomunicaciones refleja un objetivo en constante avance. No se trata sólo de un consejo de la CISA ante tales ataques, sino también de una advertencia contra futuros ataques que podrían implicar las mismas tácticas. Greene habló de trabajar con las naciones aliadas y el sector privado para mejorar las defensas internacionales y evitar que los ataques socaven la democracia o los servicios críticos.

La posición del FBI sobre la encriptación tiene un historial de controversias. En el pasado, el departamento había denunciado que E2EE permitía que los delitos pasaran desapercibidos y, en su lugar, pedía una "encriptación responsable" que permitiera la entrada de la policía en caso necesario. En respuesta a esta división, Greene dijo que no podía hablar en nombre del FBI, pero que CISA sigue queriendo asegurar las comunicaciones mediante E2EE.

Este consejo llega cuando aumenta la preocupación general por los ataques de la RPC contra las infraestructuras críticas de Estados Unidos. Las recomendaciones de la CISA no sólo se refieren a la información personal, sino también a las implicaciones más amplias de la seguridad nacional. 

Los dispositivos móviles han pasado a utilizarse en campañas, proyectos gubernamentales y negociaciones mundiales, por lo que son el blanco propicio para los delincuentes. Como se señaló en la sesión informativa, los hackers pueden acabar interfiriendo en los procesos gubernamentales o en decisiones estratégicas. Por eso es tan importante que los usuarios de alto valor consideren la seguridad móvil no como una preocupación personal, sino como parte de la protección de intereses aún más amplios.

El panorama general de la campaña

Greene consideró la campaña Salt Typhoon como parte de una tendencia de espionaje más que como un episodio singular. Una segunda vertiente de las sugerencias del CISA consiste en reconocer que la actual infraestructura de telecomunicaciones es inadecuada. Aunque los ataques de Salt Typhoon revelaron una laguna en las redes de los operadores, Greene insistió en que se trataba de la participación activa de los usuarios finales. 

Los funcionarios federales reconocen que, mientras no se produzcan cambios sistémicos que mejoren la seguridad de las telecomunicaciones, los usuarios tienen que adquirir hábitos arraigados. Esta escalada hacia la responsabilidad del individuo en la seguridad de las comunicaciones refleja la realidad cada vez más evidente de que la ciberseguridad es un esfuerzo tanto de los proveedores de infraestructuras como de los usuarios finales. La planificación estratégica a largo plazo frente a estas amenazas es imprescindible, insistió.

Aunque las recientes recomendaciones abordan acciones muy específicas de los usuarios, las directrices de CISA deberían ser una llamada de atención para las organizaciones y todos los usuarios. Los ciberataques que afectan a dispositivos móviles y operadores serán cada vez más complejos e incluso de naturaleza más internacional, por lo que todo el mundo debería tomar precauciones adicionales. La mayoría de estas estrategias -el cifrado, por ejemplo, y la autenticación a prueba de phishing- funcionan contra todo tipo de amenazas, desde el robo de identidad hasta el espionaje corporativo, según los expertos en ciberseguridad.

La seguridad móvil es la suma de sus partes: Dispositivos, redes y aplicaciones

Las recomendaciones de CISA proporcionan una guía inestimable para que los objetivos de alto valor reduzcan el riesgo de ciberataques, estableciendo un estándar global para la seguridad móvil. Sin embargo, estas medidas se centran principalmente en los dispositivos y los hábitos de los usuarios, dejando desprotegida una parte crucial del ecosistema móvil: las aplicaciones.

Las aplicaciones móviles están en el centro de la comunicación y la productividad modernas, pero pueden convertirse en objetivos principales de los atacantes si los desarrolladores no las protegen. Sin una protección robusta, las aplicaciones corren el riesgo de exponer datos confidenciales o incluso de permitir brechas más amplias en sistemas críticos.

Verimatrix XTD cubre este vacío crítico proporcionando protecciones multicapa que defienden las aplicaciones frente a las amenazas avanzadas. Al detener ataques como ingeniería inversa, el reempaquetadoy la manipulación de dispositivos, Verimatrix XTD complementa y amplía las recomendaciones de CISA, garantizando que la seguridad móvil sea tan completa como los retos a los que se enfrenta.