Guillem Alsina Gonzàlez
La Cybersecurity and Infrastructure Security Agency (CISA), agencia gubernamental estadounidense que forma parte del Departamento de Seguridad Nacional de los Estados Unidos y se dedica a la ciberseguridad y a la protección de infraestructuras digitales críticas, ha publicado una guía de las mejores prácticas para proteger las comunicaciones móviles frente a amenazas cibernéticas, destacando en particular las acciones atribuidas a actores afiliados al gobierno de la República Popular China (PRC).
Dichas actividades han resultado en el acceso no autorizado a registros de llamadas y la interceptación de comunicaciones privadas de un grupo reducido de personas altamente específicas, aunque la guía sirve de propósito general para cualquier persona que desee asegurar más su smartphone, y es especialmente útil en entornos corporativos, más sujetos a sufrir ataques de ransomware, por ejemplo, aunque también contra el espionaje.
La guía enfatiza la necesidad de proteger las comunicaciones sensibles, especialmente para individuos en posiciones de alto nivel político o gubernamental, debido al interés que estas figuras generan en los actores maliciosos.
Recomendaciones generales para la protección móvil
Entre las medidas sugeridas, la CISA destaca el uso de aplicaciones de mensajería con cifrado de extremo a extremo como Signal, que ofrecen interoperabilidad entre dispositivos iOS y Android y funcionalidades adicionales como mensajes autodestructivos. Este tipo de herramientas garantiza una protección más robusta contra la manipulación o interceptación de mensajes.
Asimismo, se recomienda migrar hacia autenticación FIDO resistente al phishing, utilizando dispositivos como Yubico o Google Titan. Este método proporciona un nivel de seguridad superior frente a las técnicas tradicionales de manipulación, como el phishing o el secuestro de cuentas. Para aquellos que utilicen servicios de Google, la inscripción en el programa Advanced Protection les permite reforzar aún más su seguridad.
Otra recomendación clave es evitar el uso de métodos de autenticación basados en SMS, debido a sus vulnerabilidades inherentes. En su lugar, se sugiere emplear aplicaciones autenticadoras como Microsoft Authenticator o Google Authenticator, aunque la CISA subraya que sólo la autenticación FIDO ofrece una protección realmente resistente al phishing.
Hardware y actualizaciones: pilares de la seguridad
La guía también resalta la importancia de mantener actualizados tanto los sistemas operativos como las aplicaciones de los dispositivos móviles, habilitando las actualizaciones automáticas siempre que sea posible. El uso del hardware más reciente, que incorpora características avanzadas de seguridad, también es esencial para maximizar la protección contra actores maliciosos.
Por otro lado, la CISA desaconseja el uso de redes privadas virtuales (VPN) personales, ya que pueden incrementar la superficie de ataque y exponer a los usuarios a riesgos adicionales. En su lugar, se priorizan soluciones organizativas específicas que ofrezcan mayor control y seguridad.
Medidas específicas para iOS y Android
La guía detalla recomendaciones particulares para usuarios de iPhone, como habilitar el Modo de Bloqueo, que reduce significativamente el riesgo de explotación al limitar funciones potencialmente vulnerables. También se aconseja revisar los permisos de las aplicaciones y habilitar servicios como Apple iCloud Private Relay para proteger consultas DNS y enmascarar direcciones IP.
Por su parte, los usuarios de Android deben optar por dispositivos que ofrezcan actualizaciones de seguridad regulares y características de seguridad a nivel de hardware. También se resalta el uso de servicios DNS cifrados y la activación de protecciones avanzadas en navegadores como Google Chrome.
Estas recomendaciones reflejan la necesidad de adoptar un enfoque integral que combine tecnología avanzada, actualización constante y buenas prácticas en el manejo de datos y dispositivos. Para individuos en roles altamente expuestos, implementar estas medidas es crucial para mitigar los riesgos asociados a las amenazas cibernéticas modernas.
