Es hora de revisar la seguridad de las aplicaciones de mensajería

La mayoría de las organizaciones no tienen una política formal sobre cómo se permite el uso de las aplicaciones de mensajería, pero a raíz de una decisión reciente tomada por el administrador principal de la Cámara de Representantes de los EE. UU., seguramente quieran reconsiderarlo.

Un memorándum enviado la semana pasada informó al personal del Congreso de que el servicio de mensajería WhatsApp ha sido prohibido en todos los dispositivos de la Cámara de Representantes de los Estados Unidos. El aviso decía que «la Oficina de Ciberseguridad ha considerado que usar WhatsApp supone un alto riesgo para los usuarios debido a la falta de transparencia en la forma en que protege los datos de los usuarios, la ausencia de cifrado de datos almacenados y los posibles riesgos de seguridad relacionados con su uso».

El memorándum no explica qué significa realmente la falta de transparencia, pero a principios de este año un funcionario de WhatsApp dijo que la empresa israelí de spyware Paragon Solutions había apuntado a su base de usuarios, que incluye a muchos funcionarios gubernamentales. En cambio, el memorándum recomienda utilizar otras aplicaciones de mensajería, incluidas Microsoft Teams, Apple FaceTime y Signal.

No está claro hasta qué punto se están utilizando estas y otras aplicaciones, como Discord, en los entornos corporativos, pero muchos usuarios finales asumen que hay un nivel de seguridad que podría no ser tan robusto como creen.

Posibles preocupaciones y vulnerabilidades de seguridad

El spyware en un teléfono móvil puede monitorizar y recopilar en secreto información sobre las actividades del usuario sin que este lo sepa, incluyendo el seguimiento del historial de llamadas, mensajes de texto, ubicación y actividad de navegación, además de grabar tanto audio como vídeo. Se puede instalar a través de aplicaciones maliciosas, enlaces de phishing o aprovechando las vulnerabilidades del sistema operativo de un dispositivo móvil.

Incluso ahora es posible explotar componentes integrados del navegador y mecanismos de análisis de URL para ejecutar código remoto sin requerir ninguna interacción del usuario más allá de recibir el mensaje, según una investigación reciente compartida por el instituto DARKNAVY.

Igual de preocupante es que resulte relativamente fácil para los usuarios finales de estas aplicaciones revelar sin darse cuenta datos confidenciales, como la ahora infame invitación a un chat de Signal que algunos funcionarios del Departamento de Defensa (DoD) enviaron por error a un periodista.

Eduque a los líderes empresariales sobre los riesgos

Por supuesto, los equipos de ciberseguridad han estado advirtiendo sobre los peligros de la informática en la sombra desde que se tiene memoria. Sin embargo, nunca ha sido tan sencillo como hoy en día para los usuarios finales configurar chats grupales en cualquier cantidad de servicios, algunos de los cuales ni siquiera están cifrados.

Más allá de prohibir el uso de estas aplicaciones para discutir cualquier asunto relacionado con la empresa, no parece que haya mucho que los líderes en ciberseguridad puedan hacer para mitigar el riesgo que estas aplicaciones presentan. Muchos de los usuarios más ávidos de estas aplicaciones son los altos directivos de la organización. Pero eso no significa que los equipos de ciberseguridad deban rendirse y mirar hacia otro lado.

La educación aún puede ser una herramienta eficaz. Los profesionales de la ciberseguridad deben asegurarse de informar a los ejecutivos de la empresa cada vez que haya un incidente importante de ciberseguridad que involucre una aplicación de mensajería. La verdad es que muchas de estas conversaciones que tienen lugar en aplicaciones de mensajería serían algo más seguras en las plataformas de correo electrónico, las cuales ya han hecho más seguras los equipos de ciberseguridad invirtiendo una cantidad significativa de tiempo y esfuerzo.

En última instancia, los profesionales de la ciberseguridad solo pueden hacer hasta cierto punto para proteger a los usuarios finales de sí mismos. Sin embargo, lo único de lo que tal vez quieran asegurarse es de predicar con el ejemplo. Después de todo, muchos de los usuarios finales de los servicios de mensajería también son profesionales de la ciberseguridad que deberían saberlo mejor.