Perfiles maliciosos: una de las amenazas más peligrosas para los dispositivos móviles

Los perfiles de configuración se utilizan en los operadores de telefonía móvil, las soluciones de administración de dispositivos móviles (MDM) y las aplicaciones móviles para configurar los ajustes a nivel de sistema en los dispositivos Apple. Algunos usos comunes de los perfiles de configuración incluyen la configuración de:

• Conexiones de red Wi-Fi
• Parámetros protegidos para los servicios VPN
• Acceso al servicio de correo electrónico profesional
• Nombre del punto de acceso (APN) para la conectividad celular
• Fortalecimiento de las configuraciones para proteger los endpoints
• Administración y cumplimiento de la normativa

Lo anterior representa solo una pequeña muestra de las razones por las que los administradores de IT confían en los perfiles de configuración cuando administran endpoints. Sin embargo, como ocurre con cualquier herramienta que ofrece beneficios mediante un uso legítimo, cuando los actores de amenazas las utilizan por las razones equivocadas, pueden aprovecharse para burlar el modelo de seguridad de Apple y poner en peligro el dispositivo de la víctima mediante el uso malintencionado de los perfiles.

Las amenazas comunes, como las vulnerabilidades descubiertas en el sistema operativo y las apps, permiten a menudo a los atacantes eludir las restricciones de acceso previstas, extendiéndose además a la persistencia mediante la instalación de perfiles de configuración incorrectos. Un poco más adelante hablaremos de las implicaciones de esta creciente amenaza para los dispositivos móviles, reconocida por la industria, y daremos ejemplos de ataques observados en entornos de internet no regulados. En primer lugar, profundicemos en la anatomía y el impacto que puede tener un ataque con perfiles instalados de forma malintencionada en la defensa contra amenazas para dispositivos móviles.

¿Cómo pueden instalarse en los dispositivos perfiles de forma maliciosa?

Los perfiles de configuración pueden instalarse de varias maneras. Un ejemplo es la creación de un archivo de configuración basado en iOS que contenga una autoridad de certificación (CA) y una configuración de túnel VPN.

La distribución de perfiles de configuración no está estrictamente controlada, por lo que es trivial para los atacantes crear un enlace a la carga maliciosa y animar a sus víctimas —a través de un ataque de phishing, por ejemplo— a hacer clic en él para poner en marcha la instalación. A menudo, estos ataques se vinculan con la ingeniería social para atraer a la víctima y que acepte la solicitud de instalación, engañándola para que corrija un problema de seguridad que afecta a su dispositivo o prometiéndole el acceso a algo valioso.

Otro ejemplo que implica la distribución maliciosa de perfiles se lleva a cabo a través de otro vector de ataque: un ataque Man-in-the-Middle (hombre en el medio, MitM). Los ataques MitM tienen lugar a través de una conexión Wi-Fi en la que el atacante se interpone entre el dispositivo de la víctima e Internet, canalizando el tráfico de red a través de un punto de acceso falsificado. Una vez obtenido el acceso, el atacante es capaz de:

• Rastrear la actividad del usuario en Internet
• Husmear en los datos transmitidos y recibidos
• Manipular la navegación hacia hosts comprometidos
• Capturar credenciales para utilizarlas en ataques posteriores

Otros perfiles de ataque utilizan un servidor proxy o cambian la configuración de las APN para llevar a cabo los ataques, al mismo tiempo que enmascaran el tráfico malicioso operando a un nivel mucho más bajo del que suelen operar los ataques basados en redes conocidas (véase la figura siguiente).

¿Qué implicaciones tienen los perfiles maliciosos en sus dispositivos?

Bien, efectivamente significa que un perfil instalado de forma maliciosa no puede eliminarse por completo del dispositivo de la víctima; un dispositivo afectado permitiría que los ajustes del perfil de configuración persistieran, al igual que en los dispositivos propiedad de las empresas que han sido configurados para impedir la eliminación manual de los perfiles como medio para imponer el cumplimiento de los requisitos de la organización.

Como se mencionó anteriormente, los perfiles de configuración pueden contener ajustes de Wi-Fi, VPN, correo electrónico, calendario y restricción de contraseña, por nombrar algunos. Los perfiles maliciosos permiten a un atacante cambiar los ajustes existentes en un dispositivo, comprometiendo muchas medidas de seguridad, como los ajustes de fortalecimiento o la eficacia de la app de seguridad de endpoints. Esto no solo debilita la postura de seguridad del dispositivo, sino que puede contribuir a transgredir la privacidad del usuario y comprometer los datos empresariales al exponer todos los datos transportados. En esencia, otorga al atacante un amplio control sobre cualquier aspecto de un dispositivo afectado. Por ejemplo, un perfil podría configurar el dispositivo para utilizar una VPN maliciosa, proporcionando efectivamente al atacante acceso a todo el tráfico de red hacia y desde el dispositivo, incluyendo el redireccionamiento de peticiones desde servicios legítimos hacia páginas maliciosas.

En otro ejemplo, se instala un certificado raíz malicioso de terceros y se confía en él en el dispositivo de la víctima. Esto permite al atacante no solo inspeccionar el tráfico, sino también hacerse pasar por un sitio web seguro. También pueden elaborar un certificado para cualquier recurso y no se dará un aviso al usuario final sobre algún error de concordancia entre el dominio al que se accede y el certificado utilizado para verificar la configuración de seguridad.

Por si lo anterior no fuera suficientemente preocupante, una de las implicaciones más graves es algo que ya hemos mencionado al hablar de los ataques MitM. Verá, mediante la manipulación de certificados y perfiles, los actores de amenazas pueden lograr la persistencia haciendo que el dispositivo confíe implícitamente en el atacante. Hacerlo así mantiene la puerta abierta para que se produzcan futuros ataques (es decir, persistencia) sin siquiera consultar de nuevo al usuario después de que el dispositivo se vea comprometido inicialmente.

Cómo proteger sus dispositivos de perfiles maliciosos

Apple incorpora protecciones de seguridad y privacidad en su hardware y software de forma intrínseca para que este tipo de ataques sean más difíciles de ejecutar con éxito. A pesar de minimizar el riesgo que representan estos ataques, siguen produciéndose.

Los usuarios tienden a apresurarse a través de los diálogos de configuración que se interponen en su camino cuando intentan acceder a Internet gratis y a menudo acaban pasando por alto las señales de advertencia en un esfuerzo por reducir cualquier interrupción del servicio de red. Por ello, le recomendamos los siguientes pasos para proteger de forma integral su flota de dispositivos móviles corporativos:

• Implemente la mejor solución de defensa frente a amenazas en dispositivos móviles para alertarles y protegerles de amenazas, como perfiles maliciosos, apps sospechosas o comportamientos arriesgados de los usuarios.
• Asegúrese de que su solución de seguridad monitoree activamente los endpoints. Tener visibilidad de la telemetría de la salud del dispositivo en tiempo real permite a IT advertir cualquier sistema operativo obsoleto o vulnerabilidades conocidas.
• Implemente protecciones de seguridad basadas en la red para identificar y filtrar el contenido basado en la web con el fin de evitar el acceso a URL de phishing de día cero. Una vez instalada esta protección, aunque los usuarios hagan clic en enlaces maliciosos, las cargas útiles se bloquean y los usuarios son redirigidos a páginas informativas que explican la amenaza.
• Integre la seguridad de los endpoints con su solución MDM para tomar el control del envío de parches críticos del sistema y actualizaciones de apps para mantener los endpoints en cumplimiento con la normativa.
• Automatice el aprovisionamiento de dispositivos y habilite la supervisión a través de los flujos de trabajo de Apple Business Manager (o Apple School Manager). Estas acciones permiten a IT implementar configuraciones de forma segura sin depender de las solicitudes de aprobación de los usuarios. Cualquier otra cosa podría ser un ataque potencial y debe ser denunciado inmediatamente.
• Si es necesario instalar perfiles fuera de banda o implementarlos fuera de la infraestructura MDM, los administradores deben firmar digitalmente y cifrar los perfiles de configuración tanto para validar su origen como para proteger la integridad de los datos.
• Como este ataque específico depende de la ingeniería social contra los usuarios, se ha demostrado que la capacitación continua de los usuarios minimiza el riesgo al educarlos sobre las amenazas de este tipo de amenaza.
• Realice auditorías periódicas del inventario de endpoints, prestando especial atención a los perfiles de configuración o a las apps instaladas que no se ajusten a los requisitos de cumplimiento de la organización.

Colaboración con la industria

La divulgación responsable es importante para nosotros en Jamf.

Los investigadores de la seguridad responsable anuncian las vulnerabilidades a los medios de comunicación o realizan presentaciones para divulgar sus hallazgos después de informar a los desarrolladores de un sistema operativo o app afectados. A menudo, esto significa trabajar con los desarrolladores, incluso proporcionándoles el tiempo de espera necesario para solucionar el problema.

Esto se hace para minimizar cualquier ventana de tiempo que los actores maliciosos puedan tener para empezar a explotar estas vulnerabilidades antes de que se disponga de una solución. Al fin y al cabo, los desarrolladores tardan mucho más tiempo en solucionar una vulnerabilidad que los actores de amenazas en explotarla.

Cuando se trata de detectar vulnerabilidades, varios factores motivan a las organizaciones y a las personas a encontrarlas y solucionarlas. A menudo, lo hacen por dinero o para participar en recompensas por errores (bug bounties). Algunas empresas ofrecen una recompensa por errores para animar a los investigadores a encontrar dichos errores y recompensarles con un pago generoso y acreditar los hallazgos corroborados a estas personas. A pesar de tener a tantos investigadores y desarrolladores trabajando en su plataforma para descubrir y corregir errores, Apple también cuenta con un programa de recompensas de seguridad que incentiva a terceros y a los buenos ciudadanos de Internet a compartir las vulnerabilidades encontradas en sus plataformas por el bien de toda la comunidad Apple.

Tanto si se ofrece una recompensa como si no, la colaboración en la industria es una forma crucial de encontrar y posteriormente parchar vulnerabilidades con rapidez, especialmente en plataformas tan ampliamente implementadas como macOS, iOS/iPadOS, apps nativas y servicios basados en la nube impulsados por Apple.