El teléfono móvil se ha convertido en una herramienta fundamental en los entornos de trabajo modernos, más aún con la evolución del trabajo remoto. En vista de los miles de millones de dispositivos móviles que hay en el planeta, y que ya superan significativamente en número a los ordenadores personales, no debería sorprender que hayan pasado a ser el vector de amenaza elegido por quienes intentan burlar las defensas corporativas.
El problema al que te enfrentas para proteger a tu organización de estos ataques es que, para la mayoría de las soluciones Zero Trust, el móvil suele quedar en segundo plano. La instalación y la gestión de estas soluciones a menudo son complicadas. Para más inri, solo funcionan en la capa de software, como en el caso de WARP, las aplicaciones móviles (y de escritorio) que conectan los dispositivos directamente a nuestra red Zero Trust. Además, a ello se suma la complicación adicional de las políticas empresariales que consisten en que los empleados utilicen sus dispositivos personales (BYOD), que cada vez utilizan más empleados. Estás tratando de implementar Zero Trust en un dispositivo que no es corporativo.
La solución a este problema resulta cada vez más difícil. Sin embargo, creemos que podemos ayudar.
¿Qué pasaría si las organizaciones pudieran ofrecer un trato a sus empleados que consistiera en sufragar las tarifas mensuales de datos si aceptaran que su tráfico relacionado con el trabajo se dirigiera a través de una red con seguridad Zero Trust incorporada? Y lo que es más, la instalación será muy sencilla. De hecho, para beneficiarte de esta ventaja, todo lo que tienes que hacer es escanear un código QR, que se incluirá en el material de incorporación del empleado, desde la cámara de tu teléfono.
Pues bien, ha llegado Cloudflare SIM, la primera SIM Zero Trust del mundo.
Al más puro estilo de Cloudflare, creemos que la combinación de la capa de software y la capa de red permite mejorar la seguridad, el rendimiento y la fiabilidad. Con la tarjeta SIM, este objeto esencial, y (no tan) corriente de la tecnología que sustenta todos los dispositivos móviles, pretendemos garantizar un nivel de seguridad (y rendimiento) sin precedentes al mundo móvil.
La amenaza a los dispositivos móviles es cada vez mayor
Cuando decimos que el móvil es el nuevo vector de amenaza, hablamos con conocimiento de causa. El mes pasado, Cloudflare fue una de las 130 empresas que fueron objeto de un sofisticado ataque de phishing. El teléfono móvil fue el eje del ataque. Los empleados recibieron inicialmente un SMS, y el ataque se basó en gran medida en poner en riesgo los códigos de autenticación en dos fases (2FA).
Por lo que sabemos, fuimos la única empresa que no se vio expuesta.
Gran parte de ello se debe a nuestros esfuerzos por promover una estrategia de protección multicapa Zero Trust. Entendemos lo fundamental que es el móvil para el funcionamiento de las empresas hoy día, por eso hemos trabajado duro para reforzar las defensas Zero Trust en este ámbito. Y así es como pensamos en la SIM Zero Trust, una capa de defensa adicional en un nivel diferente de la pila, que complica la misión de aquellos que intentan infiltrarse en tu organización. Con la SIM Zero Trust, consigues las ventajas de:
- Evitar que los empleados visiten sitios de phishing y malware. Las solicitudes de DNS que salen del dispositivo pueden utilizar de forma automática e implícita Cloudflare Gateway para el filtrado de DNS.
- Mitigar los ataques comunes a las SIM. Un enfoque basado en la eSIM nos permite evitar los ataques de intercambio o clonación de SIM. Por otro lado, bloquear las SIM en los dispositivos particulares de los empleados ofrece la misma protección a las SIM físicas.
- Permitir una conectividad privada, segura y basada en la identidad a los servicios en la nube, a la infraestructura local e incluso a otros dispositivos (piensa en conjuntos de dispositivos IoT) a través de Magic WAN. Cada SIM puede estar estrechamente vinculada a un empleado específico, y ser tratada como una señal de identidad junto con otras señales de postura del dispositivo compatible con WARP.
La integración de las capacidades de seguridad de Cloudflare a nivel de SIM permite a los equipos proteger mejor sus dispositivos móviles, especialmente en un mundo en el que el BYOD ha dejado de ser la excepción para convertirse en la norma.
Zero Trust funciona mejor cuando se basa en software y en los accesos
Más allá de todas las ventajas de seguridad que obtenemos para los dispositivos móviles, la SIM Zero Trust transforma el móvil en otro pilar de acceso a la plataforma Cloudflare One.
Cloudflare One ofrece un plano de control único y unificado. Permite a las organizaciones aplicar controles de seguridad en todo el tráfico que entra y sale de sus redes, dispositivos e infraestructura. Lo mismo ocurre con los registros. Quieres un solo lugar donde obtener tus registros y una ubicación para todos tus análisis de seguridad. Con Cloudflare SIM, el móvil es un medio más que permite que el tráfico pase por tu red corporativa.
Trabajar a nivel de acceso en lugar de a nivel de software tiene otra gran ventaja, ya que ofrece la flexibilidad de permitir que los dispositivos lleguen a servicios que no están en Internet, incluida la infraestructura de la nube, los centros de datos y las sucursales conectadas a Magic WAN, nuestra plataforma de red como servicio. De hecho, detrás de bambalinas, estamos utilizando los mismos fundamentos de redes de software que utilizan nuestros clientes para desarrollar la capa de conectividad en la SIM Zero Trust. Esto también nos permitirá admitir nuevas capacidades como Geneve, un nuevo protocolo de tunelización de redes, ampliando así aún más la forma en que los clientes pueden conectar su infraestructura a Cloudflare One.
Estamos siguiendo de cerca los desarrollos de la tecnología IoT SAFE (y los estándares paralelos no relacionados con IoT) que permiten que las tarjetas SIM se utilicen como raíz de confianza, lo que consolidará la asociación entre la SIM Zero Trust, la identidad del empleado y el potencial para actuar como un token de hardware de confianza.
Incorporación inmediata (y sencilla) de la seguridad Zero Trust en el móvil
Todos los proveedores de soluciones Zero Trust prometen protección para móviles. Pero, especialmente en el caso de dispositivos BYOD, conseguir que los empleados la incorporen no es tarea fácil. Para conseguir la integración en un dispositivo, hay que explorar la aplicación de Ajustes del teléfono, aceptar perfiles, confiar en certificados y (en la mayoría de los casos) se requiere una solución madura de administración de dispositivos móviles (MDM).
La instalación es complicada.
Ahora bien, no abogamos por la eliminación del software cliente en el teléfono más de lo que lo haríamos en el PC. Siempre es mejor contar con más capas de protección que quedarnos cortos. Además, sigue siendo necesario proteger las conexiones wifi que se establecen en el teléfono. Sin embargo, una de las grandes ventajas de Cloudflare SIM radica en que la plataforma Zero Trust de Cloudflare ofrece protección inmediata a los empleados de todo su tráfico móvil.
No solo queríamos simplificar la instalación en el dispositivo, sino también las cadenas de suministro de TI de las empresas.
Uno de los retos tradicionales de las tarjetas SIM es que han sido, hasta hace poco, tarjetas físicas. Una tarjeta que tienes que enviar por correo a los empleados (un riesgo en la cadena de suministro de los últimos tiempos), que se puede perder, robar y que puede fallar. La descentralización de los usuarios lo complica todo aún mas. Sabemos que, si bien la seguridad es fundamental, la que es difícil de implementar se suele hacer de forma desordenada, ad hoc y, a menudo, ni siquiera se implementa.
Sin embargo, en los últimos años, casi todos los teléfonos modernos que se comercializan hoy en día tienen una eSIM, o, más exactamente, una eUICC (tarjeta de circuito integrado universal incorporada), que se puede reprogramar dinámicamente. Esto es un gran avance, por dos razones principales:
- Se evitan todos los problemas logísticos de una SIM física (envío por correo, riesgos en la cadena de suministro, la instalación por parte de los usuarios).
- Puedes implementarlas de manera automática, ya sea a través de códigos QR, funciones de administración de dispositivos móviles (MDM) que están integradas en los móviles de hoy día, o mediante una aplicación (por ejemplo, nuestra aplicación móvil WARP).
Asimismo, estamos explorando la implementación de SIM físicas (como las anteriores). Aunque creemos que las eSIM son el futuro, especialmente por sus ventajas de implementación y seguridad, entendemos que el futuro no siempre está distribuido de forma uniforme. Trabajaremos para asegurarnos de que las SIM físicas que comercialicemos son lo más seguras posible, y compartiremos más información sobre su funcionamiento en los próximos meses.
Privacidad y transparencia para los empleados
Por supuesto, los empleados usan cada vez más sus propios dispositivos en el trabajo. Si bien las organizaciones quieren garantizar la seguridad de sus recursos corporativos, los usuarios también tienen problemas de privacidad cuando lo laboral y lo personal se mezclan en el mismo dispositivo. No quieres que tu jefe se entere de que estás interactuando en Tinder.
Debemos pensar bien en este enfoque desde la perspectiva de los usuarios y las organizaciones. Contamos con un sofisticado registro como parte de Cloudflare One, que se extenderá a Cloudflare SIM. En la actualidad, Cloudflare One se puede configurar explícitamente para que registre solo los recursos que bloquea, las amenazas de las que protege a los empleados, sin registrar todos los dominios visitados fuera de eso. Estamos trabajando para que esto sea lo más claro y transparente posible tanto para las organizaciones como para los usuarios, de modo que, al más puro estilo Cloudflare, la seguridad no vaya en detrimento de la privacidad.
¿Y después?
Como todos nuestros productos, estamos siendo los primeros en probarlo ("dogfooding", para los entendidos). Prestamos servicios a más del 30 % de las empresas de la lista Fortune 1000, por eso seguimos observando, y siendo el objetivo de ataques de ciberseguridad cada vez más sofisticados. Creemos que ejecutar el servicio primero es un paso importante para garantizar que la SIM Zero Trust sea segura y lo más fácil posible de implementar y gestionar entre miles de empleados.
También queremos incorporar la SIM Zero Trust a Internet de las cosas. Prácticamente todos los vehículos que se venden hoy tienen conectividad móvil. Un número creciente de terminales de pago tienen tarjetas SIM, así como un número cada vez mayor de dispositivos industriales en la fabricación y la logística. La seguridad de los dispositivos IoT está sometida a un nivel de control cada vez mayor, y garantizar que la única forma de conexión de un dispositivo sea segura, a través de las soluciones de protección Zero Trust de Cloudflare, puede evitar directamente que los dispositivos formen parte de la próxima gran botnet DDoS.
Vamos a ofrecer la SIM Zero Trust a los clientes a nivel regional mientras seguimos desarrollando nuestra conectividad regional en todo el mundo (si eres un operador, ponte en contacto con nosotros). Nos gustaría hablar sobre todo con organizaciones que no tienen ninguna solución para dispositivos móviles, o que tienen problemas para hacer que las cosas funcionen. Si te interesa, regístrate aquí.