[Editorial] Comprendiendo Samsung Knox Vault: protección de los datos que más importan

05-04-2021
Share open/close
Link copiado.

Publicado originalmente en Samsung INSIGHTS.

 

Hace ocho años, Samsung se ha propuesto la misión de proyectar los dispositivos móviles más confiables y seguros del mundo. Con la introducción de nuestra plataforma Samsung Knox en el MWC en 2013, hemos implementado los elementos clave de seguridad basada en hardware que ayudarían a defender los dispositivos móviles de Samsung y los datos de nuestros clientes contra las amenazas cibernéticas cada vez más sofisticadas.

 

Desde entonces, Samsung Knox se ha convertido en algo más que una plataforma de seguridad incorporada, ahora incluyendo un conjunto completo de herramientas de gestión móvil para administradores empresariales de TI. Pero nuestros planificadores de productos móviles, desarrolladores e ingenieros de seguridad se han mantenido enfocados en responder la pregunta principal: ¿cómo nos mantenemos un paso por delante de los hackers y conservamos a nuestros usuarios seguros en todo momento?

 

Samsung Knox Vault representa el último paso en esta jornada. Es la evolución lógica de algo en lo que hemos estado trabajando durante años: un entorno aislado, basado en hardware y altamente seguro para la información más crítica del dispositivo.

 

Para comprender qué es Samsung Knox Vault, primero repasemos una historia rápida de cómo el principio de aislamiento ha fortalecido la plataforma de seguridad móvil Knox de Samsung.

 

La evolución de la plataforma Samsung Knox

En los primeros días de Android, el enfoque principal ha sido desarrollar un sistema operativo móvil más abierto y flexible. La seguridad era lo último en tecnología para la época, heredada del mundo de Unix y de las computadoras centrales. Pero desde el principio, ha quedado claro que los teléfonos inteligentes son diferentes – son las computadoras más personales que nadie había construido.

 

Samsung se ha dado cuenta rápidamente de que teníamos que pensar más en el modelo de amenazas en un dispositivo tan personal – en particular, en cómo brindar protección adicional a información crítica, como claves privadas y certificados digitales. Ahí es donde ha surgido la idea de usar Trusted Execution Environments (TEE) en nuestros dispositivos móviles. Dentro de los procesadores ARM en nuestros teléfonos inteligentes Galaxy, hemos sido pioneros en el uso de protecciones basadas en TEE utilizando una función llamada TrustZone.

 

El objetivo de TrustZone es aislar el software que administra los datos más confidenciales del dispositivo: contraseñas, datos biométricos y claves criptográficas. La función lo hace ejecutando un sistema operativo diferente junto con Android. En este nuevo modelo, cuando es necesario verificar una contraseña o huella digital, Android ya no tiene acceso directo a sus datos. En cambio, Android debe solicitar una miniaplicación TrustZone para realizar el trabajo sensible en su nombre – como descifrar datos o verificar su huella digital. Con TrustZone, los datos criptográficos y biométricos confidenciales nunca se exponen al sistema operativo Android, tampoco a las aplicaciones públicas.

 

Incluso con malware altamente sofisticado, una violación exitosa de datos confidenciales requeriría mucho más que encontrar una vulnerabilidad conocida de Android y escribir un exploit: requeriría romper simultáneamente las protecciones TrustZone mucho más estrictas. Y dado que TrustZone es tan enfocado, es más fácil de proteger con pocas interfaces o “superficies” a las que apuntar. Todo esto hace que un ataque sea exponencialmente más difícil.

 

En general, TrustZone, combinado con otras capas de la plataforma Samsung Knox, como Real-Time Kernel Protection, ha establecido un nuevo punto de referencia para la seguridad de dispositivos basada en hardware. Pero para los ingenieros de Samsung, la seguridad es una pasión que bordea la obsesión, y comenzamos a mirar los TEEs y nos preguntamos: “¿Cómo podemos hacer que esto sea aún más seguro?”

 

Presentando Samsung Knox Vault

Es un hecho que cualquier CISO aceptará: el aislamiento aumenta la seguridad. TrustZone es independiente en su mayoríapero siguen existiendo superposiciones y recursos compartidos entre TrustZone y el sistema operativo Android. Fundamentalmente, comparten la CPU y memoria principales, lo que pone la responsabilidad en las protecciones de software de bajo nivel para mantener la información aislada. Cuanto más separemos los datos confidenciales del sistema operativo principal, más protegidos estarán en caso de una infracción. Después de todo, usted es tan seguro como su enlace más débil.

 

Aquí es donde entra Samsung Knox Vault: una combinación de hardware específico de seguridad (un nuevo procesador seguro y una memoria segura aislada) y un nuevo software integrado que protege sus datos más seguros del sistema operativo Android y las aplicaciones.

 

 

A mi modo de ver, TrustZone era una gran caja fuerte en medio de la sucursal de su banco. Hay muchas personas en las que usted no confía necesariamente, y están caminando junto a la caja fuerte, y realizando el trabajo diario que no requiere acceso físico a ella. El procesador seguro en Samsung Knox Vault se parece más a Fort Knox: una caja fuerte ubicada de forma segura lejos del banco, aislada de cualquiera que entre en la sucursal.

 

Con Samsung Knox Vault, nos hemos centrado en diseñar un lugar seguro y altamente protegido para nuestro propio software de confianza. Su trabajo es únicamente administrar y proteger la información más crítica: PINs, contraseñas, datos biométricos, certificados digitales, claves criptográficas y otra información sensible.

 

Cómo el procesador seguro agrega protección

Samsung Knox Vault es la extensión natural de la seguridad basada en hardware que Samsung ha estado construyendo dentro de los teléfonos inteligentes Galaxy. Nuestros ingenieros han considerado el problema de mejorar la seguridad como un tema de confianza: ¿En qué partes del sistema debe confiarse? Entonces: ¿Cómo podemos reducir la cantidad de cosas en las que confiamos para no tener que preocuparnos de que esas piezas se vean comprometidas? Esa línea de preguntas nos llevó a Samsung Knox Vault y sus componentes clave, como el procesador seguro.

 

Samsung Knox Vault amplía la protección que ofrece TrustZone. El procesador seguro funciona independientemente de la CPU principal que ejecuta el sistema operativo Android, mejorando aún más nuestra postura de seguridad y minimizando los componentes compartidos para mitigar los posibles vectores de ataque.

 

Los vectores de ataque basados en software no son los únicos vectores que analizamos. Samsung también ha tomado en consideración los ataques “físicos” a su teléfono inteligente. Estos son ataques sofisticados de alguien que tiene posesión física de su teléfono y quiere descubrir los secretos que contiene. Cuando alguien intenta manipular los dispositivos electrónicos del teléfono directamente – por ejemplo, mediante luz láser o inyección de falla electromagnética – la información segura en la bóveda puede autodestruirse y evitar el acceso.

 

Para muchos de nuestros clientes, estos tipos de ataques físicos pueden parecer inverosímiles. Existe la percepción de que los teléfonos inteligentes son robados porque su hardware es rentable, no porque tengan información increíblemente importante almacenada. Pero ahora más personas almacenan información muy valiosa en sus teléfonos inteligentes – no solo datos corporativos confidenciales, sino también su billetera Blockchain y administradores de contraseñas. En particular, para nuestros clientes empresariales o gubernamentales que son responsables de proteger información confidencial financiera, de atención médica o incluso de defensa clasificada, los ataques físicos avanzados son una seria preocupación.

 

Estamos comprometidos a no dejar piedra sin remover para mitigar los riesgos de seguridad, incluidos estos casos extremos críticos. Básicamente, la seguridad física de Samsung Knox Vault le brinda otra capa de protección, por lo que incluso los hackers que obtienen la posesión física del dispositivo no pueden acceder a la información almacenada en su interior.

 

Los clientes de Samsung han confiado en nosotros para trabajar constantemente a fines de mejorar la seguridad de nuestro hardware y nuestro software, y estamos agradecidos por esa confianza. Samsung Knox Vault, que se integra por primera vez a nuestra nueva línea Galaxy S21 5G, muestra nuestro compromiso de brindar el más alto nivel de seguridad para sus dispositivos móviles y los datos más confidenciales.

 

¿Dónde está su empresa en la curva de madurez móvil? Realice esta breve evaluación gratuita para ver cómo se acumula su enfoque de seguridad móvil. O lea más sobre cómo Samsung Knox protege sus dispositivos.

 

Autor: David Thomson

David Thomson es un experto en seguridad que ha comenzado su carrera trabajando en contratos del Departamento de Defensa. Sus proyectos se han centrado en datos clasificados protegidos en estaciones de trabajo y dispositivos de red basados en Linux. Llegó a Samsung Research America en 2013 como ingeniero de seguridad y ayudó a llevar las protecciones Security Enhanced Linux (SELinux) al sistema operativo Android. Desde entonces, ha trabajado como Gerente de Producto para la plataforma de seguridad principal de Knox y ahora apoya el software Knox y al equipo de ventas de soporte en Samsung Electronics America.

 

Productos > Celulares y accesorios

Editoriales > Editoriales

Para cualquier tema relacionado con servicio al cliente, por favor ingresar a samsung.com/ar/support para recibir asistencia.
Para cualquier pedido relevante a medios, por favor contactar a prensa@samsungargentina.com.

Consultá las últimas noticias de Samsung

Ver más
Ir arriba