El concepto de Gestión de Vulnerabilidades en Dispositivos Móviles (MDVM) aborda un problema crítico en la seguridad de identidades digitales, especialmente en sistemas de identificación electrónica de alto nivel como los basados en PIDs (Identificaciones Propias). La motivación principal surge de la necesidad de garantizar que las credenciales digitales emitidas estén protegidas contra ataques sofisticados y que la autenticación del usuario sea robusta. Esto es particularmente importante en el contexto de regulaciones como el Reglamento de Ejecución (UE) 2015/1502, que exige altos estándares de seguridad para la identificación electrónica.
En esencia, MDVM se centra en la protección de dos aspectos clave: la integridad del almacén de claves (key store) y el mecanismo de autenticación del usuario. El primer aspecto implica asegurar que las claves utilizadas para vincular una identidad digital a un dispositivo móvil no puedan ser duplicadas o manipuladas por atacantes con altos recursos. El segundo se refiere a proteger el proceso de autenticación del usuario, que típicamente involucra factores de posesión (algo que el usuario tiene, como el dispositivo móvil) y conocimiento (algo que el usuario sabe, como una contraseña o PIN). La seguridad de estos factores depende, en última instancia, de la seguridad del dispositivo móvil.
El desafío radica en que, a diferencia de los sistemas embebidos, la certificación y análisis de vulnerabilidades en dispositivos móviles (especialmente en el Hardware Keystore System - HKS y el sistema operativo) es difícil de obtener y mantener actualizada. Esto significa que siempre existe el riesgo de que vulnerabilidades desconocidas puedan ser explotadas para comprometer la autenticación.
MDVM proporciona una solución proactiva a este problema. No se trata de una certificación única, sino de un sistema continuo de monitoreo y gestión de vulnerabilidades. Esto se logra a través de cuatro funciones principales: verificación de la postura de seguridad del dispositivo y la aplicación, identificación de la clase del dispositivo, verificación de vulnerabilidades conocidas para esa clase de dispositivo y, finalmente, toma de decisiones sobre el uso del dispositivo y sus claves, impidiendo su uso si se detectan vulnerabilidades significativas. Para ello, se utilizan diversas fuentes de información, incluyendo la atestación de claves (KeyAttestation), PlayIntegrity, Device Check de iOS, bases de datos de claves de atestación filtradas (LPADB), bases de datos de vulnerabilidades de clases de dispositivos (DCVDB) y soluciones de protección de aplicaciones en tiempo de ejecución (RASP).
En resumen, MDVM es un mecanismo crucial para fortalecer la seguridad de las identidades digitales en dispositivos móviles, mitigando el riesgo de ataques al monitorear y responder a vulnerabilidades conocidas, y asegurando que solo los dispositivos seguros puedan utilizar claves protegidas.