Según las estadísticas, hay casi 6.600 millones de usuarios de smartphones en el mundo, casi el 83% de la población total de la Tierra. La revolución en el mundo de los dispositivos móviles ha llevado a que el teléfono haya perdido su función principal de hacer llamadas y se haya convertido en una herramienta de entretenimiento, estudio, negocios y mucho más.
Todas estas funciones son posibles gracias a las aplicaciones móviles disponibles en tiendas especializadas como Apple Store o Google Play, así como en tiendas no oficiales.
La popularidad de las aplicaciones móviles crece de año en año. En 2020 se realizaron más de 218.000 millones de descargas. Se prevé que las descargas de aplicaciones superarán los 285.000 millones a finales de 2022.
El número de aplicaciones móviles en las tiendas también es enorme. Cada mes se lanzan unas 100.000 aplicaciones para Google Play y 35.000 para Apple Store.
Naturalmente, las tecnologías de la información utilizadas a una escala tan masiva atraen a muchos ciberestafadores. Su objetivo son los datos almacenados en los teléfonos, que pueden ser tanto personales (fotos, documentos, datos de tarjetas bancarias) como laborales. La filtración de dicha información puede ser extremadamente desagradable para su propietario.
Hoy en día, los atacantes pueden olvidarse de utilizar complejas campañas de ingeniería social y otras técnicas para robar información. Todo es muy sencillo. Sólo hay que crear una aplicación falsa que se haga pasar por la real y realice acciones maliciosas. Este tipo de programas no sólo se dedican al robo de datos. También hay muchas aplicaciones de minería de criptomonedas, aplicaciones de fraude publicitario, aplicaciones de seguimiento, etc.
Además de las aplicaciones falsas, hay otra forma de engañar a los usuarios. Los estafadores crean una aplicación «legítima» que roba la información necesaria entre bastidores y la transfiere a sus servidores.
Sí, claro, los ingenieros de Google Play y de Apple Store no se quedan mirando con indiferencia lo que ocurre. Luchan activamente contra este tipo de programas. Todas las aplicaciones se comprueban en modo manual y automático antes de su publicación y periódicamente después de ella. Pero esto no es suficiente para mantener a raya todas las aplicaciones fraudulentas.
Las principales formas de crear aplicaciones falsas
Imitación de programas populares
Cuanto más popular sea la aplicación, más versiones falsas se crearán. Al aplicar este método, se hace hincapié en la psicología humana. Muchas personas quieren seguir las tendencias y tener las aplicaciones más populares en sus teléfonos.
Los estafadores crean clones de programas populares pero con funciones «secundarias» adicionales, como la interceptación de los datos de texto y de la tarjeta bancaria introducidos, la realización de capturas de pantalla, etc. Visualmente, estas aplicaciones no se diferencian de las legítimas. Tienen los mismos iconos, nombres, e incluso el nombre del fabricante puede parecerse al real.
Además, incluso una tienda de aplicaciones puede ser falsificada. Por ejemplo, hace varios años se descubrió una copia falsa de la tienda Google Play.
Los atacantes no se limitan a las aplicaciones súper populares como WhatsApp y otras. Los ciberdelincuentes siguen las tendencias y las noticias. La popularidad de las criptodivisas está creciendo, por lo que se pueden encontrar aplicaciones que se hacen pasar por conocidas bolsas de criptodivisas. Apareció COVID-19, y las aplicaciones falsas para «combatir enfermedades» no han tardado en aparecer. Los grandes acontecimientos culturales o políticos que se avecinan o se celebran también son motivos para lanzar nuevos programas falsos.
Imitación de aplicaciones prohibidas
No es ningún secreto que en muchos países, por diversos motivos (políticos, religiosos, éticos, etc.), determinadas aplicaciones están prohibidas. Facebook está bloqueado en Rusia, TikTok está bloqueado en la India. Los estafadores falsifican una aplicación prohibida y la publican en una tienda con un nombre similar y la seguridad de que realmente funciona como la original. Tras la prohibición de TikTok en la India, la aplicación TikTok Pro apareció rápidamente. La ofrecía un desarrollador diferente y tenía funciones completamente distintas.
Los atacantes se basan en factores psicológicos. Muchos usuarios quieren tener algo que sea popular en todo el mundo. Para ello, están dispuestos a instalar aplicaciones de cualquier fuente, sin dejarse desconcertar por los problemas de seguridad.
Descargas externas
Las aplicaciones se pueden instalar no sólo desde la tienda oficial, sino desde cualquier sitio. Sólo hay que descargar un archivo de un formato determinado y utilizarlo para la instalación. Este método está disponible tanto para teléfonos Android como para iOS. Y aquí, los atacantes tienen mucho margen de acción. Las tiendas de aplicaciones comprueban regularmente las aplicaciones que se añaden a ellas, pero los propietarios del sitio no lo hacen.
La necesidad de realizar descargas «no oficiales» está motivada por factores como la prohibición de aplicaciones de categorías específicas (casino, pornografía, etc.), la actividad de marketing («nuestra aplicación está a punto de aparecer en la tienda, pero aún no ha pasado todos los trámites pertinentes, sé el primero en probarla y gana premios»), y algunos otros.
Los piratas informáticos también pueden atacar sitios legítimos para sustituir aplicaciones seguras por otras maliciosas o crear copias falsas de sitios legítimos y cargar allí programas peligrosos.
Amenazas de las aplicaciones legítimas
Aplicaciones legítimas con actividad ilegítima
Otra forma de engañar a los usuarios es crear una aplicación legítima que comienza a realizar su actividad no deseada después de algún tiempo. Barcode Scanner es un buen ejemplo. Al principio se presentaba como una aplicación práctica para escanear códigos de barras y, de repente, empezó a mostrar anuncios de forma persistente.
Aprovechamiento de las vulnerabilidades
Las violaciones de datos causadas por los dispositivos móviles no siempre se deben a la instalación de un programa falso. Los atacantes pueden aprovechar las vulnerabilidades de las aplicaciones oficiales. Así, debido a un error en el código de la aplicación de Facebook, se filtraron los datos de 50 millones de usuarios.
La arquitectura de las aplicaciones no queda al margen de la atención de los malhechores. Los tipos de almacenamiento de datos, los algoritmos de encriptación, los protocolos de seguridad de la red… todo esto lo utilizan los hackers para perjudicar a los usuarios.
Las principales formas de protegerse contra las aplicaciones falsas
Cada usuario de un dispositivo móvil es responsable de su uso seguro y puede reducir la superficie de ataque. Para ello no es necesario tener conocimientos avanzados de seguridad de la información.
En primer lugar, es necesario recordar la regla principal: descargar aplicaciones sólo de las tiendas oficiales. Descargar aplicaciones o archivos de instalación de otras fuentes es muy arriesgado.
Al descargar una aplicación de la tienda oficial, hay que comprobar el fabricante, la calificación de la aplicación y el número de instalaciones. En caso de duda, los comentarios de los usuarios pueden proporcionar información adicional.
Para instalar la aplicación móvil oficial, puedes visitar la tienda utilizando el enlace de la página web del fabricante. De esta manera no tendrá que buscar una aplicación por su nombre, y se minimizará el riesgo de instalar una aplicación falsa.
Otra forma de verificar la legitimidad de la aplicación es ponerse en contacto con su fabricante y aclarar cualquier duda.
Debes evitar las aplicaciones que están prohibidas en tu país. Si detectas una aplicación de este tipo, en el 99,9% de los casos se trata de un programa falso.
Cuando instales nuevas apps, es necesario controlar los permisos solicitados. Por ejemplo, la calculadora no necesita acceder a las fotos o a los contactos. Además, es imprescindible revisar los permisos concedidos previamente con regularidad.
Siempre es bueno eliminar las aplicaciones que no se utilizan. Esto no sólo minimizará los riesgos de seguridad, sino que también despejará la memoria del teléfono.
No hay que olvidar las normas básicas de ciber higiene. Hay que establecer una contraseña en el teléfono. No se debe dejar el teléfono sin vigilancia en lugares públicos, ya que los atacantes pueden intentar instalar aplicaciones sin que uno lo sepa.
Es conveniente no conectarse a redes Wi-Fi públicas no protegidas. Pueden ser vigiladas por intrusos y los datos transmitidos entre el teléfono y el servidor pueden ser interceptados o modificados.
No olvides actualizar a tiempo las aplicaciones y el sistema operativo del dispositivo móvil.
Por último, se recomienda no hacer «jailbreak» ni «root» al dispositivo.
Recomendaciones para los desarrolladores de aplicaciones
Uno de los primeros pasos es implantar un sistema de gestión de la seguridad de la información. Esto le permitirá aplicar las mejores prácticas para proteger el entorno de desarrollo y la red corporativa, reducir la probabilidad de que se filtre el código fuente de la aplicación a través de diversos canales de comunicación, etc.
Otro paso debería ser aplicar los principios de DevSecOps. Esto minimizará el número de errores y vulnerabilidades en las etapas de diseño y desarrollo.
Los desarrolladores de aplicaciones deben formarse continuamente y seguir las tendencias de las ciberamenazas y las mejores prácticas de seguridad, como el concepto de confianza cero.
Antes de publicar una aplicación en las tiendas, se recomienda realizar un análisis de seguridad independiente.
Conclusión
Las aplicaciones han entrado con fuerza en nuestra vida y desde hace mucho tiempo. Y esto se aplica no sólo a los programas para móviles, sino también a las aplicaciones para televisores inteligentes y otros gadgets. El fraude asociado a este tipo de software se desarrollará y adquirirá nuevas direcciones. La lucha contra este tipo de delitos debe ser llevada a cabo por todos los actores: desarrolladores, propietarios de tiendas de aplicaciones y, por supuesto, los propios usuarios.
Fuente WEB | Editado por CambioDigital OnLine
