Quizás has oído la noticia de que más de 300 000 usuarios de Android descargaron aplicaciones bancarias de Google Play Store sin saber que eran troyanos o aplicaciones maliciosas que eludieron las detecciones de seguridad de la tienda para instalar software malicioso o malware.
Esta noticia fue dada a conocer por un informe sobre seguridad que identificó que estos troyanos se hacían pasar hábilmente por aplicaciones que la gente suele buscar, como escáneres de códigos QR, aplicaciones de fitness y de muchos otros tipos. De hecho, estas aplicaciones falsas contienen troyanos diseñados para robar información bancaria, registrar las pulsaciones del teclado cuando se ingresa la información de la cuenta, e incluso hacer capturas de pantalla de lo que se hace en el teléfono.
El truco de este malware es que solo se activa después de ser instalado, lo que puede o no ser evidente para el usuario. Para que el malware se active, se requiere un paso adicional, como una actualización dentro de la aplicación (y no a través de Google Play Store), que luego descarga la carga útil del malware en el teléfono. En muchos casos, las aplicaciones falsas obligan a los usuarios a realizar esta actualización una vez descargada la aplicación.
Así, aunque las aplicaciones que se encuentran en Google Play Store no contengan malware inicialmente, logran instalarlo en el teléfono del usuario desde otros servidores después de la compra. Esta es una razón por la que estas aplicaciones maliciosas no han sido fáciles de detectar.
Todo esto es una forma más que han encontrado los hackers para infectar los smartphones con malware.
Y no es de extrañar que estos sean su objetivo. Los teléfonos inteligentes están cargados de información personal y fotos, además de credenciales para aplicaciones bancarias y de pago, que son datos valiosos que los hackers pueden robar o por los que pueden pedir un rescate. Si a esto le añadimos otras potentes funcionalidades de los smartphones, como las cámaras, los micrófonos y el GPS, un hacker podría aprovechar un teléfono comprometido para cosas como estas:
- Conocer tu ubicación actual y tus desplazamientos cotidianos.
- Secuestrar las contraseñas de tus cuentas bancarias, de compras y de redes sociales.
- Vaciar tu cartera haciendo una compra tras otra en la tienda de aplicaciones o accediendo a las aplicaciones de pago.
- Leer tus mensajes de texto o robar tus fotos.
En resumen, toda clase de cosas que queremos evitar a toda costa.
¿Y cómo funciona este tipo de aplicaciones maliciosas? Al hacerse pasar por aplicaciones legítimas, pueden acabar en tu teléfono y obtener amplios y potentes permisos para acceder a los archivos, las fotos y las funcionalidades, o introducir código que les permiten recopilar información personal. El resultado puede provocar todo tipo de problemas, desde una plaga de anuncios indeseados hasta costosos robos de identidad.
Estos son algunos ejemplos de aplicaciones maliciosas que han aparecido en las noticias recientemente:
- Falsos programas de bloqueo de anuncios que irónicamente introducen más anuncios.
- Aplicaciones VPN falsas que cobran por una suscripción y no ofrecen ninguna protección a cambio.
- Aplicaciones utilitarias que secuestran los privilegios y permisos del sistema, lo que a su vez expone a los usuarios a más ataques.
De nuevo, esto es algo que queremos evitar. Así que veamos cómo podemos protegernos de aplicaciones maliciosas como estas.
Siete pasos para que las descargas de aplicaciones móviles sean más seguras
La buena noticia es que hay maneras de detectar a estas impostoras. Las principales tiendas de aplicaciones, como Google Play Store y la App Store de Apple, trabajan para mantener sus estantes virtuales libres de malware, tal como lo informan los propios Google y Apple. Aun así, los delincuentes informáticos pueden encontrar maneras de evadirlos, ya que, al fin y al cabo, ¡eso es a lo que se dedican! Por lo tanto, un poco de precaución adicional de tu parte te ayudará a estar más a salvo. Estos pasos te pueden ayudar:
1) Pon atención a los permisos de las aplicaciones
Otra forma en la que los delincuentes informáticos logran colarse en tu dispositivo es obteniendo permisos para acceder a cosas como tu ubicación, tus contactos y tus fotos. Para ello utilizan aplicaciones de dudosa procedencia (recuerda las famosas estafas de aplicaciones de linternas gratuitas mencionadas anteriormente, que solicitaban hasta más de 70 permisos diferentes, como el derecho a grabar audio, video y acceder a los contactos). Así que presta mucha atención a los permisos que solicita una aplicación cuando la instalas. Si te pide mucho más de lo que esperas, como un simple juego que quiere acceder a tu cámara o micrófono, podría ser una estafa. Elimina la aplicación y busca una legítima que no pida permisos invasivos como esos.
Además, puedes comprobar qué permisos solicitará una aplicación antes de descargarla. En Google Play Store, desplázate hacia abajo en la ventana de información de la aplicación y busca la sección “Acerca de esta aplicación”. Desde allí, haz clic en “Permisos de la aplicación”, lo que te proporcionará una lista con detalles. En la App Store de iOS, desplázate hasta “Privacidad de la aplicación” y toca “Ver detalles” para ver una lista similar. Si tienes curiosidad por los permisos con los que cuentan las aplicaciones que ya están en tu teléfono, los usuarios de iPhone pueden aprender a permitir o revocar los permisos de las aplicaciones aquí, y los usuarios de Android pueden hacer lo mismo aquí.
2) Desconfía de las aplicaciones que te piden una actualización dentro de la aplicación
Aunque algunas aplicaciones (como aplicaciones de juegos) dependen de contenidos que se descargan desde dentro de la aplicación misma, ten cuidado con aquellas que te soliciten actualizarlas inmediatamente desde la aplicación. En la mayoría de los casos, la aplicación que descargues de la tienda debería ser la versión más reciente y no debería necesitar una actualización. Si es necesario, actualiza las aplicaciones de tu teléfono a través de la tienda y no a través de las aplicaciones como tal. Esto puede ayudarte a evitar ataques basados en malware como los mencionados.
3) Examina las aplicaciones con ojo crítico
Como ocurre con muchos ataques, los delincuentes informáticos confían en que la gente haga clic en los enlaces o toque “descargar” sin pensarlo dos veces. Antes de descargarla, tómate el tiempo de hacer una investigación rápida, que puede revelar algunas señales de que la aplicación es maliciosa. Comprueba el desarrollador: ¿ha publicado otras aplicaciones con muchas descargas y buenas reseñas? Una aplicación legítima suele tener muchas reseñas, mientras que las aplicaciones maliciosas pueden tener solo unas pocas reseñas (falsas) de cinco estrellas. Por último, busca errores tipográficos y gramaticales en la descripción de la aplicación y en las capturas de pantalla. Podrían ser una señal de que un hacker creó la aplicación y la distribuyó rápidamente.
4) Busca recomendaciones de fuentes confiables
Incluso mejor que buscar en las reseñas de los usuarios es obtener una recomendación de una fuente de confianza, como de una publicación conocida o de los editores de la tienda de aplicaciones. En este caso, gran parte del trabajo de investigación ha sido realizado por un revisor establecido. Una búsqueda rápida en Internet como “las mejores aplicaciones de fitness” o “las mejores aplicaciones para viajeros” debería arrojar artículos de sitios legítimos con buenas sugerencias o descripciones detalladas que puedes consultar antes de descargarlas.
5) Evita las tiendas de aplicaciones de terceros
A diferencia de Google Play Store y la App Store de Apple, que cuentan con medidas para revisar y examinar las aplicaciones para ayudar a garantizar que sean seguras, los sitios de terceros podrían no contar con estos mecanismos de seguridad. De hecho, algunos sitios de terceros pueden alojar aplicaciones maliciosas intencionadamente como parte de una estafa más amplia. Es cierto que los delincuentes informáticos han encontrado formas de eludir el proceso de revisión de Google y Apple, pero la probabilidad de descargar una aplicación segura desde ellos es mucho mayor que en cualquier otro lugar. Además, tanto Google como Apple se apresuran a retirar las aplicaciones maliciosas una vez que se detectan, lo que hace que sus tiendas sean mucho más seguras.
6) Protege tu smartphone con software de seguridad
Con todo lo que hacemos en nuestros teléfonos, es importante tener instalado un software de seguridad en ellos, al igual que hacemos en nuestros PC y portátiles. Ya sea que optes por un software de seguridad integral que protege todos tus dispositivos o que descargues una aplicación en Google Play Store o en la iOS App Store de Apple, tendrás seguridad de dispositivos con protección para la web y contra malware para que puedas usar tu teléfono de forma segura.
7) Actualiza el sistema operativo de tu teléfono
Además de la instalación de software de seguridad, es importante mantener actualizado el sistema operativo del teléfono. Las actualizaciones pueden corregir las vulnerabilidades que aprovechan los delincuentes informáticos para llevar a cabo sus ataques con malware: es otro método real y probado de mantenerse a salvo y para que tu teléfono siga funcionando correctamente.
Estos son algunos otros consejos que puedes seguir:
- Controla tu teléfono. El malware para móviles a veces da indicios de que tu teléfono ha sido comprometido, como hacer que se caliente o que tenga un mal rendimiento.
- Vigila tus cuentas. Es probable que cualquier tipo de estafa o robo de identidad deje un rastro en tus extractos o aplicaciones bancarias y de pago. Si ves algo sospechoso allí, haz un seguimiento y denúncialo.
- Haz siempre esto como parte de tus medidas generales de seguridad. Hacerlo puede revelar transacciones relacionadas con robos de identidad que desconocías por completo, como el hecho de que alguien haya alquilado un apartamento a tu nombre.
Por último, siempre puedes preguntarte: “¿realmente necesito esta aplicación?” Una forma de evitar las aplicaciones móviles maliciosas es descargar menos aplicaciones en general. Si no tienes certeza si un juego gratuito es genuino, o si la oferta de una aplicación de productividad te parece demasiado buena para ser cierta, no los descargues. Busca una opción mejor o deja de lado la idea. Como ya se ha dicho, los delincuentes informáticos esperan que hagamos clic y descarguemos sin pensar. Mantenerte alerta al malware móvil te costará un momento de tu tiempo, pero será algo mínimo comparado con los costos potenciales de un teléfono hackeado.
Mantente al día
Síguenos para mantenerte al día de las novedades de McAfee y estar al tanto de las amenazas de seguridad más recientes para particulares y dispositivos móviles.
