Ícono del sitio IDET

Demasiado bueno para ser verdad: cuidado con los mensajes infecciosos a tu celular

2018-10-29

Nuestra adicción a los teléfonos móviles no deja de crecer. De acuerdo con cifras de The Competitive Intelligence Unit, hacia el segundo trimestre de este año en México había 118.1 millones de líneas celulares de los cuales casi 103 millones eran smartphones.

La dependencia que tenemos hacia estos dispositivos es enorme.

Un estudio realizado hace un par de años por la consultora Deloitte entre usuarios mexicanos de estos dispositivos encontró que casi la mitad de los encuestados (48%) usaban este dispositivo muy frecuentemente durante la jornada laboral y más del 80% emplea por lo menos un servicio de mensajería instantánea para comunicarse. De hecho, otro estudio realizado el año pasado entre estudiantes universitarios en Estados Unidos encontró que casi la mitad usan uno de estos servicios (Whatsapp) por lo menos una hora al día y incluso una décima parte pasan hasta siete horas enviando y recibiendo mensajes.

No extraña entonces que estos servicios sean objetivo para delincuentes que buscan dañar o extraer la información que contienen nuestros dispositivos móviles que contienen información personal como fotografías, habilitan el acceso a servicios bancarios y pueden estar conectados a archivos empresariales que a su vez contienen valiosos datos. Los delincuentes informáticos tienen a su disposición una serie de herramientas que combinan tecnología con técnicas de ingeniería social que permiten al usuario desprevenido abrir la puerta de sus dispositivos a terceros.

La técnica más socorrida se denomina SMiShing y consiste en el envío de un mensaje que alarma al usuario y lo invita a seguir una liga hacia un sitio web:

Dicha liga descarga una pieza de código malicioso que infecta el celular y permite a los atacantes obtener datos del usuario e incluso conocer su actividad en tiempo real. Algunos mensajes se envían a través del servicio SMS, pero otros usan mensajerías sociales, lo que agrega un grado de peligrosidad porque son mensajes provenientes de tales servicios a los que solemos darles más confiabilidad y damos click sin pensar demasiado en las consecuencias porque asumimos que vienen de fuentes confiables.

Uno de los casos más célebres fue el del código malicioso llamado Pegasus, desarrollado para tomar el control de teléfonos celulares con el sistema iOS de Apple por medio de una liga maliciosa dentro de un mensaje SMS y que fue usado contra activistas y periodistas en países como México. Una empresa realizó el análisis detallado [ https://info.lookout.com/rs/051-ESQ-475/images/lookout-pegasus-technical-analysis.pdf ] de este código malicioso en 2016 y describió el camino de la infección:

El código, descargado al momento de pulsar el enlace malicioso rompe los bloqueos que impiden descargar programas no autorizados por el desarrollador del sistema operativo. Una vez rotos los bloqueos, se instala un programa que recoge y envía el contenido de todo tipo de mensajes hacia un servidor computacional creado por los criminales, donde reciben la información. Pegasus estaba diseñado para intervenir las comunicaciones de 14 servicios de comunicación: desde WhatsApp hasta Skype. Hay quien podría pensar que estos ataques sólo están destinados a personas de alto perfil público, pero una ley no escrita en seguridad computacional indica que lo que hoy es un ataque sofisticado con tiempo estará disponible para cualquiera que quiera robar información.

¿Cómo protejo mis dispositivos móviles frente a esta amenaza? Curiosamente las soluciones más poderosas frente a estas amenazas no tienen que ver con el uso de tecnología adicional.

  • El primer paso está en mantener buenas prácticas de higiene digital como actualizar el sistema operativo del dispositivo móvil, pues dichas actualizaciones cierran el paso a vulnerabilidades aprovechadas por los delincuentes para instalar código malicioso.

 

  • El segundo paso está en fortalecer el criterio propio sobre los mensajes que recibimos. Una regla de oro es no abrir mensajes que provengan de teléfonos o personas desconocidas y desconfiar de aquellos mensajes que “alertan” sobre intrusiones o cargos hechos a nombre de uno, llamando directamente al centro de atención del banco o entrando al sitio web del proveedor de la red social para verificar si la alerta es verdadera.

Por su lado los proveedores de mensajería social están trabajando en fortalecer su tecnología para que dificultar el trabajo de los delincuentes digitales. Whatsapp, ahora pone en evidencia los mensajes que han sido reenviados, para que el usuario sepa que no es un mensaje original y organizaciones como la GSM Association (GSMA) junto con la empresa Google trabajan [ https://www.gsma.com/newsroom/press-release/global-operators-google-and-the-gsma-align-behind-adoption-of-rcs/ ] en un protocolo llamado Rich Communication Services (RCS) que promete mejorar la seguridad de los contenidos enviados en mensajes SMS.

Sin embargo, las mejoras en la tecnología son insuficientes si los usuarios (o sea, cada uno de nosotros) nos dejamos seducir por mensajes que prometen escandalosas revelaciones o jugosos premios. Al final un delincuente puede ser el ganador del premio de nuestra información y nosotros los ingenuos perdedores.

El mejor camino es tener los ojos bien abiertos para evitar perder el bien más valioso en los tiempos que vivimos: nuestra información.

Salir de la versión móvil