Para aprender a proteger este elemento tan importante de nuestra vida digital
resulta fundamental saber reconocer cuáles son las amenazas a las que nos
enfrentamos. Aquí podríamos diferenciar dos grandes tipos: las que no requieren
de la instalación de ningún tipo de aplicación y son independientes del sistema
operativo usado, y aquellas que requieren de haber instalado una aplicación, ya
sea mediante un enlace proporcionado por los atacantes o incluso a través de una
tienda de apps oficial.
Una de las amenazas más recurrentes observadas son aquellos mensajes que, vía
SMS o mediante aplicaciones de mensajería instantánea como
WhatsApp, suplantan la identidad de una reconocida empresa o una
administración pública. La finalidad de este tipo de mensajes es generar el
suficiente interés o preocupación del usuario para que pulse sobre el enlace
proporcionado por los delincuentes. Estos enlaces suelen redirigir a páginas
web que simulan ser legítimas y que los delincuentes preparan para obtener los
datos personales de la víctimas, especialmente aquellos relacionados con
tarjetas de crédito.
Otra amenaza que ha crecido mucho durante los últimos años es la conocida como
SIM
Swapping o clonación de la tarjeta SIM. Este ataque consiste en conseguir
clonar nuestra tarjeta SIM o eSIM
mediante técnicas de ingeniería social, o incluso con la complicidad de
empleados que trabajan para un operador de telefonía. Con esta tarjeta clonada,
los delincuentes pueden obtener códigos de autenticación relacionados, por
ejemplo, con operaciones bancarias o apps de mensajería instantánea como
WhatsApp, lo que permite a los atacantes preparar todo tipo de estafas,
principalmente económicas.
Así mismo, las amenazas que implican la descarga y ejecución de una aplicación
maliciosa siguen siendo un serio problema para muchos usuarios, especialmente si
utilizan dispositivos Android. Muchas de estas aplicaciones son descargadas
desde repositorios no oficiales, y aunque Google ha mejorado la seguridad de su
sistema operativo para impedir que su descarga se realice de forma sencilla, no
son pocos los usuarios que prefieren ignorar todas las alertas mostradas e
incluso desactivar medidas de seguridad para obtener una app que no es lo que
parece.
Entre las aplicaciones maliciosas diseñadas para smartphones encontramos varios
tipos de amenazas que suelen destacar en el número de detecciones. Por un lado
tenemos a los clásicos troyanos
bancarios que tratan de obtener acceso a las credenciales que utilizamos
para acceder a la banca online. Estas amenazas, combinados con los ataques
anteriormente descritos de SIM swapping, suponen un peligro directo para nuestro
bolsillo, puesto que los delincuentes pueden robarnos dinero directamente de
nuestra cuenta bancaria sin que nos enteremos hasta que sea demasiado tarde.
También se detectan aplicaciones maliciosas de control remoto o RATs (por sus
siglas en inglés), un tipo de troyano para dispositivos móviles que están
diseñados para espiar el dispositivo de sus víctimas. Son capaces de realizar
varias acciones que incluyen el registro de las pulsaciones para obtener
contraseñas de acceso a varios servicios online, realizar capturas de pantalla,
grabar llamadas, leer, enviar y recibir mensajes de texto, e incluso interceptar
las comunicaciones que realicemos a través de cualquier servicio de mensajería o
red social.
Aunque menos habitual, tampoco debemos descartar la posibilidad de que las
aplicaciones maliciosas se encuentren en mercados
oficiales como Google Play. Estas apps suelen estar activas hasta que son
denunciadas y retiradas, margen de tiempo que los delincuentes utilizan para
tratar de infectar al mayor número posible de usuarios.
En menor medida, la App
Store de Apple también ha visto cómo alguna app maliciosa ha conseguido
sortear las estrictas restricciones a las que somete a las aplicaciones, y
aunque los usuarios de dispositivos Apple suelen recibir menos ciberamenazas,
esto podría cambiar rápidamente debido a los recientes cambios normativos que
han obligado a Apple a permitir
la descarga de apps desde sitios externos a la tienda oficial. Tampoco
podemos ignorar otros posibles vectores de infección como las invitaciones de
calendario o los perfiles de configuración modificados, que pueden permitir el
acceso de los atacantes a información privada almacenada en nuestro dispositivo.
10 medidas de seguridad para proteger nuestro dispositivo
Una vez conocidas las amenazas a las que nos enfrentamos, es el momento de tomar
las medidas de seguridad adecuadas que nos ayudarán proteger nuestros
dispositivos y la información que almacenamos en ellos. Tomando como referencia
los vectores de ataque usados por los ciberdelincuentes mencionados en el punto
anterior, ofrecemos las siguientes recomendaciones:
- Mantener tanto el sistema operativo como las aplicaciones de nuestro
smartphone actualizadas para evitar que los atacantes se aprovechen de posibles
agujeros de seguridad.
- A pesar de la existencia de apps maliciosas en tiendas oficiales, su número
es mucho menor que fuera de ellas, por lo que siempre es recomendable
descargarlas desde sitios oficiales o autorizados.
- Tanto a la hora de instalar una aplicación como de forma periódica, es
importante revisar los permisos que le vamos a conceder, evitando dar demasiados
permisos a aquellas apps que no lo requieran.
- Es importante desconfiar de mensajes no solicitados enviados a través de SMS
o mensajería instantánea, por muy legítimos que nos parezcan, y, sobre todo, no
pulsar sobre ningún enlace que no hayamos pedido expresamente que nos envíen.
Muy probablemente estemos ante un caso de suplantación de identidad.
- Comprobar la reputación de un desarrollador, el número de descargas de una
app y los comentarios de los usuarios pueden ayudarnos a diferenciar entre una
aplicación legítima y otra fraudulenta.
- Contar con una solución de
seguridad adaptada a las necesidades de nuestro smartphone nos puede ayudar
a bloquear estas amenazas y evitar que infecten nuestro dispositivo.
- La autenticación biométrica como el reconocimiento facial o el uso de
huellas dactilares es más recomendable que la basada en contraseñas.
- Se recomienda realizar copias de seguridad periódicas del contenido de
nuestro smartphone, bien conectándolo a un dispositivo de almacenamiento
externo, ordenador o servicio en la nube.
- Configura el doble factor de autenticación para todos aquellos servicios
online que utilices desde tu teléfono y lo permitan. De esta forma, los
delincuentes tendrán que sortear una barrera adicional incluso habiendo
conseguido robar tus credenciales de acceso.
- Infórmate periódicamente acerca
de las campañas maliciosas dirigidas a usuarios de smartphones, así como de las
técnicas usadas por los ciberdelincuentes. Así será más difícil que consigan
engañarte.
En última instancia, resulta importante comprender los riesgos que implica
sufrir una de estas amenazas. Solo así entenderemos la necesidad de adoptar las
medidas necesarias para proteger nuestros dispositivos, medidas que, por otra
parte, no suponen apenas complicación y nos proporcionan un nivel de seguridad
muy aceptable frente a las amenazas a las que nos enfrentamos diariamente.