Si eres de los que usas aplicaciones en tu teléfono móvil, revisa tu lista de las que te has descargado y busca una aparentemente sencilla e inofensiva herramienta de organización de contactos llamada “Find and Call”; aunque supuestamente te ayuda en la organización de tu agenda de contactos, realmente podría estar robándotela para utilizar las direcciones como destinatarios de envío de spam. Además, esta aplicación geolocaliza a los usuarios, enviando la información a un servidor remoto mediante GPS.
Además de ser la primera vez que “se la han colado” a Apple, que implementa férreas medidas de seguridad y de revisión antes de hacer pública una aplicación en su Store, también es novedad que se hayan fijado precisamente en los usuarios de iPhone o iPad, ya que hasta ahora Android, simplemente por tratarse de un entorno más abierto, era el que protagonizaba las miradas de los cibercriminales. De hecho, “Find and Call” también estaba publicada en el Android Market, pero ha sido borrada inmediatamente tras saber que Apple la había eliminado totalmente al conocer el “fin último” del programa.
El origen del App parece ser ruso. Y aunque cualquiera ha podido descargarse esta aplicación desde el market de Apple, parece que el robo de información de contactos pudiera estar limitado a los usuarios rusos de iOSX. El desarrollador de la aplicación se ha puesto en contacto con AppleInsider.ru y ha dicho que es un bug, ya que “el sistema está en proceso beta” y que “como consecuencia de un fallo de uno de sus componentes, la aplicación envía de forma espontánea mensajes SMS.” Añade que “el bug está en proceso de reparación. Pero evidentemente, va a resultar muy difícil que se vuelva a encontrar en el market esta aplicación aunque haya una nueva versión. El porqué es muy fácil de deducir: Apple tiene que cuidar su reputación.
Si la tienes instalada, te recomendamos que automáticamente la elimines de tu iTunes, iPhone o iPad: aunque no seas ruso, nunca se sabe. Hay que contar con que siempre vemos públicamente la punta del iceberg…
Un nuevo nicho de mercado para los cibercriminales
Que los cibercriminales siempre buscan nuevas víctimas, es evidente: tienen un gran emporio económico montado en el “lado oscuro” que les permite vivir holgadamente. De todo obtienen un beneficio económico. Por lo tanto, allí donde haya concentración de usuarios hay riesgo de que los cibercriminales se fijen en ellos. Da lo mismo que se trate de un sistema operativo, un dispositivo o una red social: inventarán lo que sea para intentar obtener la valiosa información que tan bien se vende en el mercado negro.
Y esto es, precisamente, lo que está sucediendo con las aplicaciones para los diferentes sistemas. De hecho, llevamos varios meses asistiendo a retiradas más o menos masivas de aplicaciones de los market que traen “regalitos extra” para los usuarios. Nuestros compañeros de SecuritybyDefault hicieron la prueba hace solo un año y pudieron constatar “la cruda realidad del Market de Android”: desarrollaron una aplicación maliciosa que publicaron en el Android Market sin ningún problema e impedimento, tuvieron decenas de descargas y además los usuarios les enviaban sugerencias para corregir errores y mejorar el programa.
Solo basta con echar un vistazo a algunas de las últimas noticias publicadas al respecto:
- Se detectan 20.000 aplicaciones maliciosas en el Android Market entre abril y junio de 2012.
- Google Play retira, el pasado 18 de abril, 29 aplicaciones que se descargaron e instalaron al menos 300.000 veces.
- Google también eliminó del Android Market, en diciembre de 2011, otras 22 aplicaciones maliciosas que suscribían a los usuarios a servicios SMS Premium.
No serán las últimas, dado que, cada día, miles de nuevos usuarios se incorporan al mercado de los smartphones y las tablet. Y claro, es muy complicado no descargarse aplicaciones movidos muchas veces por la necesidad, pero muchas otras, por la curiosidad.
¿Qué hacer para defenderse de las Apps maliciosas pero seguir disfrutando de las legítimas?
Seguro que si a alguno de vosotros os preguntamos si seríais capaces de detectar un email spam, la inmensa mayoría contestaría afirmativamente. Y es que muchos años de educación y concienciación en seguridad acaban dando sus frutos. Y seguro que ninguno os planteáis no tener algún sistema de seguridad instalado en vuestro ordenador (sí, ya sabemos, muchos de vosotros diréis que “Linux no tiene virus, y Apple tampoco” ;-). Pero si le preguntamos a los usuarios de smartphones y de tablets si tienen algún programa de seguridad, no sienten en absoluto la necesidad de contestar afirmativamente, ya que “los virus no existen para estos dispositivos” o “los que hay son tan pocos que es altamente improbable que te llegue alguno”.
Y en cierto modo es verdad: sí hay multitud de ejemplares desarrollados para Android, por ejemplo, pero pocas posibilidades de distribución masiva a través de Bluetooth, o SMS, o…
¿Para qué? Los cibercriminales han encontrado la forma de llegar a este nuevo “nicho de mercado” igual que hacen con las aplicaciones de Facebook, por ejemplo. La gran dificultad estriba en el reconocimiento de las aplicaciones que pudieran ser maliciosas, dado que aparentemente cualquiera de ellas está diseñada con cuidado, tiene su correspondiente EULA (acuerdo y condiciones de distribución) y, más o menos, todas cumplen con una función determinada: de productividad, entretenimiento, etc.
Entonces… ¿cuál es la solución? ¿No descargarnos ninguna aplicación? Mucho me temo que el propio carácter de los humanos, curiosos por naturaleza, va a hacer esta tarea harto difícil. Pero podemos seguir algunos consejos básicos de seguridad que nos ayuden no a diferenciar qué aplicación es buena o cuál es mala, sino a que nuestro propio dispositivo, haciendo que la tecnología trabaje para nosotros, nos ayude en esta ardua tarea.
Para ello, os dejamos estos simples 5 consejos de seguridad:
- Intenta descargar siempre tus aplicaciones de los market oficiales: ya vemos que no es garantía absoluta de nada, pero más filtros de seguridad se ejecutan en estos sitios oficiales que en otros.
- Antes de descargar una aplicación: haz una búsqueda rápida en Google, por ejemplo, para averiguar si hay algún tipo de referencia negativa contra este App. Habitualmente, cuando se anuncia que una aplicación es maliciosa es cuando ya se ha retirado de los market, pero nunca se sabe. Fíjate en quién es el desarrollador, si tiene información de contacto publicada y en las opiniones y reviews de los usuarios: busca el nombre del desarrollador así como otros datos relativos a este en motores de búsqueda e intenta averiguar si es una empresa seria, si hay referencias en otros sitios, etc.
- Ten un buen sistema de seguridad instalado en tu smartphone o tablet: en el caso de que la aplicación que te vayas a descargar sea maliciosa, el sistema de seguridad lo detectará e impedirá que la instales. Aunque tengas muchas ganas de probar el App, mejor hacer caso al sistema de seguridad. Y si no tienes todavía ninguno instalado en tu dispositivo, te recomendamos ESET Mobile Security para Android, que puedes probar gratuitamente aquí.
- Una vez has instalado la aplicación, y sobre todo si no tienes sistema de seguridad en tu dispositivo, no permitas el acceso a tus datos o la geolocalización. En la inmensa mayoría de las ocasiones, este tipo de aplicaciones que te descargas no necesitan para nada dicha información. Esto me recuerda un App que instalé en mi iPhone: supuestamente era una simple linterna que activaba la luz del flash para iluminar por la noche, pero continuamente me solicitaba permiso para geolocalizarme… Ante este tipo de situaciones lo mejor es preguntarse: ¿para qué querrá esta aplicación la información de dónde estoy? Este es un síntoma que pudiera estar asociado a aplicaciones con fines maliciosos.
- Mantente al día en cuanto a información de seguridad informática: quizá la aplicación que te has descargado no ha sido todavía ni descubierta ni clasificada como maliciosa, pero pudiera suceder en cualquier momento. Solo manteniéndote al día sobre las últimas novedades sabrás si pasa algo con tu aplicación. Y ante la duda, desinstálala: es mejor quedarse con las ganas que encontrarse en una situación de riesgo.
Como siempre hemos mantenido a lo largo de los años, no se trata de no disfrutar de la tecnología, sino de hacerlo de forma segura, porque es mejor “prevenir que lamentar”. Y dicho esto, y siguiendo con el refranero español, ya sabemos que por regla general “nos acordamos de Santa Bárbara cuando truena” ;-), así que nosotros seguiremos puntualmente con nuestra labor educativa y de concienciación.
¡Felices vacaciones si estás disfrutándolas!