Capítulo 9 – Dispositivos Móviles: Un Caso Aparte
Capítulo 9 de 12
Dispositivos Móviles: Un Caso Aparte
Sin tener mucha idea de cómo son los sistemas operativos de los smartphones, seguro que tras leer los capítulos anteriores ya estás empezando a sospechar que los crackers logran acceder a nuestros teléfonos móviles con la misma facilidad con la que penetran las barreras de protección de nuestros ordenadores. Bien, no te equivocas. Entonces, te preguntarás por qué no he incluido algunos comentarios más en los capítulos anteriores y así me ahorraba este. El caso es que hablando con bastante gente antes de terminar el libro, me he dado cuenta de algunas cosas, como que la gran mayoría de la población no se plantea la posibilidad de que pueda existir malware para móviles. Bueno, seguramente la audiencia de Sálvame sí es consciente de que se puede acceder al iPhone para robar la agenda de contactos, como parece ser que le ocurrió a un colaborador de Telecinco llamado José Manuel Estrada Calzada (más conocido como Pipi). Pero lo que me “fascina” es que después de salir el caso “Droid Dream” en prensa (que explico en breve), la mayoría de la población siga con la sensación de que el teléfono móvil es inmune a las infecciones, sorprendiéndose de que existan antivirus para móviles, o considerándolos una estrategia comercial de difusión de miedo de los fabricantes de soluciones de seguridad.
El teléfono móvil se caracteriza por contener información tremendamente personal. Erróneamente se asume que las conversaciones a través del teléfono o que los datos contenidos en él son privados. Me decía alguien con quien hablaba del tema ”—¿Pero cómo me van a mirar en el móvil?, ¡si lo llevo en el bolsillo!”— Pues bien, el primer malware que yo conozco data del año 2004, un gusano concretamente, que se transmitía vía Bluetooth; pero ya en ese mismo año se detectó un troyano contenido en un juego que enviaba un SMS a números de servicios premium, con el consiguiente gasto para el usuario del teléfono infectado. En 2011, salió en prensa, como he dicho antes, una noticia sobre un malware llamado DroidDream porque actuaba de 23:00 a 08:00, precisamente cuando la mayoría de humanos solemos dormir, logrando así pasar más desapercibidas las actividades maliciosas de este troyano (que algunos meses después fue mejorado con una versión llamada DroidDream Light). La forma de infectarse con este troyano era muy simple; sólo tenías que descargar del Android Market alguna de las 50 aplicaciones que estaban infectadas ¿Te atreves a adivinar qué tipo de aplicaciones eran? Aquí van unos ejemplos: Hilton Sex Sound, Screaming Sexy Japanese Girls, Super Sex Positions, Hot Sexy Videos, Sexy Girls: Hot Japanese, Sexy Legs, Hot Girls 4 Beauty Breasts, Sex Sound, Sex Sound: Japanese, Hot Girls 1, Hot Girls 3, Hot Girls 2, Falldown, Chess, Falling Ball Dodge, Dice Roller y Spider Man. Sí, como siempre, el sexo y los juegos son la vía más rápida para infectarse. Curiosamente, lo que más atrae a adolescentes y niños, además de Brad Pitt y Britney Spears, que son de los famosos más utilizados para introducir malware en nuestros dispositivos. Aprovechando que hablo de juegos en smartphones, lo más frecuente es encontrar maDware, con “D”, de propina. Este madware intenta por todos los medios que realices compras adicionales, usando publicidad intrusiva para que descargues nuevas aplicaciones de pago o compres herramientas que te permitan superar niveles. Requiere la interacción del usuario y están muy bien diseñados para lograr su objetivo, de forma altamente adictiva. Parte de mi familia está picadísima a ver quién gana con uno de ellos, concretamente el Candy Crash (que aparece en el ya famoso vídeo GENTLEMAN M/V de PSY), clasificado por Symantec como aplicación que contiene madware; no siendo lo más preocupante, ya que con nombres similares para aprovechar el tirón y popularidad de este juego, los cibercriminales están creando aplicaciones maliciosas (Abendan, 2013).
Pero “tranquilo”, que los móviles, en cuanto a seguridad se refiere, presentan tantas vulnerabilidades que incluso con el mero hecho de que visites una web, podría provocarse que llamaras a un teléfono premium ¿No te has fijado en la diferencia de tiempo que hay entre actualizaciones de sistema operativo en ordenadores y smartphones? La verdad que bastante. Eso quiere decir que las vulnerabilidades móviles son explotables durante muchísimo más tiempo ¿Se te ocurre qué plataformas son ahora las favoritas de los criminales digitales? El incremento de amenazas para móviles es apabullante. Algunas fuentes afirman que durante el año 2012 creció más de un 600% (614 % para ser exactos según un informe realizado por Juniper Networks). Miedo me da esperar al fin de 2013 para ver las estadísticas de este año, especialmente con respecto a Android; puesto que, si nos fijamos en las cifras de ventas por tipo de sistema operativo para móviles, verás que Android es el que tiene todas las papeletas para convertirse en el objetivo prioritario de ataques, tal como pasó con Windows al ser el sistema operativo más extendido y utilizado (ya he visto titulares que dicen que en 2013 habrá más de un millón de aplicaciones maliciosas para Android, algo factible dadas las 718.000 amenazas para este sistema operativo móvil, publicadas en el segundo trimestre de 2013 por Trend Micro). De todas maneras, eso no impidió que se desarrollara malware específico para Mac OS de Apple, temiendo ya que se convierta en objetivo igualmente codiciado (especialmente después de la noticia sobre la adquisición en el 2013 por parte del sector de Defensa de los Estados Unidos de 650.000 terminales de Apple); así que no te dejes influenciar por excelentes campañas de marketing y considera que el iPhone (iOS), en manos inexpertas, podría ser tan inseguro como otros dispositivos (en cuanto estuviera en el punto de mira prioritario). También es verdad, como describe Dodi Glenn, director de AV Labs en ThreatTrack Security, que para instalar una aplicación en iPhone debes pasar por el Apple Store obligatoriamente, con un control sobre las aplicaciones muy superior al de Android, que permite la descarga directa de aplicaciones de terceras partes (Forbes, 2013). Sin embargo, dependiendo del uso que se haga, se puede afirmar que el iPhone no difiere tanto en seguridad, especialmente si se te pasa por la cabeza el famoso Jailbreak (término que significa fuga), que permite descargar software fuera del Apple Store (concretamente en Cydia), con el consiguiente riesgo.
Lógicamente, no pretendo que seas capaz de seguir los consejos de los expertos en este campo, analizando tú mism@ la seguridad de las aplicaciones que descargas, porque eso no es realista. Lo que si me gustaría, es que después de haber abierto un poco los ojos en este tema, no los vuelvas a cerrar y procures empezar a mirar soluciones de seguridad específicas de móviles, para prevenir situaciones de las que te podrías lamentar. Por ejemplo, el otro día me decía una madre modelo: “—Mi hija me coge el iPhone desde que tiene uno o dos años.” Esta madre, se preocupa por la educación de sus dos hijos de forma tal que es admirable. No obstante, en el ámbito digital tiene mucho que aprender si también quiere educar a sus hijos, puesto que carece de medidas de protección en la totalidad de sus dispositivos. Podría ser otra madre que se encuentra con que su bebé ha comprado un coche por eBay, o tres canastas y una barraca en Amazon (ambos casos recientes y reales, mas no los primeros, pues no sé si recuerdas a Jack Neal, el niño de tres años que en 2006 compró también por eBay un coche descapotable rosa, según el diario El País).
A pesar de que pueda parecerte complicado, es necesario implementar medidas de seguridad en todos nuestros dispositivos. Al principio es posible que tengas que recurrir a profesionales o especialistas, aunque la forma de proceder en realidad es la misma que la ya descrita para los ordenadores. Como he indicado anteriormente, existen suites de seguridad que incluyen una licencia para dispositivos móviles, que sería el primer paso que tendrías que dar si te interesa tu privacidad, tu economía y sobre todo, la educación de tus hijos, puesto que acceden al móvil o tablet de sus padres sin ningún tipo de impedimento, su grado de atención es máximo para espiar las contraseñas que utilizan sus padres para comprar juegos u otros fines y el tiempo que pasan desatendidos con un teléfono o tablet en las manos es alto.
La inseguridad en el terreno móvil está servida. El hecho de que una gran parte de las empresas encarguen el desarrollo de aplicaciones con fines comerciales implica que se presta mucha más atención al marketing y a la estética que a la seguridad. De hecho, es intolerable la gran cantidad de aberraciones que he visto en cuanto a seguridad. Cosa que sucede porque la explosión de las aplicaciones en el mundo móvil ha provocado que muchos desarrolladores dediquen sus esfuerzos a una alta productividad, que sin duda aumenta la velocidad de programación, pero incrementando el número de errores, lo que deja las puertas abiertas a quienes quieran introducir programas maliciosos en esas aplicaciones, aparte de servir como vía de entrada directa a tu teléfono.
Todo padre y madre, a pesar de desconocer el mundo de la seguridad digital en móviles, debería, al menos, consultar opiniones sobre aplicaciones antes de descargarlas alegremente (sinceramente espero que vayan mucho más allá después de terminar de leer este libro). Hay páginas web que, conociendo la problemática actual, ya realizan análisis de las aplicaciones para informar sobre aquellas que suponen un riesgo. No lleva más de cinco minutos, y teniendo en cuenta que instalar la última aplicación de moda no es cuestión de vida o muerte, quizá compense más velar un poco por tu propia protección y la de tu familia; especialmente después de leer artículos como el recientemente publicado por Symantec en el que hacía referencia a un malware que se hacía pasar por antivirus (Symantec, 2013).
¿Te imaginas que algún día alguien pudiera tener acceso a las funcionalidades de tu móvil; sacar fotografías con la cámara integrada que todo smartphone tiene; escuchar y grabar todas las conversaciones de las llamadas que realices o de las reuniones que mantienes en privado con tu teléfono en el bolsillo; saber si estás en casa o no, obteniendo tus datos GPS del teléfono; llamar al extranjero desde tu teléfono (algo que se reflejaría en tu factura) o usar tu teléfono para gestionar una red ilegal de cualquier cosa que se te ocurra; robar todas las fotografías de tu familia o pareja; leer todos tus mensajes de WhatsApp, Line, Viber o Facebook; bloqueártelo mediante ransomware (secuestro de datos) y solicitar un rescate a cambio de devolverte sus funcionalidades y datos (modalidad considerada por Forbes como potencialmente peor para las empresas)? Se puede. A pesar de que el malware para móviles y tablets esté aún en una fase de desarrollo “inicial”, ya es muy fácil encontrarse con troyanos para Android en la web.
Por cierto, ¿sabías que las medidas de seguridad de WhatsApp eran en 2012 básicas o elementales, pudiendo ser, según se demostró en la Universidad de Alcalá durante CIBERSEG’13, casi trivial suplantar tu identidad en WhatsApp y enviar a tus espaldas mensajes a cualquier número de teléfono? Yendo un poco más allá, en dicho evento quedó claro que los servidores de WhatsApp, dada su pobre configuración de seguridad en ese momento (recomiendo el trabajo de Pablo San Emeterio y Juan Garrido para los que quieran profundizar), permiten alojar y traficar con todo tipo de información ilegal. Puedes seguir usándolo si quieres, pero por lo menos ahora ya conoces algunos de los riesgos y otros te los puedes imaginar.
Una última pregunta. Si montas en un tren, ¿prefieres que llegue a la estación que figura en el plano o en cambio que te lleve a una zona conflictiva donde podrían robarte el DNI, la tarjeta de crédito, la ropa, el teléfono o cualquier otra cosa que se te pase por la cabeza? Pues los códigos de respuesta rápida, más conocidos como códigos QR, dicen que van a una página web, pero del dicho al hecho, podría haber un trecho cuando un cracker lo modifica. Es sólo un ejemplo más de las formas de atacar tus dispositivos ¡Oído al parche! (Bitdefender, 2012).
<- Ir al capítulo anterior Ir al capítulo siguiente ->
=======================================================================
Eduardo Orenes
Autor de «CiberSeguridad Familiar: Cyberbullying, Hacking y otros Peligros en Internet»
=======================================================================
«Hoy es Mañana…»
NOTA:
Todo el contenido de la categoría «Libro» está protegido por Copyright. Está prohibido copiar el contenido para publicar en otros medios sin la autorización expresa del autor (aunque sí puedes, y te invito a ello, compartir los enlaces libremente).
Además, si vas a utilizar contenido parcial de este blog (cualquier otro post o entrada), debes mencionar al autor y la página web (con hipervínculo). No ya sólo por cuestiones de Copyright, sino también por temas de clonado de contenido que Google penaliza a la hora de posicionar. Por si se te olvida, he añadido un código que lo hace automáticamente cada vez que copies y pegues algún fragmento de texto de esta web 😉
Leave a Reply
Want to join the discussion?Feel free to contribute!