Para aprender a proteger este elemento tan importante de nuestra vida digital resulta fundamental saber reconocer cuáles son las amenazas a las que nos enfrentamos. Aquí podríamos diferenciar dos grandes tipos: las que no requieren de la instalación de ningún tipo de aplicación y son independientes del sistema operativo usado, y aquellas que requieren de haber instalado una aplicación, ya sea mediante un enlace proporcionado por los atacantes o incluso a través de una tienda de apps oficial.
Una de las amenazas más recurrentes observadas son aquellos mensajes que, vía SMS o mediante aplicaciones de mensajería instantánea como WhatsApp, suplantan la identidad de una reconocida empresa o una administración pública. La finalidad de este tipo de mensajes es generar el suficiente interés o preocupación del usuario para que pulse sobre el enlace proporcionado por los delincuentes. Estos enlaces suelen redirigir a páginas web que simulan ser legítimas y que los delincuentes preparan para obtener los datos personales de la víctimas, especialmente aquellos relacionados con tarjetas de crédito.
Otra amenaza que ha crecido mucho durante los últimos años es la conocida como SIM Swapping o clonación de la tarjeta SIM. Este ataque consiste en conseguir clonar nuestra tarjeta SIM o eSIM mediante técnicas de ingeniería social, o incluso con la complicidad de empleados que trabajan para un operador de telefonía. Con esta tarjeta clonada, los delincuentes pueden obtener códigos de autenticación relacionados, por ejemplo, con operaciones bancarias o apps de mensajería instantánea como WhatsApp, lo que permite a los atacantes preparar todo tipo de estafas, principalmente económicas.
Así mismo, las amenazas que implican la descarga y ejecución de una aplicación maliciosa siguen siendo un serio problema para muchos usuarios, especialmente si utilizan dispositivos Android. Muchas de estas aplicaciones son descargadas desde repositorios no oficiales, y aunque Google ha mejorado la seguridad de su sistema operativo para impedir que su descarga se realice de forma sencilla, no son pocos los usuarios que prefieren ignorar todas las alertas mostradas e incluso desactivar medidas de seguridad para obtener una app que no es lo que parece.
Entre las aplicaciones maliciosas diseñadas para smartphones encontramos varios tipos de amenazas que suelen destacar en el número de detecciones. Por un lado tenemos a los clásicos troyanos bancarios que tratan de obtener acceso a las credenciales que utilizamos para acceder a la banca online. Estas amenazas, combinados con los ataques anteriormente descritos de SIM swapping, suponen un peligro directo para nuestro bolsillo, puesto que los delincuentes pueden robarnos dinero directamente de nuestra cuenta bancaria sin que nos enteremos hasta que sea demasiado tarde.
También se detectan aplicaciones maliciosas de control remoto o RATs (por sus siglas en inglés), un tipo de troyano para dispositivos móviles que están diseñados para espiar el dispositivo de sus víctimas. Son capaces de realizar varias acciones que incluyen el registro de las pulsaciones para obtener contraseñas de acceso a varios servicios online, realizar capturas de pantalla, grabar llamadas, leer, enviar y recibir mensajes de texto, e incluso interceptar las comunicaciones que realicemos a través de cualquier servicio de mensajería o red social.
Aunque menos habitual, tampoco debemos descartar la posibilidad de que las aplicaciones maliciosas se encuentren en mercados oficiales como Google Play. Estas apps suelen estar activas hasta que son denunciadas y retiradas, margen de tiempo que los delincuentes utilizan para tratar de infectar al mayor número posible de usuarios.
En menor medida, la App Store de Apple también ha visto cómo alguna app maliciosa ha conseguido sortear las estrictas restricciones a las que somete a las aplicaciones, y aunque los usuarios de dispositivos Apple suelen recibir menos ciberamenazas, esto podría cambiar rápidamente debido a los recientes cambios normativos que han obligado a Apple a permitir la descarga de apps desde sitios externos a la tienda oficial. Tampoco podemos ignorar otros posibles vectores de infección como las invitaciones de calendario o los perfiles de configuración modificados, que pueden permitir el acceso de los atacantes a información privada almacenada en nuestro dispositivo.
10 medidas de seguridad para proteger nuestro dispositivo
Una vez conocidas las amenazas a las que nos enfrentamos, es el momento de tomar las medidas de seguridad adecuadas que nos ayudarán proteger nuestros dispositivos y la información que almacenamos en ellos. Tomando como referencia los vectores de ataque usados por los ciberdelincuentes mencionados en el punto anterior, ofrecemos las siguientes recomendaciones:
- Mantener tanto el sistema operativo como las aplicaciones de nuestro smartphone actualizadas para evitar que los atacantes se aprovechen de posibles agujeros de seguridad.
- A pesar de la existencia de apps maliciosas en tiendas oficiales, su número es mucho menor que fuera de ellas, por lo que siempre es recomendable descargarlas desde sitios oficiales o autorizados.
- Tanto a la hora de instalar una aplicación como de forma periódica, es importante revisar los permisos que le vamos a conceder, evitando dar demasiados permisos a aquellas apps que no lo requieran.
- Es importante desconfiar de mensajes no solicitados enviados a través de SMS o mensajería instantánea, por muy legítimos que nos parezcan, y, sobre todo, no pulsar sobre ningún enlace que no hayamos pedido expresamente que nos envíen. Muy probablemente estemos ante un caso de suplantación de identidad.
- Comprobar la reputación de un desarrollador, el número de descargas de una app y los comentarios de los usuarios pueden ayudarnos a diferenciar entre una aplicación legítima y otra fraudulenta.
- Contar con una solución de seguridad adaptada a las necesidades de nuestro smartphone nos puede ayudar a bloquear estas amenazas y evitar que infecten nuestro dispositivo.
- La autenticación biométrica como el reconocimiento facial o el uso de huellas dactilares es más recomendable que la basada en contraseñas.
- Se recomienda realizar copias de seguridad periódicas del contenido de nuestro smartphone, bien conectándolo a un dispositivo de almacenamiento externo, ordenador o servicio en la nube.
- Configura el doble factor de autenticación para todos aquellos servicios online que utilices desde tu teléfono y lo permitan. De esta forma, los delincuentes tendrán que sortear una barrera adicional incluso habiendo conseguido robar tus credenciales de acceso.
- Infórmate periódicamente acerca de las campañas maliciosas dirigidas a usuarios de smartphones, así como de las técnicas usadas por los ciberdelincuentes. Así será más difícil que consigan engañarte.
En última instancia, resulta importante comprender los riesgos que implica sufrir una de estas amenazas. Solo así entenderemos la necesidad de adoptar las medidas necesarias para proteger nuestros dispositivos, medidas que, por otra parte, no suponen apenas complicación y nos proporcionan un nivel de seguridad muy aceptable frente a las amenazas a las que nos enfrentamos diariamente.
Descubre más desde Revista Ciberseguridad
Suscríbete y recibe las últimas entradas en tu correo electrónico.