Puntos de vista

Cómo los teléfonos inteligentes se han convertido en el mayor blanco de ataque

Kevin Townsend, 12 junio 2020

Nuestro teléfono inteligente se ha convertido en una extensión de nuestra persona, convirtiéndolo en un claro vector de ataque para estafadores y hackers

El teléfono móvil es una extensión lógica para la persona física: todos tenemos una. Organizamos nuestras vidas por ello, desde mantenernos en forma hasta administrar las finanzas. Son invaluables. Pero en paralelo con los beneficios vienen las amenazas crecientes .

El panorama móvil

Desde la llegada del teléfono inteligente, nuestro dispositivo móvil se ha convertido en parte integral de la vida cotidiana. Brinda acceso a amigos y colegas, controla nuestros dispositivos domésticos inteligentes, ofrece compras en línea y ofrece servicios bancarios en línea, todo desde cualquier lugar y en cualquier momento. En 2019, casi el 75% de las personas en el Reino Unido usaron sus dispositivos móviles para la banca en línea. En marzo de 2020, Juniper Research predijo que la banca digital en los EE. UU. Crecería un 54% entre ahora y 2024, a medida que los millennials y otros consumidores más jóvenes abandonen la banca tradicional por la banca digital y en línea.

Con gran parte de nuestra actividad, y todas nuestras credenciales digitales, almacenadas en estos dispositivos, no es de extrañar que los teléfonos móviles se usen y apunten en más delitos cibernéticos año tras año. Según los datos de Sift, más del 50% del fraude en línea ahora involucra dispositivos Android o iOS.

Amenazas a los teléfonos móviles.

El informe del Índice de seguridad móvil Verizon 2020 separa la amenaza móvil en cuatro categorías básicas: usuarios; aplicaciones y software; el dispositivo; y las redes a las que se conectan. Seguiremos esa secuencia al discutir algunas de las amenazas.

Amenazas de usuario

Los usuarios son el primer punto de seguridad para cualquier dispositivo y los usuarios no son más o menos seguros que su propio conocimiento, vigilancia y tecnología de seguridad. El phishing es la amenaza en línea más antigua, menos técnica y más persistente, y sigue siendo el tipo de ataque más común. Si bien muchos usuarios se están volviendo más conocedores de los ataques de phishing , gracias a recursos como Avast Academy , los usuarios de dispositivos móviles están siendo atacados con mayor frecuencia y con mayor sofisticación. 

La mayoría de las campañas de phishing tradicionales se realizan por correo electrónico, con mensajes fraudulentos que se hacen pasar por organizaciones legítimas para obtener datos confidenciales de las víctimas; pero los dispositivos móviles permiten muchos más vectores. Los ataques por correo electrónico siguen siendo prominentes, pero los usuarios también pueden recibir mensajes de texto maliciosos, llamadas telefónicas e incluso publicidad fraudulenta, una forma de publicidad maliciosa, en aplicaciones y páginas web. Según los datos proporcionados por Lookout, casi la mitad de los usuarios que han hecho clic en un enlace de suplantación de identidad han caído repetidamente presas de los enlaces de suplantación de identidad seis o más veces. A pesar de la edad de la amenaza, el phishing continúa siendo efectivo.

Las estafas de phishing pueden afectarnos incluso cuando no somos las víctimas directas. Una ciudad de Florida perdió casi $ 750,000 por una estafa de phishing cuando un estafador se hizo pasar por un contratista y le pidió al gobierno local que actualizara algunos detalles de pago, lo que resultó en el envío de fondos de la ciudad al estafador. Incluso más recientemente, el gobierno de Puerto Rico perdió $ 2.6 millones después de ser víctima de un correo electrónico de phishing, robando efectivamente ese dinero de los contribuyentes. Los teléfonos móviles a menudo se usan para iniciar estafas a gran escala porque el estafador puede fingir que está viajando y, por lo tanto, es difícil contactarlo para verificarlo.

Los ataques de ofuscación de URL a menudo forman un componente de las campañas de phishing y pueden ser una amenaza móvil por derecho propio. A menudo es más difícil verificar la legitimidad de cualquier enlace o URL en dispositivos móviles que las computadoras portátiles o de escritorio. Las aplicaciones móviles de navegación por Internet no comunican la información de seguridad tan claramente como los navegadores de escritorio y los enlaces enviados por SMS pueden ofuscarse fácilmente por una variedad de técnicas. La ofuscación de URL puede ser tan simple como reemplazar el dominio de nivel superior de una dirección o cambiar caracteres de aspecto similar (como '0' para 'o', 'cl' para 'd', etc.). 

Una forma más sofisticada de este ataque se conoce como ataque homógrafo . Aquí es donde uno o más de los caracteres en un nombre de dominio han sido sustituidos por caracteres extranjeros parecidos, por ejemplo, el griego Tau (τ) en lugar de la 't' normal. Por lo tanto, los delincuentes podrían registrarse (solo con fines ilustrativos) microsofτ.com y desarrollarlo como un sitio malicioso.

Los usuarios de dispositivos móviles con frecuencia aceptan permisos de aplicaciones sin leerlos en detalle. Esto puede permitir que aplicaciones fraudulentas utilicen la cámara del dispositivo para espiar al usuario o registrar entradas como detalles de inicio de sesión y credenciales bancarias. Esto no siempre es culpa de usuarios desatentos; algunos programas maliciosos para dispositivos móviles pueden superponer solicitudes de permisos de aspecto inofensivo sobre los reales, lo que hace que los usuarios crean que están de acuerdo con algo inocente y al mismo tiempo permiten que una aplicación acceda a todos los archivos en el dispositivo o lea datos confidenciales.

Amenazas de aplicaciones

Es difícil hacer un seguimiento de cuántos teléfonos inteligentes están en uso en todo el mundo, pero una estimación en 2018 sugirió 2.300 millones de teléfonos inteligentes Android. Otras estimaciones han sugerido que puede haber 100 millones de estos infectados con malware. Hay menos teléfonos iOS, pero ambos conjuntos de usuarios son atacados constantemente a través de las aplicaciones que usan. 

Una forma común de ataque es a través de aplicaciones maliciosas o armadas. Estos se introducen con mayor frecuencia a través de la carga lateral , cuando el usuario instala una aplicación desde una fuente que no sea la tienda de aplicaciones oficial. En muchos casos, el señuelo es una versión 'agrietada' gratuita de un producto comercial; o podría ser una aplicación especialmente diseñada que pretende ser un juego o una fuente de entretenimiento para adultos (relacionada con la pornografía) pero que contiene malware.

Un ejemplo de carga lateral consistió en servir malware, llamado Agente Smith, dentro de aplicaciones legítimas, incluida WhatsApp, en 2019. Las aplicaciones se descargaron de la tienda de terceros 9apps.com, propiedad de Alibaba de China. Se cree que veinticinco millones de teléfonos Android han sido infectados con el Agente Smith, hasta 15 millones en la India, pero más de 300,000 en los Estados Unidos y 137,000 en el Reino Unido.

Sin embargo, también se pueden encontrar aplicaciones maliciosas en las tiendas oficiales. En marzo de 2020, los investigadores de seguridad encontraron 56 aplicaciones infectadas con malware en Google Play Store que se habían descargado más de 1 millón de veces. Veinticuatro de las aplicaciones estaban dirigidas a niños.

La malicia de las aplicaciones maliciosas también está aumentando. Algunos ransomware móviles no solo bloquean los archivos almacenados localmente, sino también aquellos en el almacenamiento en la nube del usuario como Google Drive. Doxware , que no solo bloquea datos sino que amenaza con publicar archivos personales en línea, también está aumentando. Una proporción sorprendentemente alta de personas se toman fotos íntimas de sí mismas con sus dispositivos móviles, para compartir con parejas románticas. Una encuesta de 2014 descubrió que el 90% de las mujeres jóvenes del milenio habían tomado fotos íntimas en su teléfono. La publicación de estos puede ser intensamente vergonzoso y conducir al abuso en línea. También puede haber información de ubicación almacenada en los metadatos de las imágenes que podrían poner en peligro la seguridad personal si se publican.

Stalkerware (sitio en inglés), que generalmente es instalado por un socio 'confiable' para espiar la ubicación y los amigos de una persona, también está creciendo. Esto muestra no solo la diversidad de amenazas a los teléfonos móviles, sino también la diversidad de las fuentes de amenazas.

Amenazas de dispositivos

El intercambio de SIM es una amenaza grave que se ha duplicado cada año desde 2016. El criminal se pone en contacto con el servicio de telefonía del usuario y lo convence de que transfiera el número de teléfono de la víctima a una tarjeta SIM diferente ("He tenido que comprar un teléfono nuevo, aquí están los detalles: transfiera mi número de teléfono "). Hasta que se resuelva, el criminal recibe todas las llamadas y mensajes SMS, incluidos los códigos de autenticación 2FA, destinados a la víctima. Desafortunadamente es muy fácil, e incluso el CEO de Twitter Jack Dorsey ha sido una víctima.

Si bien la mayoría de los ataques no necesitan acceso físico directo a un dispositivo, tener ese acceso puede ser una forma fácil y efectiva de comprometer un objetivo. La extracción de jugos es un método colorido de intrusión de dispositivos en el que los piratas informáticos reemplazan o modifican tomas de corriente de acceso público. La fuente de energía comprometida se puede utilizar para instalar malware. 

Ninguno de estos ataques innovadores es necesario si un atacante puede apoderarse de nuestro teléfono, y esto puede ser tan simple como levantarlo cuando lo olvidamos o lo perdemos. En Londres, más de 25,000 dispositivos móviles se perdieron en el transporte público entre 2017 y 2018, y un promedio de 23,000 dispositivos Android se pierden o son robados cada mes. El cuatro por ciento de los usuarios de Android perderán su dispositivo al menos una vez, por lo que es probable que los ladrones oportunistas tengan oportunidades regulares de adquirir dispositivos y potencialmente toda la información sobre ellos.

Amenazas de red

Nuestros dispositivos móviles son, por definición, dispositivos IoT, y a menudo se utilizan como centros de control de IoT. Necesitamos tratarlos con la misma consideración que le damos a nuestros otros dispositivos IoT porque su pérdida puede conducir al abuso de cada dispositivo inteligente controlado a través del teléfono. 

Los ataques Man-in-the-Middle, o MitM , a menudo se ejecutan a través de puntos de acceso Wi-Fi públicos, ya sea que las redes legítimas se hayan visto comprometidas o se hayan establecido puntos de acceso fraudulentos específicamente para fines maliciosos. Las estadísticas sugieren que el 7% de los dispositivos móviles pueden experimentar un ataque MitM cada año. Debemos tratar con precaución todas las conexiones Wi-Fi externas (cafeterías, hoteles, aeropuertos, etc.).

Protegiéndonos

La mayoría, pero no todas, las amenazas móviles se originan a través de la ingeniería social en la que el atacante convence al usuario de que haga lo que el atacante quiere en lugar de lo que el usuario debe hacer. La tecnología no puede evitar que hagas lo que elijas hacer con tu propio teléfono. Al protegerte, la defensa principal es tu propia conciencia de la amenaza. Hemos discutido algunas de estas amenazas, pero de ninguna manera todas. Mantener una conciencia constante a través de la vigilancia y el aprendizaje .

No todas las amenazas provienen de la ingeniería social . En 2019, un error permitió a los usuarios de WhatsApp infectarse de forma remota simplemente con una llamada telefónica, que el usuario ni siquiera necesitó responder. Si la conciencia no puede prevenir la infección, la tecnología puede ayudar. Todos los usuarios de teléfonos móviles deben tener un producto antimalware convencional instalado en el teléfono.

Y, por último, no olvides cifrar tus datos siempre que sea posible.