Cada mes, el laboratorio de seguridad ESET Latinoamérica detecta 300 códigos maliciosos que se hacen pasar por aplicaciones legítimas en las tiendas de apps de los sistemas operativos Android, de Google, y iOS, de Apple.
Las estrategias más comunes utilizadas por los cibercriminales son incluir el software malicioso en juegos y suplantar aplicaciones famosas, explicó Miguel Ángel Mendoza, investigador de seguridad en ESET.
Un claro ejemplo de cómo se escabullen estas apps falsas en las tiendas oficiales fue Pokémon Go Ultimate, que el año pasado afectó a usuarios de Android en diversos países del mundo. Esta consistía en una copia del afamado juego basado en realidad aumentada Pokémon Go, la cual bloqueaba la pantalla del dispositivo.
Una vez que la aplicación era ejecutada en los teléfonos celulares, obligaba a reiniciarlos y comenzaba a ejecutarse silenciosamente, haciendo clic en anuncios de pornografía para generar ingresos a sus creadores.
Sin embargo, existen diversas estrategias. "Hace algunos años lo que veíamos eran apps que suscribían a los usuarios a servicios de mensajería premium. Así, cuando la persona estaba iniciando una partida, en realidad estaba suscribiéndose a un servicio de este tipo, y el usuario se daba cuenta porque se le acababa el saldo o su recibo telefónico aumentaba", explicó Mendoza.
También se está observando cada vez más el ransomware para dispositivos móviles, es decir, el secuestro de datos o bloqueo al sistema que solicita un pago o rescate para que el usuario acceda a su dispositivo o a su información.
Protección
El peligro también reside en que las personas a veces ignoran la necesidad de proteger sus aparatos con una solución de seguridad.
Según demuestra una encuesta realizada por Kaspersky Lab para apoyar la Campaña de Sensibilización contra el Malware en Dispositivos Móviles de la Europol en el 2016, uno de cada cinco (21%) usuarios no está consciente en absoluto acerca del malware para dispositivos móviles.
¿Qué se puede hacer para estar alertas? Una buena práctica es descargar las aplicaciones desde los sitios oficiales. "Hay sitios de dudosa reputación que a veces ofrecen aplicaciones que no lo son, de manera gratuita. Cuando algo es demasiado bueno para ser cierto, suele ser malicioso", afirmó Mendoza.
Si bien las filtraciones en las tiendas son un problema real, sigue siendo recomendable hacer las descargas ahí y no desde páginas no oficiales.
LEA: Programas y 'apps' maliciosas crecieron 11% en Costa Rica
En ese sentido, Kaspersky Lab también recomienda en su blog descargar apps de fuentes de confianza y solicita a los padres prestar atención a lo que hacen sus niños con los dispositivos: "Muchas veces los hijos utilizan los dispositivos móviles para entretenerse. Bajan juegos aparentemente inofensivos para pasar el tiempo, pero ¿sabes si lo que en verdad están bajando es una aplicación oficial?".
Otros indicadores que el usuario debe tomar en cuenta son los comentarios que reciben las aplicaciones, así como las calificaciones que les da la gente y el número de descargas, apuntó Mendoza.
La reputación del desarrollador también suele ser un indicador de que la aplicación es legítima, pues no es lo mismo descargar un app para notas (como Evernote) o para archivos (como Dropbox), de creadores ampliamente conocidos, que otros de los que nunca se ha oído hablar.
Asimismo, cuando la aplicación se está instalando, resulta conveniente observar qué accesos se le están dando. Si usted está bajando un videojuego que le pide permiso para acceder a sus contactos y mensajería SMS, eso puede ser un indicador de que no es recomendable otorgárselos.
Por último, es conveniente instalar alguna solución de seguridad en el teléfono, para que en caso de descargar por error alguna de esas aplicaciones, sea detectada y eliminada del dispositivo.