Los celulares ocupan un lugar central en la vida de las personas. Desde allí se comunican, se entretienen, realizan pagos, guardan plata, controlan otros dispositivos y trabajan.
Esto los convierte en un blanco muy atractivo para atacantes que utilizan software malicioso (malware) e ingeniería social para vulnerar los móviles de sus víctimas y, una vez que tomaron posesión del teléfono, cometen todo tipo de delitos con consecuencias pueden ser catastróficas.
Si bien en muchos casos solo tienen consecuencias monetarias por el vaciamiento de cuentas o estafas a contactos de la víctima, también existen casos de amenaza persistente avanzada (ATP).
En este sentido, Javier Bernardo, Head of Ethical Hackers de Strike, señala a iProUP que "luego de la intrusión, el atacante toma el control del dispositivo, queda camuflado y va por otras cosas, como saber de qué manera se mueve el usuario, con quién habla o qué cuentas utiliza".
"En términos de inteligencia, es como abrir la caja de pandora. A veces es bastante más peligroso y es el comienzo de algo más grave, como dejar a esa persona públicamente expuesta", completa.
Si bien, a diferencia de una computadora, el sistema operativo de un celular es más difícil de infectar, Luis Corrons, experto en seguridad informática de Avast, advierte que hay varios tipos de malware y los atacantes no paran de crecer. A continuación, los ataques más comunes según los expertos.
Una persona se conecta en un lugar público, como un café o un aeropuerto, a una red insegura que puede estar clonada o ser parecida a la verdadera.
"A partir de ahí, los atacantes pueden monitorear los movimientos de la víctima o a través de una técnica de man in the middle (intermediario), oficiar de pasamanos entre el móvil y el sitio al que está entrando el usuario. Así, en esa acción transparente y segura para la víctima, se lleva la información del dispositivo", explica Bernardo.
Corrons añade que "tener una Red Privada Virtual (VPN, por sus siglas en inglés) en el celular para conectarse desde una red pública y que toda la información que sale del dispositivo vaya cifrada es una forma de estar protegido".
Los usuarios descargan apps que parecen ser legítimas en otras tiendas web, que no son ni Google play ni Apple Store. Pero detrás hay un software malicioso que, sin que la víctima lo note, está extrayendo información sensible.
"Los atacantes suelen usar mucho estas páginas para subir aplicaciones maliciosas e infectar a los usuarios. Es aconsejable manejarse en las tiendas oficiales que llevan adelante una serie de análisis y escrutinios que limita mucho este tipo de ataques", explica Corrons.
En este caso, el criminal se hace pasar por un organismo público, banco o operador móvil, por ejemplo, y utiliza tácticas de ingeniería social para engañar a la víctima y sacarle datos.
También puede solicitarle que complete un formulario o baje una aplicación a través de un enlace que lo dirige a una página maliciosa.
A través de esta metodología se puede invalidar la SIM card (chip) y el teléfono queda fuera de servicio por un tiempo. En ese interín, el atacante, que hizo un trabajo previo de ingeniería social, se comunica con el operador móvil solicitando un duplicado de la SIM.
Luego, accede a sus cuentas bancarias o fintech a través del envío de un mensaje SMS utilizado como doble factor de autenticación. "Este es un ataque que es bastante efectivo y, en cierta forma, la responsabilidad es más de los operadores que de los usuarios", explica a iProUP Santiago Rosenblatt, fundador y CEO de Strike.
Si el usuario pierde o sufre el robo de su dispositivo y este no tiene medidas de seguridad, los atacantes pueden acceder directamente a toda su información.
De acuerdo con datos de Kaspersky Labs provistos a iProUP, los indicios que permiten sospechar que el celular pudo haber sido hackeado son:
Algunas de las medidas de seguridad pueden sonar bastante obvias, pero son clave para evitar ataques al celular. En ese sentido, los expertos recomiendan:
Las estafas por la acción psicológica de los ciberdelincuentes, merece un capítulo aparte. A través la ingeniería social, consiguen información personal de usuarios y realizan engaños personalizados.
En los últimos años, y a raíz de la pandemia, esta modalidad fue tomando cada vez más fuerza y abundan los casos de fraude que resultan del contacto telefónico de un atacante que se hace pasar por el operador móvil, oficial bancario o empleado de un organismo público.
En esos casos, Emiliano Piscitelli, especialista en Ciberseguridad, señala a iProUP tener en cuenta el Método P.I.C.O, que el mismo diseño y que define cuatro constantes que deben tenerse en cuenta para evitar estafas:
Las amenazas a los dispositivos, no solo son cada vez mayores, sino que mutan y evolucionan. Por eso los expertos insisten en la urgencia de extremar cuidados para evitar caer en manos de los atacantes y sufrir, como mínimo, el robo del dinero en la cuenta bancaria o en la wallet.