Tag Apps

En respuesta a las regulaciones de la UE, WhatsApp pronto ofrecerá interoperabilidad con otros servicios de mensajería instantánea. ¿Lo necesitamos? ¿Es seguro?

La Ley de Mercados Digitales (DMA) de la UE requiere que las principales empresas de tecnología ofrezcan productos más abiertos e interoperables para aumentar la competencia. Gracias a la DMA, iOS pronto permitirá que se instalen tiendas de aplicaciones de terceros, y las principales plataformas de mensajería instantánea deberán permitir la comunicación con otras aplicaciones similares, lo que crea una compatibilidad entre plataformas. Los ingenieros de Meta (Facebook) detallaron recientemente cómo se implementará esta compatibilidad en WhatsApp y Messenger. Los beneficios de la interoperabilidad son evidentes para cualquiera que alguna vez haya enviado mensajes de texto o correos electrónicos. Podrás enviar o recibir mensajes sin preocuparte por el teléfono, el ordenador o la aplicación que usa la otra persona, o en qué país se encuentra. Sin embargo, hay desventajas. En primer lugar, los terceros (desde agencias de inteligencia hasta piratas informáticos) a menudo tienen acceso a tu correspondencia; en segundo lugar, estos mensajes son los principales objetivos del correo no deseado y del phishing. Entonces, ¿podrá la DMA garantizar la provisión de interoperabilidad y sus beneficios, y al mismo tiempo eliminar sus defectos?

Es importante tener en cuenta que, si bien el impacto de la DMA en la App Store de iOS solo afectará a los usuarios de la UE, la mensajería entre plataformas probablemente afectará a todos, incluso si solo los partners de la UE se conectarán a la infraestructura de WhatsApp.

¿Puedes chatear por WhatsApp con usuarios de otras plataformas?

En teoría, sí, pero aún no en la práctica. Meta ha publicado especificaciones y requisitos técnicos para los partners que desean que sus aplicaciones sean interoperables con WhatsApp o Messenger. Ahora depende de estos partners subirse a bordo y desarrollar un puente entre su servicio y WhatsApp. Hasta la fecha, no se han anunciado asociaciones de este tipo.

Es posible que los propietarios y desarrolladores de otros servicios de mensajería instantánea estén reacios a implementar dicha funcionalidad. Algunos lo consideran inseguro; otros no están dispuestos a invertir recursos en una integración bastante compleja. Meta requiere que los partners potenciales implementen un cifrado de extremo a extremo (E2EE) con al menos el mismo nivel de cifrado de WhatsApp, lo cual es un desafío importante para muchas plataformas

Incluso si aparecen servicios de terceros, solo aquellos usuarios de WhatsApp que se suscriban explícitamente podrán enviar mensajes entre las plataformas. No se activará de manera predeterminada.

¿Cómo serán esos mensajes?

Sobre la base de las versiones beta de WhatsApp, los mensajes con usuarios de otras plataformas se alojarán en una sección independiente de la aplicación a fin de distinguirlos de los chats con usuarios de WhatsApp.

Inicialmente, solo se admitirán mensajes entre dos individuos y el intercambio de archivos, imágenes o vídeos. Las llamadas y los chats grupales no estarán disponibles durante al menos un año.

La identificación del usuario sigue siendo una cuestión no resuelta. En WhatsApp, los usuarios se buscan por número de teléfono, mientras que en Facebook, lo hacen por nombre, lugar de trabajo, escuela, amigos de amigos u otros identificadores similares (y en última instancia por un ID único). Otras plataformas pueden usar identificadores incompatibles, como nombres de usuario cortos en Discord o ID alfanuméricos en Threema. Es probable que esto impida la búsqueda automática y la coincidencia de usuarios y, al mismo tiempo, facilite los ataques de suplantación de identidad por parte de los estafadores.

Desafíos en torno al cifrado

Uno de los desafíos clave de la integración de diferentes plataformas de mensajería es la implementación de un cifrado confiable. Incluso si dos plataformas usan el mismo protocolo de cifrado, surgen problemas técnicos con respecto al almacenamiento y el acuerdo de claves, la autenticación del usuario y más.

Si el método de cifrado difiere considerablemente, es probable que se necesite un puente, es decir, un servidor intermediario que descifre los mensajes de un protocolo y los vuelva a cifrar en otro. Si consideras que esto te convierte en el objetivo de un ataque de intermediarios (MITM), en el que la piratería de este servidor facilitaría las escuchas, tu desconfianza estaría fundada. La aplicación fallida Nothing Chats, que utilizaba un esquema similar para activar iMessage en Android, demostró recientemente esta vulnerabilidad. Incluso los propios esfuerzos de Meta son ilustrativos: la mensajería cifrada entre Messenger e Instagram se anunció hace más de cinco años, pero el cifrado a gran escala en Messenger recién llegó en diciembre pasado, y el E2EE de Instagram sigue sin estar completamente funcional hasta el día de hoy. Como se explica en este artículo detallado, no se trata de pereza o falta de tiempo, sino de la significativa complejidad técnica del proyecto.

Los criptógrafos por lo general son muy escépticos sobre la idea de del E2EE entre plataformas. Algunos expertos creen que el problema se puede resolver, por ejemplo, creando el puente directamente en el ordenador del usuario o haciendo que todas las plataformas adopten un protocolo de mensajería único y descentralizado. Sin embargo, los peces gordos del mercado de la mensajería instantánea no nadan en esa dirección. Es difícil acusarlos de inactividad o inercia; toda la experiencia práctica demuestra que el cifrado de mensajes confiable y fácil de usar dentro de ecosistemas abiertos es difícil de implementar. Basta con mirar la saga del cifrado PGP en el correo electrónico y las confesiones de los principales expertos en criptografía.

Hemos recopilado información sobre los planes de integración de WhatsApp y Messenger de las principales plataformas de comunicación, y hemos evaluado la viabilidad técnica de la funcionalidad entre plataformas:

Dilemas de seguridad

Más allá de los problemas de cifrado, la integración de varios servicios presenta desafíos adicionales en la protección contra el correo no deseado, el phishing y otras ciberamenazas. Si recibes mensajes no deseados en WhatsApp, puedes bloquear al emisor en ese momento. Después de que varios usuarios lo bloquean, el emisor de spam tendrá una capacidad limitada para enviar mensajes a extraños. Queda por ver en qué medida estas técnicas antispam funcionarán con servicios de terceros.

Otro problema es la moderación del contenido no deseado, desde pornografía hasta sorteos falsos. Cuando se involucran algoritmos y expertos no de una sino de dos empresas, la velocidad de respuesta y la calidad están destinadas a sufrir.

Las preocupaciones sobre la privacidad también se volverán más complejas. Supongamos que instalas la aplicación Skype; al hacerlo, compartes datos con Microsoft, que los almacenará. Sin embargo, tan pronto como le envíes un mensaje a alguien en WhatsApp desde Skype, cierta información sobre ti y tu actividad llegará a los servidores de Meta. Por cierto, WhatsApp ya tiene un acuerdo de invitado para este caso. Esto es lo que el equipo suizo detrás de Threema encuentra inquietante; temen que los mensajes con los usuarios de WhatsApp puedan llevar a la desanonimización de los usuarios de Threema.

Y no olvidemos que la noticia de la compatibilidad entre plataformas es música para los oídos de los autores de malware: será mucho más fácil atraer a las víctimas con “mods de WhatsApp para enviar mensajes a Telegram” u otras ofertas ficticias. Sin embargo, de todos los problemas, este es el más fácil de resolver: debes instalar solo aplicaciones de tiendas oficiales y usar una protección confiable en tus teléfonos inteligentes y ordenadores.

¿Qué debes hacer?

Si usas WhatsApp y deseas enviar mensajes a usuarios de otros servicios

Cuenta aproximadamente cuántas personas de tu círculo no usan WhatsApp pero usan otras plataformas que han anunciado la interoperabilidad con WhatsApp. Si no hay muchas, es mejor no activar la compatibilidad para los servicios de mensajería instantánea de terceros: los riesgos de correos y mensajes no deseados superan los beneficios potenciales.

Si conoces muchas de esas personas, analiza si hablan sobre temas confidenciales. Incluso con los requisitos de cifrado de Meta, la mensajería entre plataformas a través de un puente debe considerarse vulnerable a la interceptación y la modificación no autorizada. Por lo tanto, se recomienda usar el mismo servicio de mensajería instantánea seguro (como Signal) para la comunicación confidencial.

Si decides que WhatsApp + servicio de mensajería instantánea de terceros es la fórmula ganadora, asegúrate de maximizar la configuración de privacidad en WhatsApp y ten cuidado con los mensajes extraños, especialmente de personas que no conoces, pero también de amigos sobre temas inusuales. Trata de verificar que esa persona sea quien dice ser, y no un estafador que te envía mensajes a través de un servicio de terceros.

Si usas otro servicio de mensajería instantánea que ha anunciado interoperabilidad con WhatsApp

Si bien es atractivo obtener acceso a todos los usuarios de WhatsApp dentro de tu servicio de mensajería instantánea favorito, si usas un servicio de mensajería instantánea diferente para obtener mayor privacidad, es probable que la conexión a WhatsApp la disminuya. Los servicios de Meta recopilarán ciertos metadatos durante las conversaciones, lo que podría llevar a la desanonimización de la cuenta, y el puente de cifrado puede ser vulnerable a las escuchas. En general, no recomendamos activar esta función en servicios de mensajería instantánea seguros, en caso de que alguna vez esté disponible.

Consejos para todos

Ten cuidado con las “modificaciones” y las aplicaciones poco conocidas que prometen mensajería entre plataformas y otras maravillas. Es probable que haya malware al acecho detrás de la interfaz seductora. Asegúrate de instalar protección en tu ordenador y teléfono inteligente para evitar que los atacantes roben tu correspondencia dentro de servicios de mensajería instantánea legítimos.

Fuente: latam.kaspersky.com

Los niños están expuestos a riesgos en línea debido a la falta de transparencia en el uso y recopilación de datos. Te contamos cómo puedes protegerlos y qué medidas debes considerar tomar.

Nuestros hijos pasan más tiempo que nunca con sus teléfonos. Alrededor del 80% de los niños europeos de 9 a 16 años acceden a Internet desde sus teléfonos todos los días. En el Reino Unido, el 91% de los niños tiene un teléfono móvil a los 11 años, y en Estados Unidos la misma proporción tiene un smartphone a los 14 años. Aunque estos dispositivos, y las aplicaciones instaladas en ellos, pueden ser una gran herramienta de entretenimiento, socialización y aprendizaje, también presentan riesgos.

Como padres, a menudo compramos estos dispositivos principalmente para que nuestros hijos se mantengan conectados con nosotros, para que estén seguros cuando están fuera de casa y, quizá en menor medida, para que conecten con sus amigos. Pero, ¿cuántos de nosotros tenemos en cuenta las posibles implicaciones para la seguridad en línea? Gran parte del problema radica en la falta de transparencia sobre el uso de los datos y en los desarrolladores de aplicaciones.

A continuación, abordamos los principales riesgos para la seguridad asociados a las aplicaciones dirigidas a los niños, y cómo mitigarlos.

Desafíos de privacidad en aplicaciones para menores

Las aplicaciones de los teléfonos inteligentes son la puerta de entrada al mundo digital para los menores, pero también pueden exponerlos a publicidad explotadora, contenidos inapropiados y riesgos de seguridad y privacidad. El reto para los adultos se ve agravado por la complejidad de la configuración de la privacidad, la opacidad de las políticas de privacidad, las lagunas normativas, la debilidad en la aplicación de las leyes y nuestra propia falta de concienciación.

Un estudio de Incogni analizó 74 aplicaciones Android dirigidas a niños utilizadas en todo el mundo. Se descubrió que:

• Casi la mitad (34/74) recopilan al menos algunos datos del usuario, y un tercio de ellas recopilan al menos siete puntos de datos, incluida la ubicación, las direcciones de correo electrónico, el historial de compras y las interacciones con la aplicación
• Los desarrolladores afirman que el motivo de esta recopilación de datos es principalmente el análisis, la funcionalidad de la aplicación, la prevención del fraude y la publicidad o el marketing
• Solo el 62% de las aplicaciones que recopilan datos permiten a los usuarios solicitar la eliminación de sus datos

Otro estudio sobre aplicaciones para iOS destinadas a niños menores de 12 años reveló que todas compartían datos de los usuarios con distintos grados de sensibilidad fuera de la aplicación. Y el 44% enviaba al menos un dato personal a terceros. Un 65% compartió datos con terceros que proporcionan publicidad o análisis con fines comerciales.

Leyes vigentes en el mundo

Los legisladores han promulgado leyes específicas para proteger a los niños de la recopilación y el uso excesivos de datos.

En Estados Unidos, la ley COPPA se aprobó en 1998 para obligar a los desarrolladores a obtener el consentimiento paterno antes de recopilar información personal de menores de 13 años. También deben proporcionar una política de privacidad clara que detalle cómo se utiliza la información recopilada, y ofrecer a los padres la opción de revisar, modificar o eliminar estos datos.

En la UE, el GDPR-K exige que los desarrolladores recojan únicamente los datos mínimos necesarios para prestar los servicios de una aplicación, y que obtengan el consentimiento paterno para procesar datos personales en la mayoría de los casos. También exige una configuración de la privacidad adecuada a la edad y fácil de entender para los niños, y que los desarrolladores evalúen y mitiguen periódicamente los riesgos para la protección de datos.

A lo largo de los años, las medidas de aplicación han sido limitadas. TikTok fue una excepción notable, ya que se le impuso una multa de 345 millones de euros (368 millones de dólares) por el GDPR y un acuerdo de 5,7 millones de dólares con la FTC. Pero que no se multe a más desarrolladores de aplicaciones infantiles no significa que no pase nada. Más bien puede apuntar a una falta de capacidad reguladora para hacer cumplir la ley. 

Principales riesgos de las aplicaciones

• Recogida excesiva de datos: La información personal, como la edad, la dirección de correo electrónico, la ubicación y la actividad en la aplicación, puede ser una mina de oro para los anunciantes. Si los desarrolladores la comparten a través de rastreadores de terceros, representa un riesgo para la seguridad de los datos por la posibilidad de este pueda sufrir una violación.
• Publicidad poco escrupulosa: Los anuncios dirigidos sobre todo a niños pequeños pueden aprovecharse de su incapacidad para discernir que se les está haciendo publicidad. Los anuncios también pueden incluir contenido inapropiado.
• Compras dentro de la aplicación: Algunas aplicaciones, especialmente en el mundo de los videojuegos, permiten a los usuarios realizar compras durante una sesión. Los menores pueden ser más susceptibles a que los desarrolladores les empujen a gastar dinero sin el conocimiento del adulto a cargo.
• Control parental limitado: Algunas aplicaciones carecen de controles parentales adecuados, lo que dificulta minimizar la exposición a riesgos al utilizar la aplicación.
• Información limitada sobre privacidad: A pesar de los requisitos normativos de muchas jurisdicciones, las aplicaciones infantiles pueden incluir políticas de privacidad/seguridad opacas que no dejan claro cómo se utilizarán y protegerán los datos. Como afirma el organismo regulador de la privacidad del Reino Unido: “Un mal diseño de la información sobre privacidad oculta los riesgos, desbarata las buenas experiencias de los usuarios y siembra la desconfianza entre los niños, los padres y los servicios en línea.”
• Compartir demasiado: Algunas aplicaciones pueden ofrecer pocos medios obvios para que limitar la cantidad de información que comparten con otros usuarios, poniéndolos en peligro de ciberacosadores, ladrones de datos y estafadores.
• Contenido inapropiado: Las aplicaciones pueden permitir a los menores acceder a contenidos inadecuados para su edad, incluidos los compartidos por otros usuarios. Las redes sociales son especialmente peligrosas, dado el gran número de usuarios que comparten imágenes y vídeos. Los moderadores pueden tardar en ponerse al día y retirar todo lo que se considere inapropiado.
• Riesgos de seguridad: Las aplicaciones móviles también plantean importantes riesgos de seguridad. Las que no se han diseñado pensando en la seguridad pueden incluir vulnerabilidades, errores de configuración y otros riesgos, como la falta de cifrado de datos. Estos agujeros pueden ser aprovechados por los delincuentes para robar los datos del menor, incluidos los de acceso a las aplicaciones, inscribirlo en servicios de pago o secuestrar sus cuentas de redes sociales y juegos. También podrían utilizar el acceso al dispositivo para llevar a cabo una ciberextorsión.

Cómo mitigar los riesgos de seguridad de las aplicaciones

Como padre, tienes un papel fundamental a la hora de proteger la privacidad y la seguridad de tus hijos cuando utilizan aplicaciones para teléfonos inteligentes. Te contamos cómo:

• Habla con sus hijos: Explícale la importancia de proteger su información personal, las posibles consecuencias de los riesgos de seguridad y privacidad, y déjale claro que esperas que recurra a ti antes de tomar cualquier decisión sobre compartir información en línea. 
• Investiga: Revisa cualquier aplicación que el niño o niña quiera descargarse antes de permitírselo. Comprueba sus políticas de privacidad y su reputación en materia de privacidad y seguridad.
• Mantén el control: Respeta la intimidad de su hijo, pero que sepa que controlarás de vez en cuando el uso y los permisos de sus aplicaciones. Considera la posibilidad de utilizar software de control parental para limitar lo que pueden descargar y a qué funciones podrán acceder (por ejemplo, desactivar las funciones de mensajería o sociales). Estos programas también permiten navegar de forma segura y proporcionan informes sobre el uso de Internet.
• Céntrate en la seguridad: Descarga software antimalware de un proveedor de confianza y mantenlo actualizado con la última versión de la aplicación y del sistema operativo, y protegido con contraseña. Activa la autenticación multifactor (MFA) en las aplicaciones que la admitan. Y asegúrese de que solo se descarguen aplicaciones de las tiendas oficiales de Google y Apple.
• Bloquea la publicidad: Desactiva el seguimiento de anuncios en el smartphone accediendo a la configuración correspondiente en Android o iOS.
• Elige aplicaciones adaptadas a los niños: Para dispositivos Android, busca las “aprobadas por el profesor” en Google Play, en la pestaña Niños. Las apps se clasifican según “adecuación a la edad, calidad de la experiencia, enriquecimiento y deleite”.

Todos queremos que nuestros hijos saquen el máximo partido a sus smartphones. Pero, ante todo, queremos que estén seguros. Navegar por este campo minado digital nunca va a ser fácil. Pero cuanto te informes y conozcas los riesgos, podrás tomas las mejores decisiones en pos del bienestar y la seguridad de los menores.

Fuente: www.welivesecurity.com

Más allá de la recomendación de descargar aplicaciones del repositorio oficial, nunca estamos exentos de infectarnos. En este artículo analizamos cuáles pueden ser las vías de infección y cómo reducir el riesgo.

Para utilizar cualquier servicio o red social es necesario descargar una aplicación en nuestro dispositivo móvil. La pregunta, entonces, surge casi de inmediato: ¿me puedo infectar descargando una app desde Google Play? La respuesta es sí, y en este artículo ahondaremos en el porqué de esta afirmación y de qué manera se puede reducir el riesgo de infección.

¿Es recomendable descargar aplicaciones de Google Play?

Sí, siempre que se deba descargar alguna aplicación es ideal realizarlo desde Google Play u otros repositorios oficiales como App Store. El riesgo de infectarse mediante la descarga de una app maliciosa es muchísimo mayor si se realiza por fuera de estos repositorios. Ahora bien, esto no quiere decir que lo descargado en tiendas oficiales sean 100% fiables.

¿Existe malware en Google Play?

Sí. Diversas aplicaciones maliciosas logran pasar las barreras de seguridad y están disponibles en Google Play, hasta que son denunciadas y dadas de baja.

Lo mismo sucede con las extensiones para el navegador. Por ejemplo, con el auge de ChatGPT surgieron casos de extensiones y aplicaciones que se hacen pasar por herramientas basadas en el chatbot pero que en realidad esconden programas maliciosos que buscan robar contraseñas de Facebook y otras redes sociales.

¿Cómo llega el malware a las aplicaciones de Google Play?

Una de las vías mediante las que el malware logra evadir los controles y barreras de Google es mediante las actualizaciones de las aplicaciones. Comúnmente se conoce a esta técnica como “carga dinámica de código” o DCL, por sus siglas en inglés; y básicamente consiste en introducir el código malicioso en aplicaciones que ya están publicadas en Google Play mediante actualizaciones enviadas por servidores controlados por los ciberatacantes.

Así, un desarrollador malintencionado logra publicar una versión legítima en Google Play Store, pero luego cambia el código y la convierte en maliciosa mediante una actualización.

Esta actualización posterior se realiza desde servidores externos, pero los usuarios terminan creyendo que es una actualización legítima desde la tienda, ya que los cibercriminales buscan simular las ventanas emergentes desde donde se realiza la descarga.

Investigadores de ESET descubrieron, por ejemplo, una aplicación troyanizada para Android que había estado disponible en la tienda Google Play con más de 50,000 instalaciones. La aplicación llamada iRecorder – Screen Recorder se cargó en la tienda sin malware el 19 de septiembre de 2021. Sin embargo, parecería que la funcionalidad maliciosa se implementó más tarde, muy probablemente en la versión 1.3.8, que estuvo disponible en agosto de 2022.

El comportamiento malicioso específico de esta aplicación involucraba la extracción de grabaciones del micrófono y el robo de archivos con extensiones específicas, claro indicio de su potencial participación en una campaña de espionaje.

Cómo detectar aplicaciones maliciosas en Google Play

Existen muchos puntos a tener en cuenta a la hora de detectar una aplicación maliciosa o falsa.

Posición en el ranking y reviews

Un primer síntoma puede ser que no aparezca en los primeros lugares de los rankings de las más descargadas. Otra alarma está representada por las valoraciones negativas o, por el contrario, si cuenta con demasiadas reviews cuando en realidad no tuvo muchas descargas.

Apariencia

Las aplicaciones maliciosas buscan imitar a las reales, usando logos parecidos, aunque no idénticos. También ayuda prestar atención a la descripción de la aplicación y verificar si existen problemas de gramática o datos incompletos.

Imagen 1. El ícono de “Trezor Mobile Wallet” luego de la instalación, difiere del que se ve en Google Play, lo cual sirve como un claro indicador de algo falso.

Existen sobrados ejemplos, como aplicaciones bancarias y de préstamos, otras para leer PDF, para grabar pantalla, de wallpapers, y hasta aquellas que se valen del boom de las criptomonedas para encontrar víctimas desprevenidas.

Imagen 2. Aplicación en Google Play que era utilizada para distribuir el malware Joker.

Fuente: www.welivesecurity.com

El crecimiento en 2023 de  apps maliciosas que recopilan y exflitran datos confidenciales de las víctimas, eludiendo los controles de Google Play, y que afectan a personas de varios países, entre ellos México, Colombia, Chile y Perú.

Ecuador – Desde principios de 2023 los investigadores de ESET, han observado un alarmante crecimiento de aplicaciones engañosas para Android que se presentan como servicios legítimos de préstamos personales, prometiendo un acceso rápido y fácil a los fondos. Estos servicios en realidad están diseñados para estafar a los usuarios ofreciéndoles préstamos con altas tasas de interés respaldados con descripciones engañosas, todo mientras recopilan la información personal y financiera de sus víctimas para chantajearlas y, al final, obtener sus fondos. Por ello, los productos de ESET reconocen estas aplicaciones utilizando el nombre de detección SpyLoan, que hace referencia directa a su funcionalidad de spyware combinada con reclamos de préstamos.

Todas las aplicaciones mencionadas en esta nota estaban disponibles en Google Play, pero actualmente se comercializan a través de redes sociales y mensajes SMS, y se pueden descargar desde sitios web dedicados a estafas y tiendas de aplicaciones de terceros. Como socio de Google App Defense Alliance, ESET identificó y denunció a Google 18 aplicaciones SpyLoan que tenían más de 12 millones de descargas en Google Play y que fueron posteriormente eliminadas 17 de ellas. La última aplicación identificada por ESET todavía está disponible en Google Play, pero como sus desarrolladores cambiaron sus permisos y funcionalidades, ya no se detecta como una aplicación SpyLoan.

“Es importante tener en cuenta que cada instancia de una aplicación SpyLoan, independientemente de su origen, se comporta de forma idéntica. Si los usuarios descargan una aplicación van a experimentar las mismas funciones y se enfrentarán a los mismos riesgos, sin importar de dónde obtuvieron la aplicación. No interesa si la descarga procede de un sitio web sospechoso, de una tienda de aplicaciones de terceros o incluso de Google Play: el comportamiento de la aplicación será el mismo en todos los casos.”, explica Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.

Según la telemetría de ESET, los ejecutores de estas apps operan principalmente en México, Indonesia, Tailandia, Vietnam, India, Pakistán, Colombia, Perú, Chile, Filipinas, Egipto, Kenia, Nigeria y Singapur. Todos estos países tienen diversas leyes que regulan los préstamos privados, no sólo sus tipos, sino también la transparencia de su comunicación. Cualquier detección fuera de estos países podría estar relacionada con smartphones que tienen, por diversas razones, acceso a un número de teléfono registrado en uno de estos países.

ESET Research ha rastreado los orígenes del esquema SpyLoan hasta 2020. En ese momento, este tipo de aplicaciones solo presentaban casos aislados que no llamaban la atención de los investigadores; sin embargo, la presencia de aplicaciones de préstamos maliciosas siguió creciendo y, finalmente, se comenzaron a detectar en Google Play, la App Store de Apple y en sitios web dedicados a estafas. Este enfoque multiplataforma maximizó su alcance y aumentó las posibilidades de participación de los usuarios, aunque estas aplicaciones fueron retiradas posteriormente de las tiendas de aplicaciones oficiales.

Aplicaciones disponibles en las tiendas oficiales de iOS (izquierda) y Android (derecha) en 2020.

Sitio web dedicado a estafas.

A principios de 2022, ESET se puso en contacto con Google Play para notificar sobre más de 20 apps de préstamos maliciosas con más de 9 millones de descargas colectivas. Luego de esta intervención, la compañía eliminó estas apps de su plataforma. Según la telemetría de ESET, las detecciones de SpyLoan comenzaron a aumentar de nuevo en enero de 2023 y desde entonces han seguido creciendo aún más en tiendas de aplicaciones de terceros no oficiales, Google Play y sitios web. En los últimos tres años, la situación ha evolucionado y Google Play ha realizado varios cambios en sus políticas de apps de préstamos personales y ha anulado la publicación de muchas apps de préstamos maliciosas.

“Para atraer a las víctimas, los delincuentes promocionan activamente estas aplicaciones maliciosas con mensajes SMS y en redes sociales populares como X (Twitter), Facebook y YouTube. Aprovechando esta inmensa base de usuarios, los estafadores pretenden atraer a víctimas desprevenidas que necesitan ayuda financiera. Otro aspecto alarmante de algunas aplicaciones SpyLoan es la suplantación de proveedores de préstamos y servicios financieros de buena reputación mediante el uso indebido de nombres y marcas de entidades legítimas.”, añade Gutiérrez Amaya, de ESET Latinoamérica.

Cómo funcionan las aplicaciones de SpyLoan

Una vez que el usuario instala una aplicación SpyLoan, se le pide que acepte las condiciones del servicio y que conceda amplios permisos para acceder a datos confidenciales almacenados en el dispositivo. A continuación, la aplicación solicita el registro del usuario, que normalmente se realiza mediante la verificación de la contraseña de un solo uso por SMS para validar el número de teléfono de la víctima. Estos formularios de registro seleccionan automáticamente el código de país basándose en el código de país del número de teléfono de la víctima, garantizando que sólo las personas con números de teléfono registrados en el país objetivo puedan crear una cuenta.

Registro del número de teléfono con códigos de país preseleccionados.

Una vez verificado el número de teléfono, los usuarios acceden a la función de solicitud de préstamos de la aplicación. Para completar el proceso de solicitud, los usuarios se ven obligados a proporcionar una gran cantidad de información personal, incluyendo detalles de dirección, información de contacto, prueba de ingresos, información de la cuenta bancaria, e incluso subir fotos del anverso y reverso de sus documentos de identidad, y un selfie.

Las aplicaciones solicitan datos sensibles al usuario.

Las aplicaciones SpyLoan suponen una importante amenaza al extraer sigilosamente una amplia gama de información personal de usuarios desprevenidos: son capaces de enviar datos confidenciales a sus servidores de comando y control (C&C). Los datos que se suelen filtrar incluyen la lista de cuentas, registros de llamadas, eventos del calendario, información del dispositivo, listas de aplicaciones instaladas, información de la red Wi-Fi local e incluso información sobre los archivos del dispositivo. Además, las listas de contactos, los datos de localización y los mensajes SMS también son vulnerables.

Una vez instalada la aplicación y recopilados los datos personales, sus ejecutores empiezan a acosar y chantajear a las víctimas para que realicen los pagos, incluso si -según las críticas- el usuario no solicitó el préstamo o lo solicitó pero no se lo aprobaron. Además, estos servicios presentan una forma de usura digital moderna, que se refiere al cobro de tipos de interés excesivos en los préstamos, aprovechándose de personas vulnerables con necesidades financieras urgentes, o de prestatarios que tienen un acceso limitado a las instituciones financieras convencionales.

Los revisores de estas aplicaciones afirman haber sido acosados y amenazados, algunos de ellos incluso aunque no recibieran un préstamo.

“Hay varias razones que explican el rápido crecimiento de las aplicaciones SpyLoan. Una de ellas es que sus desarrolladores se inspiran en los exitosos servicios FinTech, que aprovechan la tecnología para ofrecer servicios financieros ágiles y fáciles de usar. Las aplicaciones y plataformas FinTech son conocidas por alterar el sector financiero tradicional ofreciendo comodidad en términos de accesibilidad, permitiendo a las personas, de una manera fácil de usar, realizar diversas actividades financieras en cualquier momento y en cualquier lugar, utilizando sólo sus teléfonos inteligentes. Por el contrario, lo único que alteran las aplicaciones SpyLoan es la confianza en la tecnología, las instituciones financieras y entidades similares.”, señala Gutiérrez Amaya, de ESET Latinoamérica.

Para poder poner el pie en Google Play y ser publicadas en la plataforma, todas las apps de SpyLoan analizadas proporcionaron una descripción que en su mayoría parece ajustarse no sólo a los requisitos de Google Play, sino que también parece cubrir las exigencias legales locales; algunas apps incluso afirmaban ser empresas financieras no bancarias registradas. En general, declaran abiertamente qué permisos se solicitan, afirman tener la licencia adecuada y facilitan el rango de la tasa anual equivalente.

En cuanto a sus políticas de privacidad, las aplicaciones SpyLoan identificadas utilizaban tácticas engañosas. Por un lado enumeraban razones engañosas para recopilar datos personales, mientras que, por otro, afirmaban que no se recopilaban datos personales sensibles. Se cree que el verdadero propósito de estos permisos es espiar a los usuarios de las aplicaciones y acosarlos y chantajearlos a ellos y a sus contactos.

Aplicaciones de préstamos legítimas frente a maliciosas: cómo distinguirlas

Desde ESET, se comparte una serie de recomendaciones que los usuarios pueden emplear para protegerse:

– Recurrir a fuentes oficiales: los usuarios de Android deberían evitar la instalación de aplicaciones de préstamos de fuentes no oficiales y tiendas de aplicaciones de terceros, y ceñirse a plataformas de confianza como Google Play, que aplican procesos de revisión de aplicaciones y medidas de seguridad. Aunque esto no garantiza una protección total, reduce el riesgo de encontrarse con aplicaciones de préstamos fraudulentas.

– Utilizar una aplicación de seguridad: una aplicación de seguridad fiable para Android protege al usuario de aplicaciones de préstamo maliciosas y de malware. Las aplicaciones de seguridad proporcionan una capa adicional de protección escaneando e identificando aplicaciones potencialmente dañinas, detectando malware y advirtiendo a los usuarios sobre actividades sospechosas.

– Revisión de escrutinio: al descargar aplicaciones de Google Play, es importante prestar mucha atención a las reseñas de los usuarios. Es crucial ser consciente de que las reseñas positivas pueden ser falsificadas. Los prestatarios deben centrarse en las reseñas negativas y evaluar cuidadosamente las preocupaciones planteadas por los usuarios, ya que pueden revelar información importante, como las tácticas de extorsión y el coste real que cobra el proveedor del préstamo.

– Política de privacidad y examen del acceso a los datos: antes de instalar una aplicación de préstamos, los usuarios deben leer su política de privacidad, si está disponible. Este documento suele contener información valiosa sobre la forma en que la aplicación accede a la información confidencial y la almacena. Sin embargo, los estafadores pueden emplear cláusulas engañosas o un lenguaje vago para engañar a los usuarios y conseguir que concedan permisos innecesarios o compartan datos personales. Durante la instalación, es importante prestar atención a los datos a los que la aplicación solicita acceso y preguntarse si los datos solicitados son necesarios para la funcionalidad de la aplicación de préstamo.

“Hay varias vías por las que las personas pueden buscar ayuda y tomar medidas si son víctimas de usureros digitales. Las víctimas deben denunciar el incidente a las autoridades policiales o judiciales pertinentes de su país, ponerse en contacto con los organismos de protección de los consumidores y alertar a la institución que rige las condiciones de los préstamos privados; en la mayoría de los países es el banco nacional o su equivalente. Cuantas más alertas reciban estas instituciones, más probable será que tomen medidas. Si la aplicación de préstamos engañosa se obtuvo a través de Google Play, los particulares pueden solicitar ayuda al servicio de asistencia de Google Play, donde pueden denunciar la aplicación y solicitar la eliminación de sus datos personales asociados a ella.” concluye Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Fuente: Departamento de Comunicación ESET Ecuador

Signal es tal vez la aplicación de mensajería que más privacidad ofrece a sus usuarios, pero un factor que frena su crecimiento posiblemente sea la baja cantidad de usuarios en comparación con WhatsApp o Telegram.

Durante mayo de 2021, y luego de que WhatsApp anunciara una renovación en su política de privacidad y términos de uso, otras aplicaciones de mensajería instantánea comenzaron a ganar popularidad. Entre las más descargadas después de WhatsApp encontramos a Telegram y Signal.

Ya te contamos en un post anterior las opciones que ofrece Telegram para configurar la privacidad y seguridad de los usuarios y también sobre las diferencias entre WhatsApp, Telegram y Signal. En esta ocasión, profundizaremos en Signal, la aplicación menos conocida (y más anónima) de las mencionadas.

Principales características de Signal

Signal, antes llamada TextSecure, es una aplicación de mensajería de texto y voz que desde sus inicios estuvo caracterizada por la privacidad y seguridad. Es de código abierto, es decir, su código es accesible y auditable por cualquier usuario y, además, es mantenida por una organización sin fines de lucro que opera en base a donaciones.

En cuanto a la recopilación de datos, Signal solamente requiere del número de teléfono móvil del usuario. Si bien cuenta con funcionalidades como la sincronización de los contactos o la posibilidad de contar con una foto de perfil, obtiene los datos utilizando algoritmos que utilizan cifrado y no requieren de un almacenamiento extra en los servidores de la aplicación.

Además, todas las comunicaciones realizadas en la aplicación están cifradas por defecto y de manera obligatoria. De hecho, la organización detrás de Signal creó su propio protocolo de cifrado para ello, que combina complejos algoritmos criptográficos para asegurar que sea imposible quebrantarlo.

Finalmente, la aplicación solicita permisos similares a WhatsApp y Telegram. Sin embargo, estos corresponden a funcionalidades adicionales (como importar contactos, enviar fotografías o enviar y recibir mensajes de texto mediante Signal), y se pueden desactivar sin afectar al funcionamiento esencial de la aplicación.

­­­­­­­­­­­Configuraciones de privacidad en Signal

Como en la mayoría de las aplicaciones de mensajería, encontramos las configuraciones relacionadas a la seguridad y privacidad en el menú Ajustes. En Signal, podemos encontrarlos presionando los tres puntos en la esquina superior derecha.

Además de configuraciones de perfil, ver dispositivos en donde hayamos iniciado sesión y demás ajustes de apariencia y almacenamiento, encontramos las opciones de privacidad bajo la categoría Privacidad.

Dentro de esta opción podemos encontrar la lista de usuarios bloqueados, así como opciones aplicadas a las conversaciones, que van desde la posibilidad de inhabilitar las notificaciones de lectura o tecleo, hasta seleccionar un tiempo de desaparición de los mensajes. Este último funciona como la autodestrucción de mensajes en Telegram, pero configurado para cualquier chat que iniciemos. Es decir, después de que el mensaje sea visto, se eliminará de los dispositivos del emisor y receptor en el tiempo que seleccionemos. Esta configuración también puede ser aplicada dentro de un chat en específico, en los ajustes dentro del mismo.

Además, se listan opciones de seguridad, como el forzar el bloqueo del dispositivo luego de un tiempo configurable, que puede no coincidir con el tiempo de bloqueo que tiene nuestro teléfono para cualquier ocasión.

Otra de las características interesantes que presenta Signal es la posibilidad de bloquear las capturas de pantalla, tanto por aplicaciones externas como por el mismo uso de capturas de pantalla tradicionales estando dentro de la aplicación. Sin embargo, es importante notar que existen formas, un tanto más complicadas, de obtener esta información. Por ejemplo, fotografiar la pantalla con otros dispositivos.

Finalmente, la opción de Teclado en modo incógnito le posibilita a Signal solicitarle a nuestro teclado que desactive el aprendizaje automático de palabras o frases, aunque esto no es garantía de que nuestros mensajes sean analizados por nuestro teclado.

También tenemos disponibles las opciones más avanzadas, para quienes quieran asegurar un poco más la aplicación.

En primer lugar, la opción de eliminar nuestro número de los servidores de Signal desactivando las llamadas y mensajes que utilicen los servicios de esta. Si desactivamos la opción solo podremos enviar y recibir mensajes de texto a través de la aplicación. Además, podemos obligar a pasar todas las llamadas que realicemos y recibamos a través de un servidor de Signal, evitando exponer nuestra dirección IP.

Finalmente, encontramos la opción del remitente confidencial. Según explican los propios desarrolladores en su blog, esto añade una capa extra de seguridad: No solo se cifra el contenido de los mensajes que enviemos, sino también quien los envía. Para esto, además de sus algoritmos de cifrado, utilizan verificaciones de un solo uso contra sus servidores para evitar casos de spoofing.

Conclusión

Signal se presenta como una alternativa versátil con configuraciones extra en lo que respecta a seguridad que sus contrapartes como Telegram y WhatsApp. El cifrado por defecto, la autodestrucción para todo chat y la opción de remitente confidencial son algunas de las opciones que aumentan nuestra privacidad dentro de Signal. Sin embargo, la abismal diferencia en cuanto a cantidad de usuarios hace que se dificulte utilizarla para contactarnos con nuestros conocidos.

Como toda aplicación, es importante tener en cuenta nuestras necesidades y expectativas de privacidad, y compararlas con las políticas de privacidad y términos y condiciones de Signal para asegurarnos que la aplicación sea adecuada para nuestro uso.

Fuente: https://www.welivesecurity.com/