Header Ads Widget

Ticker

6/recent/ticker-posts

7 amenazas de seguridad móvil que pueden cogerle por sorpresa

Incluso si por lo general tiene conocimientos sobre ciberseguridad, cualquiera puede tener un momento vulnerable (en el caso de nuestro escritor, fue el funeral de su madre).


La noche antes de pronunciar un elogio en el funeral de mi madre, me sentí destrozado.

Como alguien que escribe regularmente sobre ciberseguridad, generalmente no me engañan los trucos de un ciberdelincuente. Pero estaba en un estado muy emocional y no pensaba con claridad cuando llegó el texto, parecía ser de mi banco. "Alguien ha intentado iniciar sesión en su cuenta", advirtió el mensaje y me proporcionó un enlace para hacer clic y verificar mi identidad.

Hice clic en el enlace.

Los delincuentes saben que no está prestando el mismo tipo de atención a la seguridad que en una computadora de escritorio o una computadora portátil. Saben que pueden atraparte en un momento en el que estás distraído o tienes prisa.
Apareció una página web de aspecto legítimo y optimizada para dispositivos móviles que me pedía que ingresara el PIN de mi tarjeta de débito como una forma de verificación. Aún sin pensar con claridad, ingresé mi PIN. Cuando no recibí un SMS a cambio, informándome que mi identidad había sido verificada, finalmente me di cuenta de que me habían estafado.

En los siguientes minutos trepidantes, llamé a mi banco y cambié mi PIN, identificación de usuario y contraseña. Afortunadamente, después de meses de seguimiento de cerca, no encontré nada incorrecto en mis cuentas, aunque recibí tres mensajes sonrientes de seguimiento, que ignoré.

Smishing (ataques de phishing entregados a través de SMS) es una de las amenazas de ciberseguridad que está ganando terreno en nuestro mundo cada vez más móvil. En 2018, el 49 por ciento de los encuestados en el informe State of the Phish de Proofpoint dijeron que experimentaron ataques smishing o vishing (phishing de voz), un poco más que el 45 por ciento en 2017. Mientras tanto, los incidentes de malware móvil aumentaron 550 por ciento en 2018, según McAfee de 2019. Informe de amenazas móviles .  

¿Por qué están aumentando los ataques a los usuarios móviles? Porque con demasiada frecuencia funcionan.

“La mayoría de nosotros revisamos el correo electrónico primero en nuestros teléfonos inteligentes en estos días”, dijo Chet Wisniewski, científico investigador principal del desarrollador de software de seguridad  Sophos . “Los delincuentes lo saben y esperan que no esté prestando el mismo tipo de atención a la seguridad que en una computadora de escritorio o portátil. Saben que pueden atraparte en un momento en el que estás distraído o tienes prisa ".

Al mismo tiempo, los navegadores móviles y las aplicaciones de correo electrónico a menudo no le permiten verificar fácilmente un enlace antes de hacer clic en él. Además, los usuarios confían más en los dispositivos móviles para trabajar porque los dispositivos son cada vez más potentes y sofisticados y tienen pantallas más grandes. Los dispositivos móviles también almacenan una gran cantidad de información sobre nosotros, y las empresas para las que trabajamos, que los atacantes buscan explotar.

7 amenazas de seguridad móvil que quizás no conozca, con consejos para combatirlas
1. Smishing
Los ataques de smishing son una preocupación particular y creciente porque son independientes de la plataforma y afectan por igual a los usuarios de iOS y Android, dijo Wisniewski. "A los ataques de ingeniería social no les importa qué marca de teléfono uses".

Aunque los profesionales de la ciberseguridad suelen estar al tanto de los ataques de smishing, muchos usuarios de teléfonos inteligentes no lo son. Y ahí radica un desafío para los CISO y los profesionales de la ciberseguridad, dado el aumento de los ataques. Según el Índice de seguridad móvil de Verizon 2019 , el 85 por ciento de los ataques de phishing observados en dispositivos móviles ocurren fuera del correo electrónico, por ejemplo, en la mensajería de texto. “Si bien muchas organizaciones tienen filtros para bloquear ataques basados ​​en correo electrónico, muchas menos tienen una protección similar” para protegerse contra ataques de phishing que ocurren fuera del correo electrónico, señala el informe.

Sin embargo, eso está comenzando a cambiar. En el último año, los proveedores de Mobile Threat Defense (MTD) agregaron protecciones contra el phishing móvil a su software, señala Patrick Hevesi, analista de investigación sénior del equipo de seguridad, identidad y riesgo de Gartner . Los proveedores de MTD con protecciones smishing incluyen Lookout , Symantec , Zimperium , Wandera y McAfee .

Capacitar a los empleados para que reconozcan y notifiquen los ataques de smishing es crucial, pero poco común, dice Hevesi. “La mayoría de las organizaciones brindan a sus empleados algún nivel de capacitación en phishing por correo electrónico, pero la mayoría no ofrece mucho en términos de capacitación en seguridad móvil”, agrega.

Llevar a cabo periódicamente ataques smishing simulados con los empleados puede ayudar, al igual que el envío de falsos correos electrónicos de phishing a los usuarios les puede ayudar a aprender a detectar los fraudes, la organización de educación de seguridad notas ingeniero social, Inc .


2. Mensajes SMS diseñados para que descargues aplicaciones fraudulentas
Probablemente sepa que las aplicaciones disponibles fuera de las tiendas de aplicaciones de Google y Apple pueden ser peligrosas en el mejor de los casos. Es posible que no se dé cuenta de que los delincuentes pueden intentar engañarlo para que descargue sus aplicaciones de malware de manera inteligente, como enviándole un mensaje de texto.

Por ejemplo, el malware basado en Android TimpDoor se convirtió en una de las principales familias de malware de puerta trasera móvil en 2018, según el Informe de amenazas móviles de McAfee 2019. La amenaza comienza "con mensajes de texto que informan a los usuarios que tienen mensajes de voz para revisar", explica el informe. “El enlace incluido a una aplicación de reproductor de voz proporciona instrucciones detalladas para habilitar aplicaciones de fuentes desconocidas. Al hacer clic en el enlace, se instala una aplicación de mensajería de voz falsa que muestra dos mensajes. Ninguno de los botones o íconos funciona excepto los que reproducen los archivos de audio incluidos ".

TimpDoor se ejecuta en segundo plano y utiliza el dispositivo como un punto de entrada a las redes internas, informa McAfee. Es probable que la amenaza se convierta en "fraude por clic en anuncios, ataques distribuidos de denegación de servicio y envío de correos electrónicos no deseados y de suplantación de identidad".

Al igual que con el smishing, capacitar a los usuarios para detectar e informar mensajes de texto fraudulentos es la primera línea de defensa, junto con las aplicaciones de seguridad móvil que pueden escanear dispositivos y configuraciones en busca de conexiones anómalas.

3. Aplicaciones de linterna (y otras aplicaciones de robo de datos)
Las aplicaciones maliciosas que intentan acceder a los datos de su teléfono son una amenaza importante, especialmente en la tienda Google Play. Las aplicaciones de linterna de terceros son un ejemplo que se cita con frecuencia. Aunque los teléfonos iPhone y Android se envían con funciones de linterna, las aplicaciones de linterna gratuitas de terceros ofrecen funciones adicionales, como luces estroboscópicas intermitentes. El problema es que algunas de estas aplicaciones en la tienda Google Play piden una cantidad absurda de permisos.

“Un desarrollador de aplicaciones de linterna de Android activó todos los permisos posibles para que la aplicación pudiera permanecer encendida mientras el teléfono está apagado, escuchar llamadas telefónicas, registrar su ubicación y acceder a sus contactos”, dijo Hevesi. "Una aplicación de linterna solo debe poder acceder al flash de la cámara".

Hevesi recomienda capacitar a los usuarios para que consideren detenidamente los permisos que soliciten las aplicaciones descargadas y nieguen los que parezcan excesivos o innecesarios.

Wisniewski recomienda precaución antes de descargar cualquier aplicación gratuita, a menos que sea de un desarrollador que conozca y en el que confíe (como Microsoft, que ofrece aplicaciones gratuitas como To Do y OneNote), una aplicación gratuita que ofrece compras legítimas dentro de la aplicación. "Los desarrolladores necesitan monetizar sus aplicaciones de alguna manera, por lo que a menudo crearán aplicaciones gratuitas como aplicaciones de linterna que recopilan en secreto información sobre usted y la venden a terceros", explicó. “Es posible que incluso les haya dado permiso para hacerlo si aceptó el acuerdo de licencia sin leerlo, como lo hace la mayoría de la gente”.


4. Fleeceware
Las aplicaciones de vellón , un término que Sophos dice que acuñó, son aplicaciones de Android gratuitas (o de bajo costo) que brindan una funcionalidad simple, como el escaneo de códigos de barras y códigos QR. Pero, sin que usted lo sepa, la aplicación le cobra regularmente grandes sumas de dinero.

Si bien es posible que le hayan hecho creer que la aplicación es gratuita, una aplicación de vellón en realidad solo le brinda una breve prueba gratuita, explotando la función de prueba gratuita de la tienda Google Play, explicó Wisniewski. Una vez que finaliza la prueba, es posible que se le cobren cientos de dólares (o euros). Por ejemplo, a los usuarios que descargaron una aplicación de creación de GIF para Android en particular y que olvidaron cancelar sus suscripciones después de la prueba gratuita, se les cobraron alrededor de $ 240. "En el extracto de su tarjeta de crédito, el cargo parece provenir de Google", lo que puede llevar a algunos a creer que el cargo es legítimo.

La mayoría de las aplicaciones de vellón se eliminaron de la tienda de aplicaciones de Google, mientras que algunas que pasaron por los controladores de aplicaciones de Apple se eliminaron rápidamente, dijo Wisniewski. No obstante, el fleeceware es otra razón más para que los usuarios de dispositivos móviles estén atentos a las aplicaciones que descargan de desarrolladores que no conocen. Además, lea atentamente las reseñas de la aplicación antes de descargarla, y especialmente antes de darle a un desarrollador de la aplicación su tarjeta de crédito para que cargue después de que finalice la prueba gratuita.

5. Anuncios ocultos
Las aplicaciones de Android que muestran anuncios ocultos se están convirtiendo en un riesgo cada vez más frecuente, dijo Armando Orozco, analista de malware móvil de Malwarebytes . “Sin ser abiertamente maliciosos, los componentes de adware ocultos pueden instalarse y ejecutarse sin su conocimiento mientras proporcionan un flujo constante de ingresos a los malos actores”, dice. "Por lo general, vienen empaquetados en aplicaciones falsas o reempaquetadas para que parezcan legítimas o en copias muy similares de aplicaciones legítimas".

Nuevamente, enseñar a los usuarios a examinar de cerca las aplicaciones antes de instalarlas ayuda. Además, muchas aplicaciones de seguridad para Android e iOS pueden localizar y eliminar adware y malware.

6. Secuestro de SIM
También conocido como intercambio de SIM o pirateo de SIM, el secuestro de SIM es cuando un atacante, a través de ingeniería social u otras tácticas, puede cambiar su número de teléfono móvil a una tarjeta SIM que posee. Una vez que el atacante controla su número de teléfono, puede interceptar códigos de autenticación de dos factores enviados por mensaje de texto, lo que a su vez puede permitirle acceder a su correo electrónico, cuentas bancarias y otras cuentas. El intercambio de SIM también se usa para obtener acceso a las cuentas de moneda digital de una víctima, advierte el FBI .

Para minimizar los riesgos, comuníquese con su proveedor de servicios inalámbricos y configure un PIN, una palabra secreta u otra forma de verificación adicional, aconsejó Alex Heid, director de I + D de la plataforma de clasificación de seguridad cibernética  SecurityScorecard.  

Para ser más cauteloso, obtenga un número de teléfono privado separado que solo use para cuentas bancarias y otras instituciones financieras, dice Heid. “Su número de teléfono público que se distribuye a amigos, familiares, socios comerciales, redes sociales y servicios al consumidor será lo primero que los atacantes intentarán usar si usted es el objetivo de un intercambio de SIM”, explica. "Si tiene un segundo número de teléfono privado que solo usted y sus instituciones financieras conocen, la probabilidad de que un atacante obtenga acceso a sus cuentas a través de este método se reduce significativamente".

7. Equipo de vigilancia
El llamado software de vigilancia está diseñado para capturar y transmitir información confidencial del usuario, como mensajes SMS, mensajes de voz o grabaciones de audio de conversaciones telefónicas. Por ejemplo, la firma de ciberseguridad Lookout dice que en 2019 descubrió "Monokle", un conjunto sofisticado de herramientas de software de vigilancia personalizadas para Android desarrolladas por Special Technology Center, Ltd., con sede en Rusia, una empresa que el gobierno de EE. UU. elecciones presidenciales.

Monokle compromete la privacidad de un usuario al robar datos personales almacenados en un dispositivo infectado y exfiltra la información, dijo Bob Stevens, vicepresidente de las Américas de Lookout. "Monokle es un gran ejemplo de la tendencia más generalizada de los estados nacionales que desarrollan software malicioso móvil sofisticado".

Somos solo humanos...
Usted y su organización pueden reducir los riesgos de los dispositivos móviles manteniéndose al día sobre las amenazas emergentes más recientes; capacitar con frecuencia a los empleados para que reconozcan y eviten aplicaciones y enlaces no confiables; hacer cumplir el uso de VPN cuando se conecta a redes públicas de Wi-Fi; requerir el uso de una aplicación / servicio de administración de contraseñas; actualizar los dispositivos móviles con regularidad; y el uso de herramientas de Mobile Threat Defense y Mobile Device Management.

Pero, como aprendí, incluso las personas que suelen ser conocedoras de la ciberseguridad pueden tener un momento vulnerable y bajar la guardia. No hay forma de erradicar por completo ese riesgo, se llama "ser humano".


Publicar un comentario

0 Comentarios