SorayaPaniagua Ⓢ

Spam, estafas, troyanos… Facebook, Twitter, Android.  Los cibercrimeninales ya saben dónde y cómo atacar. En la diana los sistemas operativos  móviles y las redes sociales.  Ahora, debemos saber cómo neutralizarlos.

En noviembre 2010, un experto en seguridad creó una aplicación, para Android, disfrazada de  AngryBirds. La App contenía un troyano que permitía acceder a todo tipo de información. No ocurrió nada, fue tan sólo un experimento,  una llamada de atención sobre la seguridad de Android Market (Android es el sistema operativo de Google para dispositivos móviles).

En enero de 2011 distintas variantes de un mismo troyano se propagó por través del chat Facebook.  Los usuarios recibían mensajes como:

“Es una foto tuya –> Enlace a la aplicación de Facebook”. El enlace conducía a un sitio externo de Facebook que permitía la descarga de un archivo ejecutable dañino.

En febrero,  Symantec (coorporacion internacioonal de desarrollo de software) descubrió una copia china de la aplicación «Steamy Windows» para Adroid que contenía el  troyano Android.Pjapps que toma el control del teléfono. La App es una curiosidad, permite dibujar con el dedo sobre la pantalla del móvil, como si fuera un cristal empañado. Pues bien, hicieron una copia falsa y la soltaron por diferentes stores.

En marzo nos enteremos del robo de fotos a celebridades de Hollywood. Eran imágenes privadas de su telefónos móviles y que inmediatamente circularon por la Red.

También se han documentado numerosos casos de spam . La estrella juvenil de Disney, Miley Cyrus fue la protagonista de un mensaje malicioso en Facebook. El texto incitaba a ver un video “indignante” de la actriz. Al pinchar el usuario llegaba a un sitio similar a YouTube donde el reproductor desplegaba una encuesta pidiendo datos del usuario. También se propagó con  gran rapidez el  post sobre el  vídeo del “gordo que destrozó su vida en 2 minutos” cuyo enlace no era vídeo sino una aplicación maliciosa. También aquel que decía «Te desafío: no serás capaz de ver esto sin llorar». En algunos casos es pura estafa, en otros la app maliciosa toma el control para lanzar post desde la cuenta del usuario sin que éste tenga constancia, (tenga mucho cuidado con este tema!!!)

La semana pasada, La empresa de seguridad informática Sophos  alertaba de rogueware en Twitter mediante la propagación de un  tweet ofreciendo una aplicación para saber “quién ha visitado tu perfil”. La supuesta aplicación es “Profile Spy”

Miles de personas han picado, permitiendo a “Profile Spy” lanzar post desde sus cuentas.

Después de leer estos ejemplos entenderán mejor si les digo que los ataques con malware a través de redes sociales y dispositivos móviles serán la máxima amenaza en materia de seguridad en los próximos años.  Dicen los expertos que los  smartphones se han convertido en el nuevo objetivo de las mafias que realizan fraude online. Los motivos son lógicos ya que  los usuarios tienden a utilizan los smartphones tanto a nivel personal como profesional: acceso a correo y VPN corporativos, a cuentas bancarias, descargas de la Red, Facebook, etc.

Así lo confirmó  Eugene Kaspersky en el Mobile World Congress de Barcelona hace un par de meses. Para Karpersky, los cibercriminales van a encontrar muchas facilidades en el ecosistema móvil, y una es precisamente la falta de educación de los usuarios en el aspecto de la seguridad.  El CEO de Kaspersky Lab se mostró especialmente pesimista con el futuro próximo, predijo una especie de “apocalipsis” de malware para Android, la plataforma de Google.

Cómo protegernos

El panorama, como ven no es nada alentador pero tampoco se trata de que nos “agobiemos”. Como en otros muchos aspectos de la vida, apliquemos el sentido común.  Les dejo las recomendaciones que el  CNCCS (Consejo Nacional Consultivo de Cyberseguridad) publicó hace unas semanas, para proteger nuestros dispositivos móviles. La lista completa está disponible en su web. Las que considero fundamentales:

• Habilitar medidas de acceso  como el PIN o contraseña.
• Configurar el smartphone para su bloqueo automático pasados unos minutos de inactividad.
• Antes de instalar una nueva aplicación revisar su reputación. Sólo instalar aplicaciones que provengan de fuentes de confianza.
• Prestar atención a los permisos solicitados por las aplicaciones y servicios a instalar.
• Mantener el software actualizado, tanto el Sistema Operativo como las aplicaciones.
• Deshabilitar características mientras no se usen: Bluetooth, infrarrojos o Wi-fi.
• Configurar el Bluetooth como oculto y con necesidad de contraseña.
• Realizar copias de seguridad periódicas.
• En caso de robo o pérdida,  informar al proveedor de servicios aportando el IMEI del dispositivo para proceder a su bloqueo.
• Desconfiar de los archivos, enlaces o números que vengan en correos o SMS no solicitados.
• Evitar el uso de redes Wi-fi que no ofrezcan confianza.

Para el uso de las redes sociales en entorno web les recomiendo activar la navegación cifrada en https. Tanto en Facebook como en Twitter, la opción está disponible en configuración > seguridad de la cuenta.

Para qué sirve “https”? Así lo cuenta J.L Zapata en Alt1040:  “…lo que hace HTTPS es cuidar tus datos de la gente que podría interceptarlos —usando herramientas tan sencillas como Firesheep— antes de llegar a su destino final. Esto significa que cada vez que envíes esos datos a sitios como Facebook (o cualquier otro) la información viajará cifrada por el Internet”.

Y, claro, a parte de todo esto, podrán imaginar que ya hay una amplia oferta de software antivirus para «Mobile». Algunos artículos interesantes:

• Best mobile antivirus software of 2011
• Best mobile antivirus 2011

A estas alturas no creo necesario advertirles de que tengan la wifi protegida….

Más fuentes:

• Principales tendencias de seguridad en 2011 según Kaspersky labs. Tuexpertoit
• 5 tendencias de seguridad para 2011, según Kaspersky. Muyseguridad
• El robo de fotos a famosos revela la frágil seguridad de los «smartphones» . ABC
• Te desafío no serás capaz de ver esto sin llorar
• Este godo detrozó su vida en 2 minutos es otro video falso en fb