El pasado mes de enero Kaspersky acumuló alrededor de 200 mil muestras únicas de malware para dispositivos móviles. Esto representa un 34% más que en noviembre de 2013, cuando se registraron 148 mil. Las aplicaciones bancarias no se libran de este mal, y es que existe un gran número de estas herramientas que dicen ser oficiales, cuando en realidad son falsas.
Al igual que en una campaña de phishing, estas apps son publicadas en diversas tiendas online donde esperan que los usuarios ingresen sus datos. No estamos hablando de cualquier tipo de información precisamente. Con ellas podemos pagar facturas, transferir dinero o mantener vigiladas las finanzas, por poner solo algunos ejemplos.
Por si esto fuera poco, la mayoría de usuarios no cuenta con ningún softwarede antivirus en su smartphone o tableta para protegerlos. Lo que convierte a estos aparatos en el blanco perfecto para los hackers. La pregunta que se hacen muchos ahora es, ¿cómo saber qué aplicaciones son seguras?
La mayoría de expertos en seguridad consultados coincide en que no existe ningún mecanismo que garantice al 100% que no te afectará ningún malware. Pero sí existen medidas para evitarlo.
Comprobar que la ‘app’ ha sido validada
En lo que se refiere a las aplicaciones bancarias lo primero que se aconseja es comprobar que la app que se quiere descargar haya sido validada por el propio banco.
Esto se puede comprobar debajo del propio nombre de la app que se anuncia en la tienda online, en el que tiene que aparecer el del desarrollador, y en el sitio web de la entidad bancaria que tiene que reconocerla como propia.
Según Fernando de la Cuadra, director de Educación de Eset España, la primera opción no es del todo fiable porque «pueden escribir un nombre similar que confunda al usuario. Como por ejemplo el original del banco más un guión bajo y un Inc. o Spain».
Mejor, descarga en la web del banco
También se recomienda no descargar la aplicación bancaria desde una tienda online, sino desde la propia página web del banco.
En este sentido, Android es uno de los sistemas operativos más afectados por el malware. La plataforma de Google se ha convertido en el objetivo preferido para los desarrolladores de virus y en 2013 acaparaba el 97% de los ataques. Sin embargo, según The Next Web solo el 0,1% de esa cifra se ha detectado en Google Play. Por lo que conviene estar muy atentos también a las tiendas de aplicaciones de terceros.
En estas tiendas alternativas las probabilidades de ser estafado se multiplican. Allí, los atacantes suben sus aplicaciones maliciosas y les colocan nombres de aplicaciones bancarias. El resultado es predecible: la información privada de los usuarios, sus credenciales bancarias y su dinero se dirigen directamente hacia las manos de los criminales.
Un ejemplo de esto lo tenemos en la versión móvil de Carberp Trojan. Creado en Rusia y descubierto en 2012, este malware es un ejemplo muy claro de cómo los atacantes pueden robar dinero a partir de una simple aplicación.
Revisar cuidadosamente los permisos
Otro de los consejos es estudiar cuidadosamente los permisos que solicita la aplicación nada más descargada.
Cuando el usuario instala una app, ésta solicita una serie de permisos como por ejemplo poder acceder a la lista de contactos o a ciertos datos del teléfono. Habrá permisos que será lógico que los pida y otros que no. Por ejemplo, sí lo es el poder enviar SMS en algunos servicios como el de enviar mensajes cuando se ha realizado algún cobro.
«Otros permisos como lo es el tener acceso al correo electrónico puede que no se correspondan con ninguna utilidad de la aplicación bancaria», ha añadido Fernando de la Cuadra. «Hay veces incluso que los añaden cuando realizan una actualización. Esto lo hacen porque la mayoría de usuarios no se fija».
En cualquier caso, si hay dudas lo que se recomienda es no instalar la aplicación.
Pásalo antes por Virus Total
Los más desconfiados pueden también descargarse la aplicación y pasar el fichero por algún análisis de antivirus, como por ejemplo VirusTotal.
VirusTotal es un servicio gratuito que analiza archivos y urls sospechosas facilitando la rápida detección de virus, gusanos, troyanos y todo tipo demalware.
Existen otras formas de analizar la aplicación. Hay servicios online como Anubis que la ejecutan como si fuera un entorno virtual controlado y avisan si realiza algo sospechoso. De cualquier forma, según de la Cuadra «existen virus que son capaces de descubrir si están intentando analizarlos en determinados entornos y no se ejecutan, así que esto no es infalible».
Léete los comentarios y valoraciones
A veces, los consejos más básicos son los más útiles. Uno de ellos es leerse los comentarios y valoraciones de los usuarios. Si tiene pocos y todos son buenos podría ser sospechoso. Aunque no significa que realmente sea falsa. Tampoco hay que olvidar los foros ya que es ahí donde se suele dar la voz de alarma cuando hay una aplicación falsa.
Por último, conviene fijarse detenidamente en las descargas. La mayoría de apps bancarias oficiales las cuentan por miles. A su lado pueden aparecer otras similares con muchas menos.
«Las descargas de Android son activas. Esto quiere decir que cuando un usuario se desinstala una aplicación, ya no cuenta como una descarga. Si una app dice que tiene 5.000 descargas es que 5.000 dispositivos la tienen instalada. No que en su día la descargaron y la borraron», ha explicado a Teknautas Carlos García de la Barrera, desarrollador de Lextrend, empresas española especializada en desarrollo web y móvil.
En un principio, siguiendo estos consejos las posibilidades de ser víctimas de un fraude se verían reducidas considerablemente, aunque insistimos en que nada es infalible. Si se quiere aumentar aún más la seguridad se puede contratar algún antivirus. Aunque esta opción cuesta dinero.
Desde La Plaza/ Teknautas/ YB