Tras un par de entradas comentando el concepto de Spoofing y cómo tratar de protegernos desde nuestro terminal móvil; me gustaría abrir el foco hasta lo que se puede considerar como el problema primigenio, la intención inicial de todos los estafadores:

Engañar a un usuario para que revele información sensible. El famoso Phising

Y al igual que con el tema anterior, trataré -en lo posible- de circunscribirlo a nuestro terminal móvil.

Concepto del Phishing

Básicamente estamos ante el ancestral intento de estafa, pero adaptado a medios digitales.

El vocablo viene a ser un juego de palabras a partir de «fishing» (pescar), respecto al intento de captar información sensible como direcciones, documentacion, contraseñas o datos bancarios; fusionado con el concepto de «phreaking», una de las bases del hacking allá por los años 70 que consistía en tratar de manipular las redes de telefonía fija para hacer llamadas gratuitas o simplemente «trolear» a las operadoras. En España fue muy famoso el grupo CPNE (Compañía de Phreaking Nacional de España) cuyo nombre era una sátira de la entonces CTNE (Compañía Telefónica Nacional de España). La Telefónica/Movistar actual.

Phishing móvil

Se podría resumir como: aquel tipo de ciberataque, diseñado específicamente para explotar las características y hábitos de uso de los teléfonos móviles.

Principales vectores de ataque

Smishing (SMS Phishing)

Es una de las formas mas antiguas y recurrentes. Consiste en el envío de mensajes de texto SMS que, bajo una apariencia legítima, muestran un hipervínculo fraudulento. Caso de pulsar sobre él, redirigen a una página web falsa o inician la descarga de algún tipo de malware. Siempre se intenta suplantar remitentes que inspiren confianza o que utilicemos de forma habitual: entidades bancarias, empresas de reparto, organismos públicos, agencias gubernamentales, amigos o familiares.

Ejemplos típicos:

«Tu paquete ha sido retenido por aduanas, paga una pequeña tarifa aquí: [enlace fraudulento]»
«Hemos detectado actividad sospechosa en tu cuenta bancaria. Verifica tu identidad en: [enlace fraudulento]»
«Has ganado un premio, haz clic para reclamarlo: [enlace fraudulento]».

Vishing (Voice Phishing)

Está estrechamente relacionado con lo tratado en el artículo sobre el Caller ID Spoofing, ya que muchas veces tratan primero de suplantar el número de teléfono de la entidad u organismo por el que se pretenden hacer pasar, con el objetivo de dar una mayor credibilidad a la llamada.

Se trata de llamadas de voz, hasta el momento muy focalizadas en la suplantación de entidades bancarias, en las que se solicitan datos de tarjetas o cuentas corrientes utilizando como pretexto supuestos problemas o filtraciones de seguridad.

Otro mecanismo utilizado para darle mayor verosimilitud, consiste en preceder la llamada de un SMS avisando de ella o indicando directamente al usuario que llame a un número específico.

Con la increíble mejora en la calidad de las voces sintéticas mediante el empleo de iA, el Vishing se postula como uno de los mayores riesgos a futuro dentro del Phishing. Pensemos que actualmente ya es posible simular cualquier tipo de voz a partir de pequeñas muestras de la misma. Y ésto, incluye voces de familiares, amigos o conocidos…

Utilización de Apps maliciosas

Se sustenta en el desarrollo y posterior distribución de aplicaciones falsas a imitacion de otras legítimas o directamente, bajo la apariencia de una utilidad convencional, esconder algún tipo de malware.

También es posible que para eludir sistemas de seguridad, tanto de tiendas de aplicaciones como del propio teléfono, su función consista en la recopilación y posterior envío de la mayor catidad de datos sobre el usuario. Ésto último suele venir acompañado por una ingente solicitud de permisos; la mayoría de ellos sin ninguna relación con las funciones propias de la aplicación.

Redes Sociales y Mensajería Instantánea

La posibilidad de sufrir una ataque en alguna de estas plataformas, difiere enormemente en función del sistema de registro y validación empleado por cada una de ellas; así como de la configuración o no de algún tipo de protección 2FA.

El más común, por cantidad de usuarios y el heterogéneo perfil de los mismos, tiene como objetivo la aplicación de mensajería de Whatsapp -aunque puede hacerse extensivo a otras. Para ello basta con saber el número de teléfono y tratar de conseguir un código de verificación:

El método consiste en iniciar sesión con el número de teléfono de la víctima. Cuando WhatsApp envía el SMS con el código de verificación al teléfono de ésta, el atacante se hace pasar por WhatsApp y envía un mensaje solicitando que le reenvíe ese código, alegando algún tipo de error en el envío o una verificación. Si se cae en el engaño y se comparte el código, perderemos el control de la cuenta. Ha partir de ése momento, se inicia un proceso de envío de mensajes a nuestros contactos solicitando dinero, datos bancarios o todo tipo de información comprometida.

Obviamente, todo lo anterior es imposible de llevar a cabo en RRSS o aplicaciones de mensajería que no se basen en el número de teléfono como elemento de registro.

Quishing (QR Code Phishing)

El más extendido se basa en la suplantación de una etiqueta QR habitualmente proporcionada en cartas de menús, en mesas de bares y restaurantes, en instalaciones hoteleras y similares. Para ello basta con pegar la etiqueta con la URL maliciosa encima de la original y tras ser escaneada, nos redirige a la web atacante o directamente inicia la descarga de algún tipo de malware.

Su peligrosidad se fundamenta en varios factores:

No es frecuente comprobar si la etiqueta QR está sobrepuesta.
Se suele utilizar la propia cámara del móvil como escáner; muchas de las cuales no indican la URL destino.
La confianza que solemos depositar en éste tipo de establecimientos.
El desconocimiento del riesgo.

Las medidas preventivas son varias y muy efectivas:

Si utilizamos la aplicación de cámara, que siempre nos muestre la URL completa.
Utilizar una aplicación segura específica: Kaspersky QR Scanner, Trend Micro QR Scanner, QR Shield, SecQR…
Comprobar la URL en una web anti-malware: Dr. Link Check, URLVoid, Google Safe Browsing, Norton Safe Web…
Disponer de un antivirus en el móvil que alerte y bloquee webs maliciosas.

Vulnerabilidades específicas del teléfono móvil

Pantallas Pequeñas

El propio tamaño de las pantallas móviles dificulta una inspección detallada de las URLs o la gramática de los mensajes. También habría que añadir que muchos enlaces suelen aparecer acortados, ocultando la dirección real.

Confianza en SMS y llamadas

Hay una marcada tendencia a confiar más en los SMS y las llamadas telefónicas que por ejemplo en los correos electrónicos, lo que los convierte en vectores de ataque más efectivos.

Urgencia, ansiedad e impulso

Los ataques de Phishing a dispositivos móviles saben jugar con las emociones; tratando siempre de crear situaciones de urgencia y ansiedad:

«Su cuenta ha sido bloqueada«
«Hemos detectado una violación de seguridad»
«Hay un problema con su envío»

Siempre con el objetivo de que actuemos rápida e impulsivamente. Para ello, también contribuye -y mucho- la facilidad de pulsar un simple enlace con el cual «solucionarlo todo» y la expectación que despiertan las notificaciones Push.

Navegador por defecto sin extensiones de seguridad

Es uno de los asuntos más tratados en ésta web. No prestar suficiente atención tanto a la elección de un navegador web como a su posterior configuración. El disponer de uno que permita instalar extensiones o al menos habilite listas de bloqueo, puede marcar la diferencia caso de pulsar un enlace malicioso recibido mediante SMS o email.

Protegerse del Phishing en el móvil

Tras haber enumerado una gran parte de las amenazas de phishing que pueden concurrir sobre un dispositivo móvil, acabamos con algunas sugerencias de uso -hábitos- que siempre hay que tener en cuenta:

Verificar el remitente: Desconfia de mensajes de números desconocidos o que no se ajustan a los formatos habituales de la entidad.
No pulsar sobre enlaces sospechosos: Vital. Es mejor perder unos segundos y escribir la URL en el navegador para verla al completo y poder verificarla en alguna web de seguridad, que seguir el enlace directamente desde el SMS o correo electrónico.
Fijarse en la ortografía y gramática: Los mensajes de phishing a menudo contienen errores ortográficos o gramaticales. Aunque ésto se torna cada vez más difícil de detectar debido al uso de iA.
Sospecha de toda urgencia y ofertas «increíbles».
Descargar aplicaciones solo de tiendas oficiales y de confianza: Play Store, Aurora, F-Droid, Droid-ify, Apple, etc.
Revisar los permisos de las aplicaciones: Si no es antes de la instalación, que sea al menos a posteriori. Si nos dá pereza o no sabemos identificarlos, solicitemos ayuda a familiares o amigos. SIEMPRE hay que verificar que los permisos solicitados resulten coherentes con su funcionalidad.
Activar 2FA: Siempre que sea posible, especialmente para todo aquello considerado como crítico.
Mantener el sistema operativo y las aplicaciones actualizadas.
Reportar los intentos de phishing: Ésta práctica es tan poco habitual como necesaria. Hemos de adquirir el hábito de informar, tanto a las autoridades competentes como a la empresa o desarrollador que han tratado de suplantar.

Conclusiones

La idea con ésta entrada ha sido la de ofrecer una visión general de los riesgos que suponen las distintas formas de Phishing para nuestros terminales móviles. Si quieres ahondar en el tema, bien por curiosidad o bien por «nivel de amenaza», no lo dudes: siempre será un tiempo bien empleado. Hay muchos y muy buenos recursos sobre el tema, tanto genéricos como especializados:

Como proteger los dispositivos móviles frente al Phishing