Los ataques maliciosos han cambiado de escenario, pasando de los computadores de escritorio y sus navegadores a los dispositivos móviles y sus aplicaciones; allí los usuarios pasan hoy más tiempo.
Los ciberdelincuentes aprovechan las vulnerabilidades de seguridad y el phishing de los mensajes de texto (SMS), entre otras técnicas, para infectar dispositivos móviles y robar información confidencial que permite comprometer las cuentas.
El más reciente Informe de seguridad móvil de Verizon dice que el 50% de las empresas se están quedando atrás de las capacidades del atacante y el 54%, tienen menos confianza en la seguridad de sus dispositivos móviles, que de sus otros sistemas.
Técnicas y vías de ataque actuales
Appgate, empresa de ciberseguridad y prevención de fraude transaccional, nos comparte a continuación, cuatro vectores sobresalientes y la forma como los usuarios pueden estar preparados ante eventuales ataques:
1) Campañas de phishing por SMS
En los últimos meses, los dispositivos móviles han sido el blanco de los ciberdelincuentes con un aumento del 600% en los ataques de SMS móviles de phishing en el 2020 (1). Aunque parezca poco probable, muchas personas caen en los ataques de phishing por SMS. A principios del año pasado, hubo una estafa por SMS dirigida a personas que se alojaban en un hotel, y el mensaje fue tan convincente que el 54% siguió el enlace (2).
Recientemente, ha habido campañas de phishing móviles relacionadas con las vacunas de Covid. Una de los cuales dice Hemos identificado que usted es elegible para solicitar su vacuna y luego solicita al usuario que haga clic en un enlace para obtener más información o para solicitar la vacuna (3). Dado que la mayoría de las personas están ansiosas por recibir una vacuna COVID, no es de extrañar que muchas hayan sido víctimas.
2) Ataques de emuladores móviles
El equipo de investigación de seguridad de IBM descubrió recientemente un ataque muy sofisticado que involucraba granjas de emuladores móviles (4), y reportaron que estos emuladores fueron utilizados por una banda cibernética dirigida a varias instituciones financieras.
Usando emuladores, los ciberdelincuentes pudieron falsificar los dispositivos de los usuarios reales y acceder a datos confidenciales, lo cual resultó en la toma de control de la cuenta. Utilizaron varios métodos para llevar esto a cabo, incluida la automatización, la creación de scripts, los registros de phishing y más. Casi 16.000 dispositivos se vieron comprometidos y se robaron millones de dólares en cuestión de días (5).
Los emuladores se pueden utilizar por motivos legítimos en determinados casos, pero no cuando se trata de acceder a datos confidenciales. Para garantizar una sesión móvil segura, los usuarios que acceden a aplicaciones móviles que contienen datos confidenciales de emuladores generalmente se consideran de alto riesgo, comenta David López, VP Sales Latam – AppGate (en la foto).
3) Las medidas de seguridad del sistema operativo no son suficientes
Apple y Android han avanzado mucho en la protección de sus sistemas operativos, pero los ciberdelincuentes son persistentes en la realización de ataques nuevos y más sofisticados. Esto significa que las aplicaciones móviles fraudulentas que envían programas maliciosos desagradables a través de troyanos, siguen siendo un problema.
Desbloquear los Smartphones de las limitaciones impuestas por el fabricante, una práctica conocida como jailbreak o rooting es otra práctica altamente insegura, donde los ciberdelincuentes incluso son conocidos por desarrollar malware que se dirige específicamente a teléfonos con jailbreak o rooting, ya que son mucho más fáciles de infectar.
4) Controle lo que pueda
Es imposible controlar o limitar lo que hacen los usuarios en su dispositivo, pero el enfoque más eficaz implica implementar una estrategia de seguridad que se centre en evaluar el riesgo del dispositivo.
Una solución de protección contra el fraude móvil verdaderamente exhaustiva debe ser capaz de evaluar si un dispositivo es riesgoso (por ejemplo, si tiene jailbreak), y debería permitir a las organizaciones decidir a qué dispositivos se les debe negar el acceso en función de que tan riesgosos son.
Finalmente, para los clientes de una institución financiera que desean realizar sus operaciones bancarias a través de su Smartphone o Tablet, toda la protección que necesiten puede integrarse o incorporarse a la propia aplicación móvil del banco, la cual ofrece una experiencia segura y sin problemas.
Referencias
(1) https://securityboulevard.com/2020/12/smishing-spawns-the-need-for-a-better-ai-mobile-phishing-defense/
(2) https://enterprise.verizon.com/resources/reports/2020-msi-report.pdf
(3) https://www.bbc.com/news/uk-england-55560604
(4) https://securityintelligence.com/posts/massive-fraud-operation-evil-mobile-emulator-farms/
(5) https://securityintelligence.com/posts/massive-fraud-operation-evil-mobile-emulator-farms/
