Newtral
Nos preguntáis por la ciberestafa que utiliza la calculadora y la linterna de los teléfonos móviles
Siguiente

Nos preguntáis por la ciberestafa que utiliza la calculadora y la linterna de los teléfonos móviles

Desde la Guardia Civil confirman que es real, pero se trata de aplicaciones externas y algunas noticias sobre su funcionamiento han confundido varios términos.

Nos habéis preguntado a través de nuestro servicio de verificación por un informe de la Guardia Civil que alerta de una nueva estrategia de robo de datos bancarios a través de la linterna y la calculadora del móvil. La información se ha difundido de manera errónea, ya que esto no sucede a través de las aplicaciones que vienen por defecto instaladas en el móvil sino con las descargadas de terceros.

Además, algunas noticias vinculan esta práctica con otras técnicas de ciberfraude, como el phising o el SIM-Swapping, a pesar de que sus mecanismos y objetivos varían.  

Esto es lo que sabemos al respecto.

El informe existe pero la estafa está aún “en fase de estudio”

La información proviene de una alerta enviada por la Guardia Civil a las comandancias que se ha filtrado: Un análisis de riesgos titulado «Ciberdelincuencia: ataques contra 2FA SIM Swapping».

La Guardia Civil ha confirmado a Newtral.es que ese documento es real. Según nos han explicado, se trata de “ataques que se camuflan tras aplicaciones aparentemente legítimas”. Al iniciar aplicaciones como la linterna del móvil o la calculadora, se instala un código oculto que escanea datos bancarios.

Pero especifican que “se trata de un informe interno”, no público, y que todavía está “en fase de estudio”. Al tratarse de un recurso privado, el cuerpo no nos ha ofrecido más datos, ni del funcionamiento de la estafa, ni del número de afectados.

No son las aplicaciones nativas del teléfono

Se ha difundido una explicación inexacta de cómo funciona la estafa, dando a entender que el robo de datos se produce al encender la linterna o usar la calculadora instalada por defecto en los dispositivos.

En realidad, como explica el ingeniero superior en informática, hacker y experto en ciberseguridad Deepak Daswani, “las aplicaciones nativas del teléfono generalmente nunca vienen como malware”. Se trataría por tanto a una aplicación falsa de desarrolladores externos, que simula ser una linterna o una calculadora.

Algunas aplicaciones de linterna para descargar en Play Store

Se han malinterpretado varias técnicas de robo de datos y hackeo 

En un vídeo emitido en el programa Espejo Público (Antena 3) sobre la estafa y que ha circulado en redes sociales, uno de los colaboradores asegura: “Cuando entramos en la calculadora o la linterna nos hacen el phishing, el hackeo, nos duplican. A partir de ahí escanean el teléfono en busca de nuestros datos bancarios, la contraseña por ejemplo”. 

“En el vídeo se están mezclando muchos conceptos,” aclara Daswani. Por un lado, el phishing no consiste en entrar en el dispositivo mediante una aplicación y extraer datos. “Un ejemplo sería que te llega un correo falso suplantando la identidad de un proveedor tecnológico o de un banco, donde aparece un formulario de registro idéntico y tú facilitas tus credenciales”.

[Ejemplos de estafas phishing durante la cuarentena]

“No es que instales la linterna y te hagan el phishing”, insiste Daswani. “Se puede hacer de manera independiente para robar credenciales de un usuario, de la banca online, página de Facebook o de Instagram”.

En cuanto a las infiltraciones mediante diferentes apps, “hace años que existen aplicaciones fraudulentas que se camuflan como legítimas para robarle datos a los usuarios”. ¿Cómo? Se les da permiso para acceder a la cámara, al gps,  a las llamadas, ubicación, etc…

Daswani pone varios ejemplos. “Algunas quieren extraer información, otras actúan como un espía troyano que habilita el micrófono y la cámara para grabarte… Otras funcionan como el típico esquema de fraude de servicios de mensajería premium, al que te suscribes sin saberlo y de esa forma te cobran dinero”.

¿Y el SIM-Swapping?

Más adelante, en el vídeo se dice que “el segundo paso es conseguir la tarjeta SIM”. Según Daswani, “esta técnica consiste en explotar alguna vulnerabilidad de tarjetas SIM antiguas o sino mediante ingeniería social, llamar a las compañías y conseguir que el número de teléfono asociado a un usuario cambie a una sim nueva”.  

“Hasta donde yo sé, eso no se puede hacer instalando una aplicación en el dispositivo, no funciona así”, aclara el experto en ciberseguridad.

Instituto Nacional de Ciberseguridad de España

Estrategias para minimizar el robo de datos

Daswani enumera algunas recomendaciones generales de cara a evitar estos ataques. “En primer lugar, descargar siempre apps de marcas oficiales (como App Store o Google Play) nunca de terceros o webs desconocidas”.

El segundo paso es “actualizar el sistema operativo a la última versión”. Y por último, “gestionar bien los permisos de acceso y no tener miedo a revocarlos”. “Los usuarios piensan generalmente que si no facilitas todos los permisos, la aplicación no funciona. Si no quieres que por ejemplo una aplicación acceda a la cámara, puedes usarla de manera limitada aunque luego decidas revertir esa opción”, dice Daswani.

Fuentes:

  • Vídeo del programa Espejo Público
  • Guardia Civil
  • Deepak Daswani, ingeniero superior en informática, hacker y experto en ciberseguridad 

Relacionados

Más vistos

Siguiente