Los cibercriminales usan cada vez técnicas más sofisticadas para lanzar sus ataques o estafar a los usuarios en Internet. Y aprovecharse de las aplicaciones o juegos de moda es uno de los métodos más comunes. Por eso, ante el auge de Pokémon GO nos preguntamos: ¿Qué pasaría si un ciberdelincuente se aprovechara de las propiedades de este juego (popularidad y geolocalización) y las vulnerabilidades de los dispositivos móviles para obtener datos o dinero de los usuarios? Y decidimos comprobarlo en la práctica.

Ayepokemon go ataque pokeparadar compartimos con vosotros el vídeo de esta prueba de hacking que puedes ver aquí, en la que nos fuimos a una céntrica plaza de Madrid a comprobar si nuestras sospechas eran ciertas. Y efectivamente, funcionó. Mejor de lo esperado.

Ahora, en el siguiente vídeo os contamos cómo lo hicimos. Un portátil, una antena (que se puede comprar en cualquier tienda de informática) y una conexión a Internet es todo lo que necesitó Alberto Rodas, experto en seguridad de Sophos Iberia para realizar el ataque. Atento.

La técnica empleada se denomina en el mundo del hacking como ingeniería social. ¿Esto qué es? Consiste en prácticas o técnicas de manipulación que se aprovechan de la ingenuidad de las personas para obtener información sin que sean conscientes de ello.

En nuestro caso, hemos aprovechado el auge del juego, y la cercanía a una Poképarada en una plaza céntrica y transitada para montar un punto de acceso WiFi. El nombre de la red es idéntico al de una conocida cadena de restaurantes. ¿Y esto, por qué? Porque cuando cualquiera de nosotros nos conectamos a una de estas redes (en restaurantes, estaciones, etc.) las claves se guardan en el móvil, de forma que la próxima vez que vayamos a esas cafeterías o lugares, se conectará de forma automática a la red WiFi. Aquí está la trampa.

Además, nuestro objetivo no solo era estar en un lugar con mucha afluencia de personas, sino incluso atraerles a nosotros. Para ello, lanzamos un “cebo” a través de Pokémon GO, un ítem dentro del propio juego que cada vez que se usa en una Poképarada, esa zona se convierte durante media hora en un “punto caliente” donde son atraídos muchos Pokémon. Pero no sólo consigue atraer Pokémon, sino que estos cebos (que aparecen señalados en el mapa con unos corazoncitos a la vista de cualquier jugador que esté a unos cien metros a la redonda) también consiguieron atraer a más personas a nuestra zona. La red Wi-Fi que montamos tiene un radio con los metros suficientes como para llegar al otro lado de la plaza.

Y efectivamente, fue lanzar el cebo y decenas de personas se acercaron a probar suerte y capturar Pokémon. Y de ellos, veinte personas tenían en sus dispositivos móviles la clave de la cadena de restaurantes grabada en su carpeta de redes WiFi almacenadas en el móvil. Por lo que se conectaron automáticamente a nuestra red. Y lo más importante: sin tener la menor idea de que eso estaba pasando.

¿Y qué podríamos haber hecho nosotros si fuéramos un ciberdelincuente? Casi nada, solamente monitorizar todo su tráfico, forzarles a instalar un troyano, robar sus datos… Tranquilo, no lo hicimos. Solo queríamos demostrar que se puede hacer. No hemos visto el tráfico de nadie, ni hemos obtenido ningún dato. Nuestro objetivo es mostrar cómo todos podemos ser víctimas fácilmente de estos ataques, y cómo evitar serlo. Estos son los consejos y nociones básicas que debes saber.

ciberataque globb security 1

Lo más importante: ¿Cómo evitarlo?

Esto es fundamental, y no nos cansaremos de repetirlo. Nuestro objetivo en ningún caso es “dar ideas”. Los ciberatacantes ya usan estas técnicas, ya se les han ocurrido estos métodos, y lamentablemente, seguro que otros muchos aún más enrevesados. Nuestra intención es informar y mostrar los riesgos para concienciar a todos los usuarios, que estén prevenidos y apliquen las medidas básicas de seguridad. Estar informados (y ser conscientes de los riesgos) es vital.

Bien, aclarado este punto, como habéis podido ver, Alberto da en el vídeo los consejos que debemos seguir para que no nos pase a nosotros, pero apunta estos básicos: desconecta la Wi-Fi del móvil cuando vayas a salir de casa. y dale a olvidar las redes Wi-Fi públicas de restaurantes, cafeterías, estaciones… cuando ya no las vayas a usar. En el caso de que necesites usarla (estás en el extranjero, te has quedado sin datos y es una urgencia…) puedes usar una VPN (Virtual Private Network), una herramienta que te permitirá hacer que tus conexiones sean privadas, y aunque alguien intente hacer un ataque similar a este, no podrán ver ni tu tráfico ni tus datos. Aquí encontrarás una comparativa de las más populares.

Recuerda: conocer los riesgos te hará ser más consciente de ellos y evitar ser tú la próxima víctima. No te dejes capturar.

plato globb security ciberataque pokemon go

About Author

Monica Valle

Periodista especializada en tecnología y ciberseguridad. Directora de Globb Security, y presentadora del programa sobre seguridad informática y tecnología Mundo Hacker. @monivalle

8 comentarios

  1. Falso, lo único que podrías hacer es monitorear el tráfico entre el smartphone y la antena Wi-Fi que montaron, pro Forzar a instalar un troyano…. Porfavor…..
    Además… Si estas conectado a esa red y solo tienes la aplicación de pokémon abierta no es mucho lo que podrían monitorear, solo datos del juego.

    • AMEN MI BROTHER , JUSTAENTE ESO IVA A CONECTAR ENE L VIDEO PONEN QUE LES INSTALARON UN TROYANO HAHAHA NI EL CHEMA HACE ESO TAN SOLO ESTANDO CONECTADO A LA RED. LO que podrian haber hecho es tratar de explotar alguna vulnerabilidad del telefono haciendo un scan de puertos “talvez” pero de ahi de la forma que ellos lo explican pff

    • Forzarte lo dudo, pero engañar a que instales un troyano si es posible, claro pasando por alto de que los celulares hoy en dia no te dejan instalar aplicaciones que no provengan de las stores oficiales, etc. etc.

  2. Jeferson, si únicamente tiene el Pokémon Go abierto, por ahora parece que poco se puede hacer (salvo alguna vulnerabilidad que se pueda descubrir), pero, si el usaurio abre, por ejemplo, un navegador (y durante el ejercicio sucedió en gran cantidad de casos), como pasa por nuestra red, podemos desde mostarle un pop-up que le engañe para instalarse una aplicación comprometida (imagina si el pop-up le dice que con la app que le proporcionamos podrá engañar a su GPS para no tener que recorrer distancias y poder ir a las pokeparadas rápidamente… seguro que lo instala), hasta permitir explotar una vulnerabilidad (dependiente de la versión de su navegador, etc…) con la que directamente tomamos el control del terminal (Meterpreter en la versión incluída en Kali, proporciona al menos un exploit para Android en este sentido). Por tanto, una vez el usuario pasa por una red no confiable, es posible realizar este tipo de acciones.

  3. Alberto, el comentario de Jeferson no es incorrecto, sin embargo parece que no ha probado las herramientas que usaron en el ejercicio. En realidad no pueden forzar a instalar un troyano automáticamente, se tiene que explotar alguna vulnerabilidad o engañar al un usuario para que baje e instale la aplicación. Y sí hay personas que lo hacen, basta con ver las estadísticas del phishing o la enorme cantidad de personas que instalan programas de terceros con un instaldor de otro programa.
    En sí, obtener señal wifi público y abrir una aplicación como la de Pokemon Go, no te hace vulnerable, la comunicación de la aplicación es segura y hasta ahora no hay noticias de alguna vulnerabilidad del programa. Es muy fácil caer en trampas más para un usuario normal.

  4. Es básicamente un honeypot, la realidad es que hoy día que podes capturar?? o sea todo el trafico va cifrado y es difícil que hoy capturen alguna contraseña aunque con un man on the middle se podría redireccionar alguna conexión a una web con spoofing dns pero básicamente no es como dice el de la entrevista que se puede hacer es bastante fantasioso el tipo. Los mismo se puede hacer en cualquier aeropuerto, café, o lugar de eventos. O sea es cualquiera lo que hicieron estos

  5. Interesante entrevista….aunque hubiera sido más interesante si el ingeniero de sonido (o al menos el técnico de sonido) hubiera ido a laborar ese día… increíble que no puedan modular adecuadamente el micrófono del entrevistado.
    “esta antena que tampoco creo que sea muy difícil de conseguir” para alguien que es periodista especializada en tecnología, esta frase se queda demasiado corta

  6. Hace ya tiempo en Cazadores de Mitos salió este mismo tipo de ataque. En ese caso no fue con el Pokémon Go, pero la forma de sacar información fue la misma y ellos si sacaron información. No para usarla, pero para demostrar que se podía. El artículo está bien, pero puede tender a confusión ya que parece indicar que el problema es de Pokémon Go y en realidad la vulnerabilidad es de la Wifi, no del juego en si.

    Desde que vi Cazadores de mitos ya no he vuelto a conectarme jamas a una wifi pública, no al menos que sea libre y sin proteger. Hay que ser consciente del peligro que se sufre en estos días, pero tampoco obsesionarse, porque si no seríamos Amish (Sin ofender)

Deja un comentario