A pesar de la gran inversión que Google ha hecho recientemente en la seguridad de su App Store, Google Play sigue siendo la tienda de Apps más atacada por los cibercriminales que engañan a usuarios con aplicaciones falsas. Pero, ¿cuáles son los pelegros ligados a estas aplicaciones? ¿cómo podemos saber si una app es falsa o no? Desde ESET han observado que en los últimos años “se han utilizado todo tipo de técnicas para engañar a los usuarios pero, como en muchas situaciones, las más sencillas también pueden resultar las más efectivas”, apunta Josep Albors, responsable de concienciación e investigación en ESET España.

Seguridad para terminales móviles: conceptos básicos

Para proteger los terminales móviles los usuarios deben tener precaución con las descargas de esta plataforma, y se les aconseja contar con una solución avanzada, más allá del antivirus, para defenderse de las amenazas móvilesMuchos usuarios todavía no son conscientes de los peligros existentes, y continúan instalando aplicaciones sospechosas.

Por lo tanto, hay que evitar acudir a repositorios que no sean oficiales. Descargar las aplicaciones desde sitios que no sean Google Play u otras tiendas autorizadas es un riesgo, ya que en las tiendas oficiales existen filtros de seguridad para evitar que las apps falsas aparezcan disponibles. No obstante, se puede conseguir evadir estos filtros y que durante un tiempo aparezcan disponibles hasta que sean detectadas y eliminadas. Por ello, es necesario tener en cuenta otros puntos clave:

¿Cómo evitar las apps falsas?

Tal y como apuntan desde ESET, la oferta de apps es amplia y variada y, en un primer vistazo, la mayoría de usuarios se fijará únicamente en aquellas con mayor puntuación, que estén lo más arriba posible y, si puede ser, que tengan algún distintivo que las haga destacar. Pero, no sólo hay que vigilar la puntuación. Una vez seleccionada la app en cuestión, comprobar el número de usuarios que la ha puntuado nos puede ayudar a detectar si estamos ante una app legítima. Este aspecto es importante puesto que se puede tener una puntuación elevada con pocos votos y esto los delincuentes lo saben y lo explotan.

Otro punto clave a la hora de comprobar la legitimidad de una app es el número de usuarios que la ha descargado. Si bien se han visto casos de aplicaciones fraudulentas con un elevado número de descargas, esto no suele ser lo habitual, puesto que las apps maliciosas suelen durar poco tiempo en la tienda oficial de Google (gracias a los esfuerzos que la empresa ha realizado en los últimos años para mejorar la seguridad de su tienda de aplicaciones). También es importante que verifiquemos aspectos como el desarrollador de la app, si contiene pagos integrados o incluso leernos la política de privacidad.

Además, hay un aspecto fudamental a tener en cuenta antes de instalar una aplicación, aun tratándose de aplicaciones legítimas, son los permisos que vamos a concederle a la aplicación que queremos instalar. Estos permisos pueden revisarse antes y durante la aplicación e incluso podemos revocar algunos a posteriori una vez la aplicación ya ha sido instalada.

Es muy importante prestar atención a los permisos que pide la aplicación, ya que puede que solicite accesos que no parecen tener relación con su función. En ese caso, “no los habilites hasta que no investigues un poco más” aconsejan desde ESET. También puedes revisar los permisos de las apps que ya tengas instaladas para corroborar que todo está en orden y no hay nada sospechoso.

“Teniendo estos puntos en cuenta, lo más probable es que instalemos una aplicación legítima y podamos empezar a disfrutarla sin mayores problemas. Sin embargo, conviene revisar las técnicas que utilizan algunos delincuentes para intentar confundirnos y conseguir que instalemos sus aplicaciones fraudulentas”, explica Albors.

Engaños simples pero efectivos

Los ciberdelincuentes utilizan estrategias de lo más variadas para engañar a los usuarios menos precavidos:

–          Utilizar logos y nombres que recuerdan a aplicaciones muy conocidas y ocultar el nombre del desarrollador, en muchas ocasiones sustituido por una cantidad que quiere confundir al usuario con el número de descargas, es una de las estrategias más usadas.

Apps subidas con un falso número de instalaciones en lugar del nombre del desarrollador – Fuente: WeLiveSecurity

En algunos casos concretos, el investigador de ESET Lukas Stefanko ha llegado a observar cómo un desarrollador utilizaba esta técnica para aumentar la popularidad y descargas de aplicaciones de reciente creación, cambiando poco tiempo después el número falso de instalaciones por su nombre de desarrollador.

Aplicaciones del mismo desarrollador que primero utilizaron una cantidad falsa de instalaciones y luego cambiaron al nombre del desarrollador – Fuente: WeLiveSecurity

Otros añaden una capa adicional de engaño en forma de símbolo de verificación a sus aplicaciones. De esta forma, muchos usuarios pueden pensar que se trata de aplicaciones legítimas, verificadas o de desarrolladores de confianza. Debemos recordar que, actualmente, Google Play no otorga este tipo de verificaciones y lo único que podemos observar en algunas aplicaciones es un distintivo indicando que la app ha sido seleccionada por un grupo de editores como destacada.

Aplicaciones con distintivos falsos de verificación para aparentar mayor legitimidad – Fuente: WeLiveSecurity

Estos sencillos trucos sirven para confundir a muchos usuarios que están buscando aplicaciones para instalar desde Google Play. La mayoría de estas apps fraudulentas tienen como objetivo a esos usuarios poco precavidos que sólo utilizan el número de descargas como referencia, algo que debe verificarse siempre junto a los puntos clave que hemos visto. Merece la pena perder un poco de tiempo asegurándonos que vamos a descargar la aplicación correcta y que ésta hace lo que se supone que debe hacer. De esta forma nos evitaremos más de una sorpresa desagradable y podremos utilizar estas aplicaciones con tranquilidad”, concluye Josep Albors.

Google lleva tiempo introduciendo novedades en sus políticas de publicación de apps, con el objetivo de mejorar la seguridad de los usuarios. Sin embargo, los cibercriminales también han mejorado sus técnicas para saltarse esa protección por lo que nunca está de más ser precavido y seguir los consejos de profesionales para evitar amenazas móviles.

About Author

Desiree Rodriguez

Responsable de Globb Security France y España. Periodista, Comunicadora Audiovisual y editora. Antes de unirse a GlobbTV, desarrolló la mayor parte de su carrera profesional en el grupo editorial de Madiva. Twitter: @Drodriguezleal.

Deja un comentario