Reseñas, número de descargas y permisos: claves que pueden ayudar a detectar una 'app' falsa antes de descargarla
Los ciberdelincuentes han encontrado en las aplicaciones móviles un canal cada vez más eficaz para engañar a sus víctimas, con un aumento de aplicaciones falsas diseñadas para hacerse pasar por herramientas legítimas con el objetivo de robar datos personales o incluso dinero, aunque existen algunas claves para identificar este tipo de 'apps', fijándose en sus reseñas, número de descargas o permisos.
El 'smartphone' se ha convertido en una extensión de la vida personal y profesional de los usuarios, que lo utilizan desde para consultar la cuenta bancaria hasta para comprar 'online', pedir comida o gestionar documentos, integrando, por tanto, una gran cantidad de información sensible.
Teniendo en cuenta que los usuarios utilizan aplicaciones para llevar a cabo dichas tareas en el móvil, los actores maliciosos se aprovechan y crean aplicaciones falsas diseñadas como herramientas legítimas similares a las reales para engañar a sus víctimas y conseguir robar sus datos personales, credenciales de acceso y dinero.
Así lo han alertado los expertos en ciberseguridad de ESET, que han explicado que muchas de estas aplicaciones falsas maliciosas imitan a plataformas conocidas o utilizan nombres similares a servicios populares para generar confianza y conseguir que el usuario las instale sin sospechar.
Sin embargo, realmente estas aplicaciones fraudulentas tienen la capacidad de robar credenciales, datos bancarios o, incluso, instalar 'malware' en el dispositivo "sin que el usuario lo detecte", lo que puede desembocar en consecuencias complejas de seguridad.
En este marco, el director de investigación y concienciación de ESET en España, Josep Albors, ha alertado de que están identificando campañas "cada vez más elaboradas" en las que las 'apps' fraudulentas "copian con detalle la apariencia de servicios legítimos para conseguir información sensible o infectar el dispositivo".
Así, aunque las tiendas oficiales de aplicaciones, como puede ser Google Play Store o la App Store de Apple, cuentan con medidas de seguridad específicas para evitar la distribución de aplicaciones fraudulentas, "ninguna plataforma está completamente libre de riesgos", según ESET.
A ello se le suma que muchos de los ciberdelincuentes distribuyen sus aplicaciones maliciosas por enlaces enviados a través de correos electrónicos o mensajes, que redirigen a los usuarios a páginas de descarga que no son tiendas oficiales y no cuentan con ninguna medida de seguridad.
CLAVES PARA IDENTIFICAR UNA 'APP' FALSA ANTES DE DESCARGARLA
Es por todo ello que cada vez cobra más relevancia revisar las aplicaciones antes de descargarlas para identificar cuáles pueden ser falsas y evitar instalarlas en el 'smartphone'. Concretamente, prestando atención a siete claves sencillas.
En primer lugar, es esencial revisar el número de descargas, dado que, como ha señalado ESET, si una aplicación supuestamente popular apenas cuenta con usuarios o descargas, "conviene desconfiar" y probablemente sea falsa. "Las 'apps' fraudulentas suelen tener poca actividad o una presencia reciente en las tiendas", ha matizado la compañía.
Si eso no es suficiente, también es útil leer las reseñas, ya que los comentarios de otros usuarios pueden ofrecer pistas importantes sobre si se trata de una aplicación original o es falsa. Normalmente, en caso de ser fraudulenta, cuenta con críticas negativas relacionadas con fallos extraños, publicidad invasiva o problemas de seguridad.
No obstante, tampoco conviene confiar en aplicaciones que cuentan con muchas reseñas y que se basan en comentarios repetitivos o demasiado genéricos, ha aclarado ESET.
Otra opción es comprobar el diseño de la aplicación para asegurar que es el legítimo. Esto se debe a que muchas 'apps' maliciosas copian logotipos, colores o elementos visuales de aquellos servicios que pretenden imitar, sin embargo, habitualmente se encuentran pequeños cambios o errores gráficos que pueden delatarlas.
Además, ESET también ha apuntado la necesidad de confirmar que es una aplicación que realmente existe, porque no todas las plataformas o servicios disponen de aplicación móvil oficial. Por tanto, antes de descargar cualquier 'app' conviene acudir a la web oficial de la empresa y verificar los enlaces legítimos de descarga.
Revisar el texto y la descripción de la aplicación también suele ser de ayuda, ya que se pueden encontrar faltas de ortografía, traducciones deficientes o descripciones poco profesionales que pueden hacer sospechar se una aplicación fraudulenta, ya que siguen siendo características frecuentes de este tipo de 'apps'.
La compañía de ciberseguridad recomienda igualmente investigar quién está detrás de la aplicación antes de descargarla, dado que los desarrolladores legítimos suelen contar con otras aplicaciones publicadas o una trayectoria visible. "Si el creador de la app es desconocido o no tiene historial, conviene extremar las precauciones", ha sentenciado.
Finalmente, los usuarios deben prestar atención a los permisos que solicitan las aplicaciones, para asegurarse de que no están dando el consentimiento a acciones que no están relacionadas con la función de la 'app'. Por ejemplo, una aplicación de linterna no necesita acceder a los contactos, ni una calculadora debería solicitar permisos para gestionar llamadas.
"Cuando una aplicación pide acceso a funciones que no tienen relación con su propósito, puede existir un riesgo de seguridad", han matizado al respecto los expertos de ciberseguridad.
QUÉ HACER SI SE HA DESCARGADO UNA 'APP' FALSA
En algunas ocasiones, el problema se detecta después de instalar la aplicación. Por ejemplo, al observar un aumento repentino del consumo de batería o de datos móviles, publicidad constante, bloqueos frecuentes o la aparición de 'apps' desconocidas.
Estas características de comportamiento pueden indicar que "el dispositivo ha sido comprometido", ha advertido Albors, que ha recomendado que, en estos casos, se han de comprobar posibles cargos económicos no autorizados, mensajes enviados sin conocimiento del usuario o comportamientos extraños del teléfono, como aplicaciones que se abren o cierran automáticamente.
Asimismo, el experto ha subrayado que en caso de sospechar que una aplicación ya instalada puede ser maliciosa lo más recomendable es eliminarla inmediatamente y, tras ello, analizar el dispositivo para comprobar si todavía existe alguna amenaza activa, de la mano de soluciones de seguridad. También conviene mantener actualizado el sistema operativo y activar la autenticación en dos pasos siempre que sea posible.
"En muchos casos, el éxito de estos ataques no depende de técnicas sofisticadas, sino de pequeños descuidos o de actuar con rapidez sin revisar ciertos detalles. Dedicar unos segundos a comprobar una aplicación antes de instalarla puede evitar consecuencias importantes", ha concluido Albors.
