El Instituto Nacional de Ciberseguridad (INCIBE) tiene como misión reforzar la ciberseguridad, la confianza y la protección de la privacidad en los servicios de la Sociedad de la Información, aportando valor a ciudadanos, empresas, Administración, al sector de las tecnologías de la información y las comunicaciones y sectores estratégicos en general. INCIBE elabora para los medios informativos un boletín semanal, con el fin de colaborar conjuntamente en la difusión de la seguridad de la Información.
Esta app te puede robar toda tu información
A la hora de buscar una determinada aplicación o juego en Google Play o en la App Store, es frecuente comprobar que la que más se ajusta a nuestras necesidades es de pago. La mayoría de usuarios, ante esta situación, o pagan por la aplicación o se resignan y buscan otra alternativa, pero hay otro tipo de usuarios que la quiere y además, gratis. Cuando un usuario está dispuesto a obtener una aplicación premium de forma totalmente gratuita, sin entrar a valorar si hacer esto es legal o no, suele acudir a uno de los muchos repositorios de apps no oficiales publicados en Internet, fuera del alcance de Google y Apple. Pero ¿qué consecuencias puede tener esto?
Muchos pueden pensar que este tipo de repositorios o tiendas alternativas únicamente contienen aplicaciones pirateadas de las tienda oficiales, pero la realidad no siempre es así. Tanto Google como Apple se encargan de validar si una determinada app es apta para su tienda online, cumple con unos requisitos mínimos de usabilidad, calidad, seguridad, etc., por lo que determinadas app pueden ser descartadas según sus estándares particulares. Sin embargo, en estos repositorios alternativos no rigen los principios de Google o Apple, por lo que muchas apps no aceptadas por estas compañías son alojadas aquí. Y es que, en estas tiendas no existen unas medidas de seguridad como las que pueden tener implementadas Google Play o la App Store, lo que implica un mayor número de apps con malware o que esconden bajo su inofensiva apariencia, funcionalidades con fines maliciosos.
Tanto Android como iOS, tienen habilitadas por defecto restricciones que solo permiten instalar apps alojadas en sus propios repositorios, evitando así que los usuarios salgan de la “zona controlada”. Digamos que para instalar apps de sitios alternativos, como dice google “no confiables”, en Android es muy sencillo, simplemente hay que acceder a los ajustes y activar la opción «Apps de origen desconocido» dentro de la sección «Seguridad». En Android 5 o anteriores la opción se encuentra en «Ajustes > Seguridad > Apps de origen desconocido», para la versión 6 y posteriores esta opción se encuentra en «Ajustes > Ajustes avanzados > Seguridad > Apps de origen desconocido».
En iOS la cosa se complica algo más. Para poder instalar una app fuera de la App Store es necesario eliminar las restricciones de fábrica. A esto se le conoce como hacer un jailbreak al dispositivo, pasando a ser más inseguro e inestable, ya que entre otras cosas se incrementan los riesgos de seguridad al poder instalar aplicaciones fuera de la tienda oficial.
En el supuesto que decidiéramos “pasar la frontera” e instalar esa app que es de pago en los repositorios oficiales pero que es totalmente gratuita en otros sitios de Internet, al instalarla, y… siempre y cuando funcione correctamente, además de conseguir las funcionalidades para las que fue diseñada, podríamos estar poniendo en peligro nuestro dispositivo y nuestra privacidad.
El primer aspecto a tener en cuenta, como ya se dijo anteriormente, es que el sitio de donde hemos descargado la app, no cuente con medidas de seguridad tan estrictas como pueda tener Google o Apple, o que simplemente no cuente con ninguna. Este aspecto es importante ya que al no haber controles de seguridad alguien con los suficientes conocimientos podría llegar a realizar el siguiente conjunto de acciones:
Comprar la app original en una de las tiendas oficiales.
Utilizando las herramientas adecuadas, podría obtener el código fuente con el que fue creada la app.
Modificar dicho código para que realice otras acciones maliciosas de manera adicional de las originales, como por ejemplo:
– Instalar aplicaciones sin permiso o mostrar publicidad con lo que el ciberdelincuente obtendrá un beneficio económico.
– Acceder a distintos elementos del dispositivo como la cámara o el micrófono, el teclado, memoria de almacenamiento, etc.
– Obtener información personal del usuario como su lista de contactos, números de tarjeta, mensajes enviados y recibidos, credenciales de acceso, etc.
– Cualquier otra cosa que se le ocurra…
Volver a compilar la aplicación con los “extras anteriores” o cualquier otro y alojarla en uno de esos repositorios alternativos que hemos comentado.
Una vez que la aplicación está alojada en la tienda, el ciberdelincuente solo tiene que esperar a que algún usuario en su afán de conseguir una aplicación premium de forma gratuita, la instale en su dispositivo.
Además de los posibles riesgos a los que exponemos nuestra privacidad e información confidencial, existen otras cuestiones a tener en cuenta cuando instalamos una app de estas características:
Desarrollar una aplicación lleva mucho trabajo y horas de esfuerzo por lo que si el desarrollador de la misma considera que debemos pagar una determinada cantidad para disfrutar de sus funcionalidades deberíamos hacerlo, y en caso de no estar de acuerdo, buscar una alternativa.
Al instalar un app “pirata” dejamos de recibir actualizaciones por lo que no obtendremos nuevas funcionalidades o correcciones de errores que libere el desarrollador oficial.
Sé cauto con las aplicaciones que descargas en tu dispositivo móvil. No actúes de manera compulsiva y reflexiona sobre lo que quieres descargar, de dónde y en qué condiciones. Evitarás riesgos de seguridad en tus dispositivos y que los datos que almacenas en ellos escapen de tu control.
Si eres de los que ha probado alguna vez a descargar apps de estas tiendas alternativas, ¿cuál ha sido tu experiencia? Te animamos a que la compartas con nosotros y nos des tu punto de vista.
https://www.osi.es/es/actualidad/blog/2017/07/05/esta-app-te-puede-robar-toda-tu-informacion