iOS
Los lectores más fieles de Kaspersky Daily siempre están al día de las últimas tendencias en seguridad móvil y saben que el tema más candente al respecto son los troyanos bancarios para dispositivos móviles. Cuando realizamos una transacción bancaria a través de nuestro smartphone, un ladrón puede interceptar cualquier información privada de la víctima: usuario, contraseñas, claves de un solo uso… Sin embargo, hasta hace bien poco, estas amenazas solo acechaban en el reino de Android. Gracias a las políticas restrictivas de la Appstore de iOS, los usuarios de esta plataforma estaban a salvo de los embistes del cibercrimen. En cambio, recientemente, se ha descubierto que esto no es del todo cierto. El bug en el sistema de encriptación, solucionado en iOS 7.0.6, permitía a los hackers interceptar o modificar el contenido supuestamente seguro de las comunicaciones cifradas. Pero esto no es todo. La compañía de seguridad, FireEye, ha publicado un estudio donde se describe un método que permite interceptar las pulsaciones de teclado y pantalla táctil en iOS. Esta técnica allanaría el terreno para crear un keylogger en iOS sin la necesidad de realizar un jailbreak.
El principio es sencillo: una aplicación (cualquiera que sea) puede permitir la monitorización en un dispositivo iOS7 y registrar todas las pulsaciones en el smartphone. Cada pulsación es un pequeño mensaje como “Usuario toca la pantalla en las coordenadas XY”. Cada letra del teclado de iOS corresponde a una coordenada. La demo de la app creada por FireEye envía estos datos a un servidor remoto donde se traducen las pulsaciones y permite a los hackers interceptar la información tecleada en el iPhone. Si introducimos nuestra contraseña en el dispositivo, ésta se cargará automáticamente en la base de datos acarreando las consecuencias más negativas que podamos imaginar. La app monitoriza las pulsaciones del usuario incluso cuando la función “Actualización en segundo plano” está desactivada.
Para evitar que alguien nos espíe, el usuarios tiene que desactivar la monitorización en segundo plano y, manualmente, eliminar todas las apps innecesarias del gestor de tareas.
Afortunadamente, esta vulnerabilidad fue descubierta por investigadores responsables que informaron inmediatamente a Apple para ayudarles a resolver el problema. Sin embargo, la actualización todavía no está disponible.
Dada la naturaleza restrictiva de la plataforma iOS, no hay mucho que podamos hacer para combatir la vulnerabilidad. Existen ciertos teclados de terceros que crean un mapa alternativo y que nos permiten introducir datos confidenciales en la app y pegarlos en las aplicaciones o páginas bancarias. Sin embargo, esto tampoco garantiza al 100% la seguridad de la información. Para obtener la mejor protección, los bancos deben implementar sus propias medidas de seguridad. ¡Aquí es donde entra en juego Kaspersky Lab! Recientemente, se presentó la plataforma Kaspersky Fraud Prevention, diseñada para fortalecer las defensas de las apps bancarias al añadir diferentes capas de seguridad a las ya existentes. Una de dicha capas de seguridad es el Teclado Seguro, solución específica para los keyloggers. Si nuestra app bancaria ofrece esta herramienta para los datos privados, las letras se situarán aleatoriamente en la pantalla evitando que se puedan traducir las coordenadas de cada letra y bloquendo las estratagemas de los cibercriminales.
No obstante, existen otras tecnologías que protegen tanto a los ordenadores como a los dispositivos móviles frente la amenazas financieras. Para conocerlas en detalle, podéis visitar la página de Kaspersky Fraud Prevention.
Consejos