Pocas aplicaciones son más seguras que el software bancario de los dispositivos móviles. No obstante, estas aplicaciones pueden proporcionarles a los cibercriminales información confidencial y de gran valor de los usuarios, como credenciales de inicio de sesión y datos de contacto.
El clickjacking facilita el robo de información privada confidencial hasta el punto de que perpetrarlo solo requiere el registro en una aplicación. Malware como Svpeng es prueba de la eficacia, y la prevalencia, de este tipo de delito.
El clickjacking permite a los hackers insertar una capa de interfaz de usuario invisible entre la yema del dedo y el contenido que se muestra en la pantalla del dispositivo.
Tras introducir tu ID y tu contraseña, puedes pensar que estás viendo la pantalla de tu aplicación bancaria. Sin embargo, es posible que lo que estés viendo realmente sea una réplica de la pantalla superpuesta a la verdadera información bancaria.
Tu banco no comprueba la información privada que introduces, sino que esta información se dirige a los servidores de archivos que los cibercriminales utilizan para robar datos de acceso a cuentas bancarias.
Clickjacking lucrativo
En julio de 2017, el analista de malware sénior de Kaspersky Roman Unuchekinformó en el blog SecureList que el malware Svpeng se estaba "haciendo viral". Svpeng se empezó a utilizar en 2013 para robar datos bancarios de usuarios de dispositivos Android. Una vez que se descarga en un dispositivo móvil, se apropia de los datos del usuario mediante un ataque de clickjacking; pero el problema va mucho más allá.
Una vez que el malware obtiene privilegios de administrador, puede seleccionar las pantallas de superposición que va a utilizar, enviar y recibir SMS, realizar llamadas telefónicas y leer contactos.
Posteriormente, el malware envía capturas de pantalla y cualquier otro material del dispositivo del que se haya apropiado al servidor de mando y control que utilizan los hackers. Esto podría incluir contactos, aplicaciones instaladas, registros de llamadas y SMS. El caso de los SMS es especialmente complejo, ya que normalmente los bancos envían SMS con códigos de verificación a los usuarios.
Según Unuchek, Svpeng se extendió a 23 países solo en una semana.
Prácticamente cualquier plataforma puede sufrir un ataque de clickjacking
Aunque los teléfonos Android parecen especialmente vulnerables al clickjacking, este tipo de ataques puede afectar a cualquier máquina con acceso a Internet: dispositivos móviles, tablets, ordenadores de sobremesa y portátiles.
A mediados de 2016, Google eliminó los anuncios con capas transparentes que lograron engañar a millones de usuarios que hicieron clic en enlaces que conducían a sitios web no solicitados. En muchos casos, estos sitios web contenían malware, adware e incluso spyware que se descargaba e instalaba; en ocasiones sin que el usuario fuera consciente de ello.
Muchas compañías sin escrúpulos pueden utilizar páginas que hayan sufrido ataques de clickjacking para emitir pedidos de Amazon con solo un clic. El clickjacking crea "likes" falsos en las publicaciones de plataformas de redes sociales como Facebook (lo que se conoce como "likejacking"), y capta a seguidores desprevenidos en Twitter. Según informa MarketingLand.com, los atacantes también descargan malware que obliga a los usuarios a hacer clic en anuncios invisibles de forma fraudulenta.
Cómo defenderse de los ataques de clickjacking
Una de las vías de acceso más comunes del software de clickjacking a los dispositivos son los correos electrónicos con un objetivo específico. Lamentablemente, en un mundo en el que los hackers roban miles de millones de cuentas de clientes con sus datos de contacto, los cibercriminales pueden adquirir esta información por solo unos céntimos. La probabilidad de que los cibercriminales tengan archivada al menos tu cuenta de correo electrónico y tu información bancaria es alta.
Presta especial atención a los correos de tu bandeja de entrada que requieran tu atención para abordar un asunto urgente. Estos correos electrónicos te piden que hagas clic en un enlace que puede conducirte a un sitio web que parezca idéntico al de tu banco u otro sitio web oficial, y en el que se te tenderá una trampa para que descargues la última versión de la aplicación de la institución o completes la información de perfil.
Si el objetivo es que descargues una aplicación, probablemente esta aplicación sea un malware que capturará y robará tus credenciales. En otros casos, el propio sitio web puede ser el origen del malware que accede a tu dispositivo a hurtadillas. Independientemente de cómo se lleve a cabo el ataque, el malware presentará capas de entrada falsas para que las rellenes.
También es importante que evites hacer clic en los anuncios de Google o Facebook que te ofrezcan algo demasiado bonito para ser cierto o que divulguen noticias o historias extraordinarias. En algunos casos, al hacer clic en estos elementos, se conduce al usuario a un sitio web que descarga software de clickjacking en su ordenador. Es preferible que busques la información en otro canal, como un periódico conocido o una fuente fiable. Si las noticias son reales, no será difícil encontrar resultados válidos.
A la hora de descargar aplicaciones en dispositivos, hazlo desde bibliotecas de aplicaciones autorizadas. Estas bibliotecas combinan el factor humano con agentes de software para eliminar el malware y conservar el contenido adecuado. No siempre es fácil de detectar interfaces falsas o invisibles, pero una dosis de escepticismo razonable a la hora de usar todo lo que tenga que ver con Internet puede contribuir considerablemente a lograr una experiencia de usuario satisfactoria.
Artículos relacionados:
- ¿Qué es el adware?
- ¿Qué es un troyano?
- Hechos y preguntas frecuentes sobre los virus informáticos y el malware
- Spam y phishing