Connect with us

Hi, what are you looking for?

Tecnología

Alertan por una nueva estafa virtual que salta los mecanismos de seguridad de los teléfonos iOS y Android

Llega a través de mensajes no solicitados en WhatsApp y redes sociales. Imita las apps bancarias para capturar contraseñas, ingresar al homebanking y quedarse con los ahorros de las víctimas.

Recientes investigaciones de expertos en ciberseguridad revelaron la propagación de una nueva clase de virus que afecta dispositivos iOS y Android. Se trata de una campaña de phishing que usa aplicaciones web para disfrazarse de apps bancarias oficiales y así capturar contraseñas para ingresar a los homebanking de las víctimas.

Además, esta peligrosa amenaza consigue eludir las protecciones de seguridad de los sistemas operativos, pasarlas por encima y actuar sin que sea detectada ni atacada.

Cómo funciona la nueva amenaza de phishing

Según explicaron los especialistas de ESET, los atacantes utilizan las llamadas PWAsitios web empaquetados que simulan aplicaciones independientes. Con estas apps fraudulentas, logran iniciar ataques a usuarios de Android e iOS. Estas aplicaciones no requieren permisos especiales para su instalación, lo que las hace más difíciles de detectar.

Alerta: una nueva clase de phishing salta los mecanismos de seguridad de iOS y Android y roba tus claves. (Foto: AdobeStock)
Alerta: una nueva clase de phishing salta los mecanismos de seguridad de iOS y Android y roba tus claves. (Foto: AdobeStock)

En dispositivos Android, los atacantes usan WebAPK, que son versiones mejoradas de las PWA. Estas aplicaciones aparentan ser legítimas y no generan alertas de seguridad, incluso si se instalan desde fuentes externas a Google Play.

Así se distribuye y propaga el nuevo virus que ataca a iOS y Android

La distribución de estas aplicaciones fraudulentas se lleva a cabo a través de publicidad maliciosa en redes sociales, SMS o mensajes no solicitados en plataformas de mensajería que contienen un enlace que redirige a los usuarios a páginas web de terceros, donde descargan la app falsa. ”Una vez que el usuario instala la aplicación maliciosa, se le solicita que ingrese sus credenciales bancarias, las cuales son enviadas directamente a los servidores controlados por los atacantes”, advirtió ESET.

Estos ataques comenzaron el año pasado y se activaron recién en marzo de 2024. En principio, el virus comenzó a propagarse en Europa central y desde ahí se está expandiendo a todo el mundo.

Posibles consecuencias

Esta amenaza es de gran peligrosidad debido a la dificultad de distinguir estas aplicaciones fraudulentas de las auténticas. Por lo tanto, la posibilidad de afectar a una enorme cantidad de usuarios está latente.

Por ese motivo, los expertos de ESET recomiendan ser extremadamente cautelosos al instalar aplicaciones bancarias y verificar siempre que provienen de fuentes oficiales

Cómo protegerse de esta nueva amenaza

La sofisticación de estas nuevas técnicas de phishing demuestra la creciente necesidad de una mayor educación y concienciación entre los usuarios de dispositivos móviles, tanto de iOS como de Android.

Para protegerse de la nueva clase de ataques de phishing que utilizan aplicaciones web progresivas (PWA) y WebAPK, los usuarios deben adoptar diversas medidas de seguridad basadas en las ya conocidas buenas prácticas de ciberseguridad:

  • 1. Verificación de fuentes

Antes de instalar cualquier aplicación, especialmente si se trata de aplicaciones bancarias, los usuarios deben asegurarse de que provienen de fuentes oficiales. Esto incluye verificar la autenticidad de la tienda de aplicaciones (Google Play Store o Apple App Store) y buscar reseñas o comentarios sobre la aplicación en cuestión.

  • 2. Investigación de aplicaciones

Realizar una búsqueda online sobre la aplicación y su desarrollador puede ayudar a identificar si tiene denuncias previas de estafas. También se puede buscar el nombre de la app junto con términos como “estafa” o “fraude” para obtener información adicional.

  • 3. Uso de autenticación de dos factores (2FA)

Activar la autenticación de dos factores en apps bancarias y otras aplicaciones críticas añade una capa adicional de seguridad. Esto significa que, incluso si un atacante obtiene las credenciales, necesitará un segundo factor (como un código enviado al teléfono) para acceder a la cuenta.

  • 4. Cuidado con los enlaces y mensajes sospechosos

Es muy importante ser cautelosos al hacer click en enlaces que aparecen dentro de mensajes SMS, correos electrónicos o de redes sociales. Muchos ataques de phishing se distribuyen a través de estos canales.

  • 5. Educación y concienciación

Estar informado sobre las técnicas de phishing y las estafas en línea es vital. Los usuarios deben educarse sobre cómo funcionan estos ataques y estar atentos a las señales de advertencia, como solicitudes inusuales de información personal o financiera.

  • 6. Instalación de software de seguridad

Utilizar software de seguridad (antivirus) confiable en dispositivos móviles puede ayudar a detectar y bloquear aplicaciones maliciosas antes de que sean instaladas. Estos software pueden proporcionar protección en tiempo real contra amenazas emergentes.

  • 7. Desconfianza ante solicitudes de información personal

Los usuarios deben ser escépticos ante cualquier solicitud de información personal, especialmente si proviene de una fuente no verificada. Nunca se debe proporcionar información confidencial a través de aplicaciones que no se han instalado desde fuentes oficiales.

  • 8. Reportar actividades sospechosas

Si sospechás que fuiste víctima de un ataque de phishing, reportalo inmediatamente (acá te compartimos una guía para hacerlo ► click aquí). Esto no solo ayuda a protegerte, sino que también puede prevenir que otros usuarios caigan en la misma trampa.

  • 9. Mantener el sistema operativo y aplicaciones actualizados

Actualizar regularmente el sistema operativo y las aplicaciones es esencial para cerrar brechas de seguridad que los atacantes podrían explotar. Las actualizaciones suelen incluir parches de seguridad que protegen contra vulnerabilidades conocidas.

  • 10. Cuidado con las aplicaciones que no requieren permisos

Las PWA y WebAPK no suelen requerir permisos especiales para su instalación, lo que puede hacer que sean más difíciles de detectar.

Implementar estas medidas puede ayudar a protegerse de las amenazas emergentes, como esta nueva campaña de phishing, y mantener sus credenciales, datos personales, y los ahorros, por supuesto, a salvo. La concienciación y la precaución son las mejores defensas.

TE LO PERDISTE MIRA

NOTICIAS

En un operativo conjunto de alta complejidad, fuerzas policiales de Argentina, Paraguay y otras provincias del noreste argentino lograron recapturar a Luz Mía Bárbara...

NOTICIAS

En la mañana de este martes, personal de la Comisaría Primera portuaria, tomó conocimiento por parte de autoridades de Prefectura Naval Argentina que un...

Deportes

El piloto argentino es sensación en cada conferencia de prensa, pero en el Gran Premio de Las Vegas se dio una imagen muy particular...

NOTICIAS

Avanza la temporada epidemiológica de arbovirosis en el país, y se comienzan a acumular más casos sobre todo en el NEA. Según los datos...