2024 no va a ser un año tranquilo en lo que a materia de ciberseguridad se refiere, tal y como han avanzado los principales analistas e investigadores y también a tenor de cómo han evolucionado las primeras semanas de este año. A las técnicas y ataques tradicionales -explotación de vulnerabilidades, ransomware, phishing...-, se están sumando otras más novedosas -inteligencia artificial, tácticas experimentales. En el caso concreto de las amenazas hacia dispositivos móviles, en general siguen las tendencias preferidas por los hackers, pero las particularidades de estos dispositivos hacen que surjan ciberamenazas específicas o que algunas, como el phishing o el spyware, sean más populares, o más peligrosas, para los móviles. Vamos a repasar las cuatro principales amenazas que se prevén para los dispositivos móviles este año.
Phishing móvil
El phishing móvil, al igual que el tradicional, se basa en simular un mensaje legítimo de una entidad bancaria, compañía de suministros, organismo oficial, servicio de mensajería... para lograr que el destinatario dé sus datos privados o haga clic en un enlace que le dirige a una página fraudulenta.
El incremento exponencial del uso de dispositivos móviles llamó hace tiempo la atención de los ciberdelincuentes, que han redirigido sus campañas de phishing a smartphones y tablets. No sorprende, por tanto, que en 2023 se produjera un fuerte aumento del phishing orientado a dispositivos móviles y, según Proofpoint, se espera que esta amenaza crezca todavía más en 2024.
De hecho, según los datos de la firma de seguridad móvil Zimperium, el 80% de los sitios de phishing se dirige específicamente a dispositivos móviles o están diseñados para funcionar en estos. Además, el usuario móvil tiene de media entre seis y diez veces más probabilidades de caer víctima de campañas de phishing por SMS que a través del correo electrónico.
En ello influyen algunas vulnerabilidades propias de este tipo de dispositivos, que son explotadas por los criminales. Así, la popularización de los códigos QR para actividades cotidianas como consultar la carta de un restaurante o efectuar el pago de tasas e impuestos ha traído aparejado que el año pasado empezaran a utilizarse en muchas campañas de phishing de credenciales y malware. Las previsiones apuntan a que el empleo de esta técnica seguirá aumentando en 2024, sobre todo si comienzan a aprovecharla los grupos de hackers especializados en amenazas persistentes avanzadas (APT), que todavía no utilizan códigos QR en sus campañas de phishing, pero podrían sumarse fácilmente a esta tendencia.
También ha vivido un boom espectacular el smishing conversacional. El smishing envía a nuestro teléfono móvil mensajes SMS que aparentan proceder de nuestra entidad bancaria, con un enlace en el que conminan a hacer clic. Al pinchar en dicho enlace, accedemos a una página web fraudulenta en la que se solicita información personal, con el fin último de robar las credenciales de la víctima y tener acceso a sus cuentas bancarias o sus tarjetas de crédito. La rapidez de la lectura y la inmediatez de la respuesta a los mensajes en las plataformas móviles, superior a la del correo electrónico, hace del smishing una técnica muy atractiva para los criminales, a pesar de la insistencia de los bancos en pedir a sus clientes que únicamente accedan a sus servicios desde la app móvil o desde la web oficial de la entidad.
Una técnica de phishing muy ligada a los móviles que también ha crecido mucho en los últimos años es el vishing. El objetivo es el mismo: engañar a la víctima, en este caso a través de una llamada telefónica. La lista de supuestas compañías que se dirigen a nosotros es amplia: empresas de suministros como luz, gas o agua y, cada vez con más frecuencia, servicios de mensajería que nos avisan de que nuestro pedido ha sufrido un contratiempo en la entrega o está retenido en la aduana. Las peticiones posteriores van desde el abono de una cantidad de dinero a la instalación de alguna app ilegítima en el smartphone, pasando por la comunicación de información privada o el acceso a una web falsa.
El auge de las redes sociales está directamente relacionado con la prevalencia de su uso desde el móvil. De esto se aprovecha el llamado angler phishing, basado en crear un perfil falso en redes como Facebook, Instagram, X, TikTok... que simula ser el de una compañía, organización o persona real. Mediante promociones engañosas, servicios de atención al cliente falsos, etc., los hackers pueden solicitar datos personales a los usuarios, obtener información sensible o compartir enlaces para que inicien sesión en un sitio controlado por ellos.
Existen, por último, las campañas multitouch, que combinan varios dispositivos, incitando a los usuarios a pasar de sus ordenadores a sus móviles, utilizando códigos QR o llamadas fraudulentas. Esto eleva la eficacia de los ataques de phishing en los dispositivos móviles y, al mismo tiempo, dificulta la detección de estos ataques por parte de los equipos de seguridad de las compañías.
Spyware
Otro clásico del malware móvil, el spyware, también se incrementará en 2024. Según las predicciones de la compañía de ciberseguridad estadounidense Gen, las aplicaciones de spyware móvil distribuidas a través de anuncios o mensajes directos irán a más este año.
Los expertos de Gen advierten también del aumento en la creación y distribución de falsas aplicaciones de chat dirigidas a dispositivos móviles, que ocultan módulos de software espía o de robo de criptomonedas detrás de una interfaz aparentemente inofensiva.
Además, y a medida que el sector fintech continúa creciendo, existe mayor preocupación por el aumento de prácticas maliciosas dentro de la industria de las aplicaciones móviles de préstamos instantáneos. Paralelamente a la popularización del acceso rápido y fácil a préstamos a través de estas apps, algunos prestamistas cuyas actividades bordean la ilegalidad, cuando no caen directamente en ella, recurren a tácticas poco éticas para garantizar los pagos, alertan desde Gen. Aquí las aplicaciones diseñadas para espiar y extorsionar tienen un papel importante.
Además de la instalación de aplicaciones maliciosas, los creadores de spyware móvil tienen otros métodos para infectar los smartphones y tablets. Una de las más comunes es la descarga de archivos maliciosos, que bajo la apariencia de un documento de texto, una fotografía, un fichero comprimido o un PDF, alojan un software espía que da acceso a la información almacenada en nuestro móvil o registra lo que decimos y escribimos. Estos archivos pueden llegar a través de aplicaciones de mensajería, correos electrónicos, descargas desde páginas web poco confiables o estar alojados en la nube.
A menudo, los ataques de phishing móvil que hemos mencionado van unidos a la instalación de una app espía. Basta con pinchar en el enlace que nos envían para activar la descarga de un spyware móvil en nuestro dispositivo. Una variante de este método es alertarnos de un supuesto problema y remitirnos un archivo para que lo instalemos y solucionemos el fallo. Obviamente, el archivo contiene un software que accede a nuestra información y la envía a los ciberdelincuentes.
Aunque en ocasiones, el spyware no entra en el dispositivo gracias a un fallo humano, sino a un error técnico. Los piratas pueden aprovechar alguna vulnerabilidad del sistema operativo o de alguna aplicación para colarse en el dispositivo móvil. Hay muchos lugares donde puede encontrarse una brecha de seguridad: en extensiones del navegador, en programas del sistema, en el firmware de algún componente...
La brecha también puede localizarse no en el propio móvil o tableta, sino en la red wi-fi a la que se haya conectado. Aquí las redes wi-fi públicas, como las que están accesibles en aeropuertos, bibliotecas, centros comerciales, restaurantes..., son especialmente vulnerables. A la posibilidad de que un hacker haya accedido a una red pública para interceptar las conexiones no cifradas, se une la de que hayan creado una red falsa para captar la información que los usuarios comparten a través de la misma sin ser conscientes del peligro. Dicha información incluye el historial de navegación, registros de mensajes, llamadas y aplicaciones.
Ransomware móvil
Al phishing y el spyware se une el más que posible aumento del ransomware móvil este año. Ya en 2023, se registró un importante crecimiento, cercano al 40%, del secuestro de dispositivos móviles en Estados Unidos, aunque no fue el único. Otras naciones como Canadá, Reino Unido, Alemania o diversos países latinoamericanos también han sido afectados por este tipo de ataques, con las consecuentes pérdidas económicas e interrupciones de las operaciones de las organizaciones atacadas, según el informe Cibercrimen 2024: análisis y tendencias de la firma especializada en ciberseguridad BeDisruptive.
El crecimiento del ransomware móvil en 2024 vendrá relacionado con dos factores. El primero, la acción de grupos ligados a gobiernos, que lanzan estos ataques contra objetivos de alto nivel de países rivales, con la finalidad de robar información de organismos gubernamentales y militares y causar daños a infraestructuras críticas, como centrales eléctricas, hospitales o sistemas de control de transporte. El empleo creciente de dispositivos móviles en el entorno corporativo facilita el acceso a los sistemas de una organización desde estos dispositivos y hace más difícil la labor de los equipos de protección, algo que los delincuentes cibernéticos tienen cada vez más en cuenta. El Informe Global de Amenazas Móviles 2022 de Zimperium mostraba que el 60% de los puntos de acceso a los activos empresariales son dispositivos móviles.
En el polo opuesto, también se prevé un incremento del denominado “ransomware de baja cualificación”, dirigido contra individuos y organizaciones de pequeño y mediano tamaño, cuya resiliencia digital es baja o casi nula. Este ransomware de bajo nivel no precisa de grandes expertos, por lo que es un área de interés para aquellos que inician su carrera en el mundo cibercriminal. El aumento del número de personas que se dedican a estas actividades delictivas es otra tendencia en alza, impulsada por la presencia de grupos que ofrecen herramientas en foros de la Dark Web o en canales como Telegram y por el creciente papel de la inteligencia artificial a la hora de proporcionar asistencia. La proliferación del ransomware as a service (RaaS) también ha facilitado sobremanera el lanzar estos ataques sin necesitar grandes conocimientos técnicos.
El ransomware para dispositivos móviles consiste en un código malicioso que bloquea el dispositivo y, en numerosas ocasiones, cifra los archivos almacenados en el mismo. La manera de recuperar el acceso al móvil y a la información es realizar un pago a los secuestradores, normalmente en criptomonedas, aunque cada vez más usuarios optan por restaurar su dispositivo aun perdiendo toda la información almacenada.
Este tipo de malware puede afectar a la práctica totalidad de los dispositivos Android. Desde la aparición del Simplocker, el primer ransomware para Android que cifraba los ficheros de los usuarios, las firmas de seguridad han contabilizado más de 20.000 nuevas modalidades de ransomware móvil y 5,6 millones de paquetes de instalación maliciosos instalados por usuarios móviles inadvertidamente. En su día fueron muy renombrados el ransomware móvil inserto en una falsa app de rastreo de contactos de Covid-19 en Canadá o el malware de secuestro que se difundía usando la lista de contactos de sus víctimas, a las que mandaba SMS con enlaces maliciosos. Algunas variantes, como Lockerpin, cambian el código PIN de la pantalla de desbloqueo para inutilizar el teléfono y eliminan los procesos correspondientes a aplicaciones antivirus.
La vía de distribución del ransomware móvil es similar a la de otras aplicaciones maliciosas. Se puede instalar como si fuera una app legitima en el sistema operativo del dispositivo para evitar sospechas, descargada desde las tiendas oficiales o desde marketplaces alternativos y páginas web, o bien aprovechando vulnerabilidades que afectan a la seguridad del teléfono. También emplean técnicas de ingeniería social para engañar a los usuarios y conseguir que lo instalen, camuflado como un vídeo o a través de enlaces que conducen a sitios que infectan los dispositivos.
Creación de botnets con móviles 'zombis'
La toma de control de ordenadores para utilizarlos como parte de una red que lanza ciberataques coordinados, las llamadas botnets o redes de bots, es un quebradero de cabeza para los analistas de seguridad desde hace dos décadas. Pero, al igual que sucede con otros tipos de software malicioso, los cibercriminales han visto una oportunidad de ampliar su capacidad de acción controlando también dispositivos móviles.
Según el Boletín de Seguridad sobre Crimeware y Amenazas Financieras 2024 de Kaspersky, este año veremos cómo se introducen nuevas vías de aprovechar las vulnerabilidades de dispositivos móviles, inteligentes y wearables, con los que crear botnets. Según el Equipo de Análisis e Investigación Global de Kaspersky, una de las principales funciones de estas redes sería lanzar ataques a las cadenas de suministro de las compañías.
El pasado año surgió el llamado Daam, un malware móvil que funciona en plataformas Android y, además de robar información, secuestra el dispositivo móvil para convertirlo en un equipo zombi controlado a distancia e integrado en una botnet. Nacido en la India, ha causado graves daños en el país, donde la rápida tasa de adopción de estos dispositivos y una concienciación todavía escasa entre los nuevos usuarios favorece un caldo de cultivo ideal para crear botnets móviles gigantescas. Hasta el punto de que el Gobierno indio tuvo que activar las alertas digitales del país para informar a los usuarios de la amenaza.
Los usos de los dispositivos que forman parte de una botnet son variados, pero todos ellos perjudiciales. El más básico es el envío masivo de spam que proporcione a los atacantes un beneficio económico mediante las estafas online. En otras ocasiones, se configura para aumentar artificialmente el tráfico de una o varias páginas web, visitándolas y haciendo clic en los anuncios que muestran; de esta forma el titular de la web obtiene un beneficio fraudulento en concepto de publicidad digital.
Otra utilidad muy conocida de estas redes son los ataques de denegación de servicio distribuido o DdoS, con los que se satura un servidor lanzando miles o millones de solicitudes de acceso desde otros tantos dispositivos infectados, cuyos propietarios sólo sospechan que están participando involuntariamente en un ciberdelito cuando empiezan a advertir una ralentización en su móvil o su conexión.
Especialmente lesivo para el dispositivo infectado es el empleo de su capacidad de computación para minar criptomonedas, debido a la cantidad de recursos de procesamiento que consume esta actividad. De esta forma, los ciberdelincuentes generan elevados ingresos utilizando recursos ajenos. Las botnets también se pueden utilizar para descargar aplicaciones y mostrar publicidad de forma masiva en los terminales infectados.
Por otra parte, estos ejércitos de móviles zombis a veces sirven para aumentar la eficacia de otro tipo de ataques como la suplantación de identidad, mediante campañas ejecutadas por bots.
Y, como en los Darknet markets se compra y se vende de todo, las botnets no son una excepción. Su rentabilidad y su utilidad para asegurar el anonimato hacen que una botnet completa, que puede utilizar miles de dispositivos coordinadamente, se venda o se alquile para efectuar actividades delictivas como las citadas.