13 abril, 2016
Esta nota fue publicada originalmente en la edición 295 de revista USERS. Podes suscribirte a la versión impresa y/o digital aquí
Por Emiliano Piscitelli
Seguramente hoy en día la mayoría de nosotros poseemos un teléfono inteligente, participamos en al menos una o más redes sociales y utilizamos algunos otros servicios online. También nos animaríamos a decir que a la mayoría de nosotros nos da pereza leer los “famosos” términos y condiciones cuando nos inscribimos en algún servicio, rellenamos varios formularios sin saber a dónde van a parar nuestros datos y no le prestamos mucha atención a los permisos que las aplicaciones móviles nos solicitan.
El objetivo de este artículo es que podamos comprender cuán expuestos podemos estar si no tomamos al menos algunas medidas para protegernos.
Dispositivos móviles
Los smartphones y tablets son hoy nuestro principal medio de acceso a Internet y otras redes. Aquí, algunas cuestiones relevantes.
Muchas veces la funcionalidad es enemiga de la seguridad. A esto no escapan nuestros dispositivos móviles, ya que al ingresar en el mundo de las aplicaciones (apps) debemos tener algo más de cuidado y leer correctamente los permisos que éstas nos solicitan.
En nuestra experiencia, y en general, esto no se tiene en cuenta y es justamente allí donde ciberdelincuentes pueden aprovecharse de nuestra falta de control para apropiarse de nuestros datos.
Veamos a continuación las diferentes opciones que se nos presentan al querer instalar la aplicación de Facebook, tanto en iOS (sistema operativo de iPhone) como así también en Android.
Instalación de apps
Luego de lo expuesto hasta aquí es inevitable la siguiente pregunta: ¿Aplicaciones sí o aplicaciones no? y la respuesta es: Sí… pero con el debido cuidado.
A continuación detallamos algunos consejos a tener en cuenta antes y después de instalar nuestras aplicaciones:
* Evitar Aplicaciones “No oficiales”: es muy común ver en las plataformas Android aplicaciones muy tentadoras (apps de descarga de videos, música, etc.) por fuera del Google Play. Generalmente se presentan como archivos con extensión APK. Si bien en su mayoría hacen lo que dicen, pueden llegar a hacer un “poco más”. Por ejemplo: acceder a nuestros contactos, fotos, conexiones, tomar control de nuestra cámara o micrófono. Todo esto debido a los permisos que solicitan y acciones que puede llevar a cabo aprovechando que no han sido auditadas por Google.
* Permisos excesivos: si bien el hecho que las aplicaciones estén dentro de los tiendas oficiales (Google, Apple, etc.) nos garantiza que fueron evaluadas, podemos encontrar algunas que nos solicitan permisos excesivos y hasta incluso pueden llegar a ser malware. Es por ello que siempre debemos evaluar y poner en contexto la app que estamos por instalar. Por ejemplo: estamos por instalar una linterna, la cual solo debería tener acceso al LED del flash, pero al revisar los permisos antes de instalarla vemos que nos pide permisos para acceder a nuestros contactos, conexiones, fotos, etc. En este caso es evidente que el objetivo de esta app va más allá de solo “alumbrar”.
* Actualizaciones automáticas: tal como solemos decir: la funcionalidad no siempre va de la mano de la seguridad. Las actualizaciones automáticas son un claro ejemplo de ellos, ya que entre actualización y actualización puede llegar a suceder que las apps nos soliciten permisos que originalmente no nos solicitaron. Es por todo ello que debemos controlar las actualizaciones y así evitar sorpresas de este tipo.
El desarrollador correcto
Existen infinidad de aplicaciones con nombres similares entre sí, por ejemplo: WhatsApp y WhatApp. Muchas veces este tipo de acciones (dar de alta aplicaciones con nombres similares) se realiza por puro marketing, ya que algún que otro distraído instalará estas aplicaciones, dándole así mayor rating, posicionándose en un mejor puesto y en muchos casos se dejará instalada y se usará. Antes de instalar cualquier aplicación es recomendable chequear el desarrollador, cantidad de descargas y comentarios. Con todos estos datos podemos asegurarnos que la aplicación que estamos por instalar es la correcta.
Nuestros teléfonos hablan por nosotros
No solo debemos fijarnos en las aplicaciones, sino también en nuestra conectividad. El continuo avance de tantas apps “imprescindibles para nuestra supervivencia digital” y el no acompañamiento de las redes celulares (por lo menos en nuestra región) muchas veces nos llevan a la tentación de conectarnos a redes Wi-Fi abiertas para poder seguir conectados “al mundo”. Y es justamente allí donde nuevamente perdemos mucho más de lo que ganamos.
Veamos algunos de los riesgos a los cuales estamos expuestos cuando dejamos nuestra conexión Wi-Fi encendida en el móvil sin ningún tipo de control o cuando nos conectamos a cuanto Wi-Fi abierto encontremos:
“Escucha” de redes conocidas: al mantener nuestra conexión Wi-Fi activa nuestros teléfonos se encuentran en constante búsqueda de las redes conocidas (son las últimas a las que nuestro teléfono se conectó). Con esta información un atacante podría llegar a obtener nuestras “huellas”, ya que este podría saber exactamente a qué redes nos conectamos con frecuencia.
También existen mapas que se construyen a través de una técnica llamada WarDriving, donde se obtienen puntos geográficos de cada conexión Wi-Fi en una zona determinada, generalmente utilizando algún tipo de vehículo y dispositivos para poder lograr este objetivo. De esta manera se podría llegar a cruzar esta información con las redes que nuestros teléfonos están solicitando y allí poder analizar nuestros recorridos.
Suplantación: existen algunos dispositivos que son capaces de “decir que sí” a todas las peticiones de nuestros teléfonos. Por ejemplo, como comentamos anteriormente al mantener la conexión Wi-Fi encendida, y no estar conectados a una red específica, en todo momento nuestros teléfonos se encuentran a la búsqueda de las redes que en algún momento se conectaron. Este tipo de dispositivos tienen la habilidad de engañar a nuestros móviles como si los mismos se encontrarán conectados a “casa”, “trabajo”, etc.. De esta manera pueden interceptar y robar la información que se transmita.
Access points falsos: además de las amenazas antes nombradas, existen muchos usuarios que van por la ciudad en busca de una red Wi-Fi abierta, ya que generalmente las conexiones de datos no funcionan muy bien que digamos (los atacantes agradecen esto a los proveedores). Esto implica un riesgo muy alto, ya que APs falsos a la espera de alguna víctima que intente conectarse a ellos.
Un ejemplo muy claro podría ser un atacante que se encuentra cerca de una conexión abierta y concurrida (Mc Donalds, Starbucks). Aprovechando esto, crearía un nuevo punto de acceso con un nombre similar al original (Mc Donalds Free, Starbucks Coffe). A partir de allí todos los datos de los usuarios que se conecten a esa red serán interceptados por el atacante y muchos podrán verse en forma totalmente transparente.
Recomendaciones
- Mantener las conexiones inalámbricas desactivadas y sólo activarlas cuando sea necesario.
- Evitar el uso de redes públicas. En caso de usarlas evitar el uso de sitios que contengan información sensible (mail, homebanking, tarjeta de crédito).
- Activar el doble factor de autenticación en los servicios que así lo permitan (Google Authenticator, SMS, etc).
- No vivir paranoico, pero sí atento.
- Capacitar y capacitarse.
Cuando no depende de nosotros
“La vida es corta. Ten una aventura” son las frases que nos encontramos al ingresar en la llamada “Red social de Infieles”, la cual tiene como objetivo facilitar la comunicación y encuentro entre personas (las que en su gran mayoría desean cometer adulterio). Para poder darnos cuenta de esto basta con mirar las primeras opciones que se nos presentan al desplegar su menú de búsqueda.
Generalmente los usuarios que se registran en estos sitios confían que su información está resguardada y nunca será expuesta, pero en este caso no fue así: los datos personales de más de 37 millones de usuarios fueron expuestos en forma pública luego de que Ashley Madison sufriera un ataque, causando de esta manera distintos tipos de problemas: suicidios, separaciones, divorcios, empleados despedidos, opresión en algunos países debido a la inclinación sexual de algunas personas, chantajes.
Si bien este fue uno de los últimos casos conocidos, no fue ni va a ser el único.
Conclusiones
A lo largo de este artículo pudimos apreciar que si bien el cuidado de la privacidad no depende 100% de nosotros, sÍ lo hace en un gran porcentaje. Es allí donde debemos trabajar para elevar el umbral de nuestra seguridad lo más alto posible.
Por otro lado, debemos comenzar a leer las políticas de privacidad de los distintos sitios antes de aceptarlas y tener el debido cuidado sobre en cuáles nos damos de alta. Así podremos transitar una vida digital un poco más segura.