Cada vez son más los dispositivos móviles, como smartphones o tablets, que están presentes en las empresas, convirtiéndose en aliados imprescindibles en nuestro día a día. Se utilizan para numerosas tareas, desde presentación de proyectos, a reuniones a través de aplicaciones como Zoom, Skype o Meet, o atención al cliente vía WhatsApp. Si bien muchas compañías, forzadas en ocasiones por la irrupción de la pandemia, han acelerado sus procesos de digitalización e ido adaptándose a estas nuevas tecnologías, el aumento de dispositivos utilizados en el negocio no siempre va en paralelo a un mayor cuidado con la seguridad online. ¿Estamos realmente concienciados de los riesgos que existen si no se implementan medidas de seguridad adecuadas? ¿Hasta qué punto dedicamos la suficiente atención?
Cuando se habla de ciberseguridad, automáticamente se suele hacer pensando en ordenadores o instalaciones de empresas, sin embargo, no es un problema exclusivo de estos, sino que móviles, tablets y otros dispositivos que utilizamos para trabajar con conexión a internet también son susceptibles de ser ciber atacados, lo que implica que necesiten la misma o incluso mayor protección que aplicaríamos a un equipo de sobremesa.
El aumento de usuarios con smartphones y tablets, unido a la expansión del teletrabajo y una baja o nula percepción de los problemas de seguridad implícitos a estos dispositivos, hace que sean un blanco “fácil” para los cibercriminales.
Según el Statista (2021), el número de usuarios de teléfonos inteligentes a nivel mundial llegará este año a los 6.000 millones y se prevé que siga creciendo de forma paulatina. Igualmente el uso de estos va en aumento, y por tanto una mayor exposición ante ciber ataques, pues cada vez son más las empresas que permiten a los usuarios acceder a las redes corporativas con tecnología personal.
Los riesgos del uso de estos dispositivos móviles, y más en redes de conexión poco seguras, son múltiples, entre ellos mayores incidentes de seguridad, con el consiguiente robo de claves, contraseñas o documentos que pueden afectar a datos personales, o la infección de nuestro dispositivo por softwares maliciosos y, con ellos, el acceso a la empresa.
Investigadores de la Universidad de Cambridge estimaron que el 87 % de los smartphones Android están expuestos al menos a una “vulnerabilidad crítica”, además de afirmar que el 95 % de los dispositivos Android se podrían piratear con un simple mensaje de texto. Apple tampoco se escapa, en 2020, la App Store oficial, eliminó 40 aplicaciones porque estaban infectadas con un tipo de software malicioso diseñado para activar los dispositivos de Apple en un botnet a gran escala. La palabra botnet es la combinación de los términos «robot» y «network» en inglés. Los cibercriminales utilizaron virus troyanos especiales para crear una brecha en la seguridad de los dispositivos de varios usuarios, tomando así el control de cada uno y organizando todos los equipos infectados en una red de «bots» que el cibercriminal podía gestionar de forma remota.
Otro factor recurrente para los hackers es el uso del correo electrónico, combinado con diferentes técnicas de ingeniería social en sus comunicaciones. Según el INCIBE, la ingeniería social basa su comportamiento en una premisa básica: es más fácil manejar a las personas que a las máquinas. Para llevar a cabo este tipo de ataque se utilizan técnicas de manipulación psicológica con el objetivo de conseguir que los usuarios revelen información confidencial o realicen cualquier tipo de acción que pueda beneficiar al ciberdelincuente.
Un ataque recurrente estos últimos años ha sido el conocido como fraude de WhatsApp. A principios de este mes volvieron a saltar las alarmas, aunque ya por febrero del año pasado la Guardia Civil alertaba sobre ella. En este caso, los estafadores intentan acceder a las cuentas de WhatsApp a través de un SMS a nuestro número de móvil, ese mensaje contiene seis dígitos que son lo que permitirán el hackeo. Una vez han enviado el SMS, recibiremos a través de la aplicación de WhatsApp, un mensaje indicando que por error nos han enviado un SMS con un código de 6 dígitos y que por favor se lo facilitemos.
Esto es lo que dará acceso a los estafadores a todo nuestro contenido de WhatsApp. La mejor respuesta ante este tipo de fraudes es ignorar el mensaje e inmediatamente bloquear ese contacto tanto en el móvil como en la propia aplicación, ya que podrían secuestrar nuestra cuenta y suplantar nuestra identidad, ya sea para enviar enlaces a páginas fraudulentas, hacer phishing, sorteos fraudulentos, robo de datos bancarios, etc.
Otros malwares móvil cada vez más comunes son los relacionados con apps de banca, ya que cada vez son más los usuarios, tanto profesionales como particulares que gestionan sus finanzas desde sus dispositivos móviles. Este es el caso de Cerberus, un sofisticado troyano bancario con funcionalidad de acceso remoto al dispositivo donde se instala, que además de la sustracción de datos bancarios, permite el robo de patrones de desbloqueo del teléfono, la superposición de pantallas (por ejemplo, para suplantar las de petición de claves), y la captura de los códigos de Google Authenticator. Todo ello de forma invisible para el usuario.
Dada la complejidad de estos softwares, no existe una solución única de protección. Las acciones principales que deberían llevar aquellos usuarios pasan por aplicar una serie de buenas prácticas de prevención, como descargar las aplicaciones sólo desde la tienda oficial, usar siempre la autenticación en 2 pasos para acceder a servicios online, mantener actualizado el sistema Android y todas las aplicaciones, utilizar alguna herramienta antivirus fiable, desactivar el Wifi y el bluetooth en espacios públicos, etc. Para la empresa, la mejor manera de protegerse contra estos ataques de ingeniería social es formar y concienciar a los empleados. Un sistema con las medidas de seguridad y tecnologías más modernas no servirá de nada si por medio de un simple correo electrónico el ciberdelincuente consigue información confidencial muy valiosa para la empresa.
