Por Eduardo Riveros, analista del CSIRT de Gobierno
Hace más de una década, era normal recomendar a las personas verificar la autenticidad de un sitio web revisando la existencia de un candado en la barra de direcciones del navegador. Si bien el candado solo confirma el establecimiento de una conexión segura, se creía que esto permitiría descartar un gran número de sitios falsos que no implementaban esta tecnología por el costo económico que significaba hacerlo. Sin embargo, la aparición posterior de proveedores de certificados TLS gratuitos como Let’s Encrypt y la mejora de herramientas usadas para el despliegue de sitios web han hecho que, hoy en día, la comunicación cifrada HTTPS sea la norma tanto en sitios legítimos como fraudulentos. Esto muestra que no es buena estrategia realizar recomendaciones de seguridad a nivel usuario sobre características temporales del comportamiento de actores maliciosos, dado lo difícil que es difundirlas y corregirlas.
Algo parecido ocurre con la recomendación de realizar compras o descargar aplicaciones solo desde fuentes oficiales. En el caso de tiendas en sitios web, no siempre es claro cuál es el dominio oficial usado por el negocio, problema del que los estafadores cibernéticos se aprovechan creando dominios muy parecidos a los que uno esperaría que fueran los oficiales, para luego difundirlos en redes sociales tanto orgánicamente como a través de publicidad pagada. Por otro lado, el caso de tiendas de aplicaciones y extensiones como Google Play, Apple App Store y Chrome Web Extensions es similar al de la publicidad de recursos fraudulentos. Según Kaspersky, durante el 2023 se realizaron 600 millones de descargas de software móvil dañino y se crearon decenas de extensiones maliciosas para jugar juegos gratis o usar ChatGPT que robaban datos de usuarios. Esto ocurre a pesar de que las empresas que administran estos portales suelen definir pagos y verificaciones para minimizar su proliferación y cuentan con sistemas de escaneo de aplicaciones maliciosas, ya que no es difícil para un atacante con los conocimientos suficientes el saltarse esas restricciones y subir su contenido, aunque sea temporalmente. Una forma de hacerlo es comprando o robando credenciales ya validadas a usuarios que no las usan, con las que posteriormente pueden crear nuevas aplicaciones fraudulentas o modificar maliciosamente las aplicaciones ya existentes.
Tanto administradores de sistemas como proveedores de servicios de tiendas y publicidad están al debe en capacidad de responder a las estafas a través de Internet. Es necesaria una mayor coordinación entre Agentes Registradores de dominios, proveedores de hosting, plataformas de redes sociales y administradores de plataformas de aplicaciones y publicidad para dar de baja cuanto antes recursos fraudulentos reportados por autoridades y usuarios. Asimismo, se necesitan más y mejores controles en tiendas de aplicaciones y extensiones para evitar la publicación de aplicaciones maliciosas o modificación de aplicaciones legítimas, limitando también a nivel de sistema operativo la información entregada por defecto por los dispositivos a los programas instalados en ellos.
En paralelo, aconsejamos a los usuarios instalar solo las aplicaciones estrictamente necesarias, bloquear anuncios para evitar publicidad fraudulenta, borrar periódicamente aplicaciones y extensiones no utilizadas, desconfiar de cualquier tipo de aplicación o servicio que permita acceder gratis a contenido pagado y mantenerse alerta a comportamientos extraños de sus dispositivos, como un mayor consumo de memoria y batería o la ejecución e instalación de apps sin autorización. Solo así evitarán exponerse a estafas y al robo de su información personal.