Vulnerabilidades en Android puerta abierta para SMiShing

El uso cada vez más masivo de los dispositivos móviles ha llevado a que los esfuerzos de los ciberdelincuentes estén cada vez más enfocados en vulnerar su seguridad para obtener información personal valiosa de los usuarios. En un informe del departamento de computación del NC State University, se ha puesto al descubierto una vulnerabilidad presente en varias de las versiones de los sistemas operativos de android, incluyendo Gingerbread, Ice Cream Sandwich y Jelly Bean. La vulnerabilidad que ya fue reportada a Google, consiste en que el dispositivo móvil puede recibir un supuesto mensaje de texto utilizando únicamente un comando propio del sistema operativo y lo más grave es que para aplicar esta acción no se requiere un permiso especial.

Esta vulnerabilidad abre la posibilidad para que se puedan efectuar ataques del tipo SMiShing, los cuales consisten en el envío de falsos mensajes de texto que aparentan ser de entidades confiables con el fin de obtener información personal o financiera de los usuarios.  Como describen el modo de ejecución de la vulnerabilidad, una aplicación que el usuario instale en su dispositivo móvil puede simular la recepción de un SMS, sin necesidad que el dispositivo tenga una tarjeta SIM que lo conecte a la red de telefonía celular. Cuando el usuario lee el mensaje SMS se le informa sobre una supuesta suscripción o algún tipo de notificación para lo cual se solicita que confirme el mensaje para poder validarla.

Vale la pena resaltar que según el informe mencionado, desde Google dicen que van a corregir la vulnerabilidad para la próxima actualización de su sistema operativo para dispositivos móviles. Es importante que el usuario tenga en cuenta algunos aspectos para mantener la seguridad de su información:

  • No ingresar a ninguna dirección web que llegue a través de SMS, ni marcar algún número telefónico sin saber sobre el grado de confianza de dicho número. Este mismo consejo se puede seguir para los correos electrónicos.
  • No proporcionar datos sobre tarjetas de crédito y similares a través de SMS aún cuando el llamado o el SMS parezca provenir desde una entidad confiable y conocida, es mejor confirmar directamente con la entidad.
  • Debido a que este tipo de vulnerabilidades pueden ser aprovechadas por códigos maliciosos es recomendable que el usuario cuente con una solución de seguridad proactiva como ESET Mobile Security que gracias a su Heurística Avanzada brinda protección contra códigos maliciosos conocidos y desconocidos.

Además es importante recordar que el equipo de Awareness & Research de ESET Latinoamérica publicó hace poco la guía de Seguridad en dispositivos móviles donde se presentan las características de los principales sistemas operativos para dispositivos móviles y algunas recomendaciones más que un usuario debería seguir para tener la mayor seguridad en sus dispositivos móviles.

H. Camilo Gutiérrez Amaya
Especialista de Awareness & Research

Autor , ESET

Síguenos