Desde hace unos días está circulando un vídeo por WhatsApp y otras redes sociales. Uno de tantos, claro. Pero este está causando especial desconcierto y temor. Se trata de un corte de un programa de televisión en el que sus contertulios transmiten a la audiencia que «la linterna o la calculadora del móvil permiten acceso a aplicaciones bancarias».
Dicho así, no dan ganas de volver a hacer una multiplicación con la calculadora del móvil, más bien de eliminarla. Y eso es lo que han pensado muchos de los usuarios que han recibido y visto ese vídeo, que por supuesto ha corrido como la pólvora.
Y el problema es mayor, porque no se trata solamente de dicho vídeo. En una búsqueda rápida en internet encontramos decenas, sino cientos, de artículos mencionando este asunto. Ninguno parece añadir más información a la que aporta el corte, simplemente se replica el mismo contenido.
Uno tras otro, los medios de comunicación se han ido haciendo eco del asunto basándose en un primer contenido bastante confuso.
¿Qué explica el vídeo sobre la linterna y la calculadora?
En primer lugar, se menciona un informe que la Guardia Civil ha enviado a «todas las comandancias». Ese aspecto hace la noticia aún más llamativa, y por supuesto, fiable.
«Cuando entran a la calculadora los estafadores nos hacen phishing y a partir de ahí se hacen con nuestros datos», explican. A continuación, añaden, «escanean» el dispositivo para acceder a datos bancarios.
Hasta aquí no sabemos cómo los ciberdelincuentes han podido acceder a nuestra calculadora, de qué calculadora se trata, o a quién afecta (¿estamos hablando de sistemas Android, iOS?). Esto no se aclara en ningún momento.
Un segundo paso por parte de los estafadores, continúa el vídeo, es «conseguir la tarjeta SIM», para hacer un SIM swapping, lo cual consiguen llamando a las operadoras haciéndose pasar por nosotros.
¿Qué tiene que ver la SIM con las aplicaciones de la linterna? No lo sabemos, porque no se explica dicha conexión. Solo nos dicen que es una “estafa nueva”.
A continuación, se genera una conversación entre los contertulios que ahonda en lo llamativo del caso porque estas apps (la calculadora y la linterna) “no están online”.
¿Qué hay de verdad en todo esto?
Vayamos por partes. Comencemos por el mencionado informe de la Guardia Civil. El último comunicado enviado por la Guardia Civil que encaja en la información que ofrece el vídeo es este: “Desarticulada una organización criminal internacional especializada en la comisión de estafas por el método de SIM swapping”, con fecha de 13 de mayo de 2020. La emisión del programa fue el 20 de mayo, por lo que las fechas encajarían.
En dicho comunicado se explica con detalle y rigor uno de los muchos casos relacionados con delitos digitales en los que han trabajado. En concreto, la institución alerta de que “agentes de la Guardia Civil en colaboración con agentes de la Policía Nacional, han desarticulado una organización criminal internacional especializada en la comisión de estafas por el método de SIM swapping”. Explican que hay doce detenidos, cinco de ellos en Benidorm, seis en Granada y uno en Valladolid como “presuntos autores de más de 100 estafas en las que habrían obtenido más de 3.000.000 de euros de beneficio ilícito”. Dicha investigación se inició hace aproximadamente un año y ha contado con la colaboración de analistas de Europol y de la Policía Nacional de Italia.
El método utilizado para la estafa constaba de varias fases.
Los delincuentes robaban las claves de acceso a la banca online mediante técnicas de “phishing”, “malware” o “pharming” (más abajo explicaremos en qué consisten estos términos).
Una vez tenían las contraseñas en su poder, los cibercriminales solicitaban un duplicado de las tarjetas SIM de las víctimas. ¿Cómo? mediante la técnica denominada SIM swapping, que podríamos traducir en español como “el trueque de la SIM”. Básicamente, usan el engaño para hacer un duplicado de nuestra SIM.
Este método está basado en lo que denominamos ingeniería social, que consiste en utilizar el engaño y la manipulación para conseguir que otros hagan lo que ellos quieren.
¿Para qué quieren las tarjetas SIM? Muy sencillo. La mayoría de los servicios bancarios usan el segundo factor de autenticación (envían un SMS) para validar operaciones financieras. Si tienen nuestra clave del banco y tienen nuestras SIM, tienen acceso total.
Lo bueno (o lo malo, según se mire) es que solo puede haber una SIM activa perteneciente a un número de teléfono al mismo tiempo, por lo que la SIM de la víctima deja de funcionar. Esto permite que las víctimas sepan al momento que algo está pasando y puedan actuar.
Y, ¿cómo consiguen hacer un duplicado de la SIM? mediante la ingeniería social mencionada. Los ciberdelincuentes recopilan información personal de las víctimas (número del DNI, dirección…) e incluso elaboran documentos falsificados. Estos datos los usan frente a las operadoras de telefonía para solicitar el duplicado de la SIM, suplantando la identidad de la víctima.
En definitiva, obtenidas las claves del banco y la SIM de la víctima, los ciberdelincuentes pueden hacer transferencias bancarias sin problema, o incluso solicitar créditos, como el caso de estos estafadores detenidos en la operación.
Las cantidades iban desde los 6.000 hasta los 137.000 euros en uno de los casos.
¿Y las aplicaciones, qué?
Si leemos ese comunicado de la Guardia Civil (suponiendo que es ese efectivamente en el que se han basado) no encontraremos ninguna mención a aplicaciones, y mucho menos a linternas o calculadoras. ¿De dónde viene esa asociación entonces?
Bien, aquí entran en juego las técnicas antes mencionadas: phishing, malware y pharming.
El phishing es de sobra conocido por todos los usuarios, porque lo recibimos a mansalva. Se trata de comunicaciones que suplantan la identidad de empresas o instituciones y que tratan de robar nuestros datos. Suelen llegar a través del correo electrónico, SMS o apps de mensajería.
El pharming, es también una suplantación, pero en esta técnica redirigen el nombre de dominio (DNS) de una entidad legítima a una página web falsa que en apariencia es idéntica.
El malware es software malicioso. Programas diseñados para hacer algún daño en el dispositivo en el que sean instalados y obtener algún tipo de beneficio a cambio (datos, dinero, control…).
Haciendo una conexión lógica, lo más plausible es que hayan hecho una asociación con las aplicaciones móviles que contienen malware. Vamos a ello.
Las tiendas de aplicaciones (Play Store y App Store) realizan comprobaciones exhaustivas para que todas las apps que se suban a los markets oficiales sean legítimas y hagan lo que dicen hacer.
Sin embargo, en ocasiones consiguen colarse en estas tiendas lo que se denominan aplicaciones maliciosas. Es decir, aplicaciones con malware. La mayoría se hacen pasar por herramientas, juegos o utilidades, como apps del tiempo, noticias, minijuegos, calculadoras o linternas.
Estas aplicaciones pueden ser programadas para hacer prácticamente lo que quiera su desarrollador: obtener información del dispositivo o incluso hacerse con su control, si el malware en cuestión se trata de un troyano.
Aquí entran en juego en gran medida los permisos de dichas aplicaciones. Al instalarse, la mayoría solicitan permiso a más funciones de las que deberían (a la agenda de contactos, cámara, localización…).
De hecho, es muy habitual que los especialistas en ciberseguridad, para concienciar sobre la importancia de revisar lo que nos descargamos en nuestros dispositivos móviles, pongan como ejemplo la famosa app de linterna que nos pide acceder a nuestros contactos. ¿Para qué lo va a necesitar?. Exacto.
Casualmente, un día antes del comunicado de la Guardia Civil, saltaba la noticia de que Google había eliminado de la Play Store 813 aplicaciones falsas que tenían como objetivo espiar y recoger datos de las víctimas.
En definitiva, para darse el caso que nos atañe tendríamos que: descargar de una tienda de aplicaciones una app maliciosa que sea capaz de robar nuestros datos (como por ejemplo la clave bancaria), o bien caer en una estafa de phishing en la ofrecemos nuestros datos personales a un ciberdelincuente. Posteriormente ese mismo atacante tendría que lograr un duplicado de nuestra SIM usando la información robada.
Vale, pero… ¿puedo usar mi calculadora y linterna, o no?
Las aplicaciones nativas de calculadora o linterna (que es una función más que una app) de los sistemas operativos del dispositivo móvil, ya sea iOS o Android, no son peligrosas. Por nativas entendemos las que están a tu disposición en el dispositivo la primera vez que lo enciendes.
Si bien es cierto que se han dado casos de aplicaciones preinstaladas en algunos dispositivos Android que se han detectado como potencialmente comprometidas (recogían datos o mostraban anuncios no deseados, por ejemplo), no es en ningún caso la tónica general, sino contadas excepciones que es necesario analizar.
Otra cosa son, como hemos explicado, las que nos podemos llegar a descargar de las tiendas de aplicaciones. No todas las apps relacionadas con estas funciones de linterna, calculadora u otras son maliciosas, lógicamente, pero tendremos que revisar el desarrollador y funcionalidades antes de descargarlas.
El peligro de crear confusión y la importancia de comunicar ciberseguridad con rigor
No hemos tenido acceso al comunicado concreto que menciona el vídeo, pero no dudamos de la comunicación de la Guardia Civil, que es siempre rigurosa. De hecho, una buena práctica es seguir las redes sociales tanto del Grupo de Delitos Telemáticos como de Policía, donde ofrecen cada día consejos para evitar caer en las trampas del cibercrimen y alertan de nuevas campañas.
Lo más probable es que haya sido una confusión de los informadores del vídeo, que no entendieron el comunicado y no supieron trasladarlo correctamente, generando confusión y alarma.
Este asunto, que no es ni el primero ni será el último, pone de nuevo sobre la mesa la importancia de comunicar correctamente estos casos. Se hubiese solucionado rápidamente con una llamada a uno de los expertos y especialistas en ciberseguridad, que son muchos y muy buenos. Amén de los organismos y cuerpos que no solo velan por la seguridad digital de ciudadanos, empresas e instituciones, sino que hacen una labor encomiable de comunicación, divulgación y concienciación.
Los medios de comunicación tenemos un papel muy importante, pero informar no es solo un derecho, también es una responsabilidad. Especialmente en un tema como el de la seguridad informática, que cobra más relevancia por segundos a la par que aumenta nuestra conectividad y el uso de la tecnología.
El peligro de difundir este tipo de contenido para conseguir arañar visitas sin contrastar la información es que se acaba confundiendo a los usuarios. Y en un ámbito ya de por sí tan complejo a los ojos de la ciudadanía como es la ciberseguridad, es especialmente sensible. Necesitamos acercar la ciberseguridad a los usuarios como lo que es: un aspecto más de sus vidas que deben incluir en su rutina como algo sencillo.
A veces hay que generar un poco de alarma para atraer la atención sobre estos asuntos, pero la tónica general no debería ser usar el miedo y el morbo.
Nuestra responsabilidad es informar con rigor, lo que incluye no solo contrastar los datos para ofrecer una información y comprensible, sino también elegir correctamente los términos que se usan.
Por ejemplo, el término hacker se sigue usando como sinónimo de ciberdelincuente en algunas informaciones, y ya es difícil alegar la excusa de que no hay información sobre este tema porque se viene repitiendo hasta la saciedad desde hace años que un hacker no es un ciberdelincuente. El motivo por el que se usa es otro bien distinto y tiene más relación con el número de visitas que se obtienen al usarlo.
Otra de las responsabilidades es explicar estos temas de una forma comprensible y cercana, en la medida de lo posible. Ese es uno de los fallos del vídeo y muchas de las noticias publicadas sobre el caso de la calculadora, que no tiene ni pies ni cabeza, por lo que el daño es aún mayor.
Los medios generalistas lógicamente no tienen por qué conocer estas técnicas ni saber explicarlas, pero para eso están los expertos en ciberseguridad e instituciones mencionadas, que no solo saben profundamente sobre estos temas, sino que además están deseando aportar su granito de arena para ayudar a concienciar en ciberseguridad.
Hay que subrayar que el de la ciberseguridad es un sector en el que hay una verdadera comunidad y disposición a colaborar y proteger. Y es que la seguridad digital, más allá de su evidente componente técnico, tiene un indiscutible factor y relevancia social.
