En los últimos meses, los ataques de phishing se han generalizado. Normalmente se asocian a técnicas sofisticadas que afectan a empresas y particulares, las cuales comienzan con el envío de un correo electrónico y un enlace malicioso. Pero las reglas del juego han cambiado y ahora, el 82% de todos los sitios de phishing tienen como objetivo dispositivos móviles.
Tomando como referencia el ‘Informe sobre amenazas móviles globales zLabs 2024’, elaborado por Zimperium, se puede ver cómo el 76% de los sitios de phishing usan HTTPS, lo que sirve para engañar a los usuarios y que éstos consideren que están en un espacio 100% seguro. Que 8 de cada 10 ataques de phishing vayan dirigidos a móviles, demuestra la tendencia y vulnerabilidad de dichos dispositivos.
Además, es tal el nivel de sofisticación de los ciberdelincuentes, que sus técnicas se han ido perfeccionando. Se adentran en los sistemas empresariales y se aprovechan de terminales móviles débiles, aprovechando pantallas más pequeñas e indicadores de seguridad limitados para conseguir que los usuarios lleguen a revelar información confidencial. Estamos en una era de interconectividad global, en la que los empleados usan smartphones para realizar tareas laborales en el 71% de los casos.
Solo las muestras de malware única aumentaron en un 13% interanual. Además, el 80% de las amenazas se debieron al software de riesgo y a los troyanos. El sector sanitario sigue siendo el más afectado, pues el 39% de las amenazas móviles se originaron a partir de ataques de phishing.
Una evolución innegable
No hay que olvidar, según recoge el propio informe, que casi una cuarta parte de los sitios de phishing para dispositivos móviles se activan en menos de 24 horas. De este modo, podrán funcionar sin que los métodos de detección tradicionales fuesen capaces de detectarlos.
Todo ello implica un riesgo adicional para las empresas. Y es que el 68% de las amenazas suelen estar vinculadas a aplicaciones instaladas fuera de las tiendas oficiales. Aquellos usuarios que no utilizan las tiendas oficiales, poseen un 200% más de probabilidades de dar con un malware. De hecho, el 43% de los dispositivos Android de Asia-Pacífico (APAC) no recurren a fuentes oficiales.
Dentro del phishing a dispositivos móviles, triunfa especialmente el smishing. Una técnica cualificada que busca robarle las credenciales de acceso, sus cuentas bancarias o tarjetas de crédito o débito a la víctima. Todo pasa por clicar en un enlace que nos llega a través de un mensaje de texto.
Más peligroso será el spear-phishing. Son ataques de phishing basados en correos electrónicos o SMS personalizados, con frases como: ‘estimado usuario’.
El informe: al detalle
El aumento de las vulnerabilidades de las plataformas complica los aspectos de seguridad. Solo en 2023, se identificaron 1.421 vulnerabilidades y exposiciones comunes (CVE) en Android, lo que se traduce en un incremento del 58% con respecto al año anterior.
En total, los dispositivos iOS mostraron 269 CVE, siendo de ellos explotados activamente unos 20. El problema radica en que, gran parte de los trabajadores, mezclan su teléfono profesional en su vida personal, algo que los ciberdelincuentes aprovechan para llegar a todo tipo de usuarios y de datos sensibles.
Los móviles son el principal objetivo del phishing debido a que son empleados por personas de todas las edades. De este modo, existe una mayor probabilidad de éxito para que cualquier persona pueda caer en la trampa. Además, muchos usuarios tienden a pensar que las amenazas llegan más por ordenador que por móvil, descuidándolos y propiciando un aumento de vulnerabilidades. Solo en Android, se han incrementado en un 58% con respecto a 2023.
¿Cómo protegerse?
Cada vez es más difícil detectar y protegerse de los ataques de mishing y malware en el dispositivo móvil. Todo pasa por detectarlos a tiempo. De ahí que fuese necesario implementar equipos de seguridad eficientes, con medidas proactivas para evitar la explotación de datos confidenciales que pudiesen dañar a las operaciones organizacionales.
Para protegerse del phishing en dispositivos móviles no hay nada mejor que usar el sentido común. Habrá que evitar hacer clic en enlaces extraños que nos llegasen de manera inesperada. Tampoco habrá que iniciar sesión o poner los datos personales desde links en los que se no se confía plenamente. Siempre habrá que insertar la dirección oficial en el navegador o por aplicación. También se recomienda evitar correos de spam.
Mantener los dispositivos actualizados es esencial para que los atacantes no pudiesen aprovechar las vulnerabilidades existentes. De este modo, habrá que asegurarse de instalar todos los parches y no cometer el fallo básico de dejar cualquier programa obsoleto o sin actualizar en su última versión.
No hay nada mejor que instalar un antivirus eficiente. Si bien es cierto, puede que no proteja suficientemente ante un ataque de phishing, pero sí para detectar archivos maliciosos. En cualquier caso, habrá que recurrir a dispositivos de garantías.
