ESET España ha identificado siete señales para detectar aplicaciones móviles falsas antes de instalarlas, en un contexto en el que los ciberdelincuentes diseñan 'apps' fraudulentas que imitan a plataformas legítimas con el objetivo de robar credenciales, datos bancarios y dinero. Josep Albors, director de investigación y concienciación de ESET en España, alerta de campañas "cada vez más elaboradas" en las que las aplicaciones fraudulentas "copian con detalle la apariencia de servicios legítimos para conseguir información sensible o infectar el dispositivo".
El 'smartphone' concentra hoy una cantidad creciente de información sensible: los usuarios lo emplean para consultar cuentas bancarias, comprar 'online', pedir comida o gestionar documentos. Esa dependencia lo convierte en objetivo prioritario para los actores maliciosos. ESET advierte de que los ciberdelincuentes se aprovechan de este uso intensivo para distribuir aplicaciones diseñadas como herramientas legítimas, capaces de robar datos y dinero sin que el usuario lo detecte.
Ni Google Play ni App Store garantizan seguridad total
Aunque las tiendas oficiales —Google Play Store y la App Store de Apple— cuentan con medidas de seguridad específicas, ESET advierte de que "ninguna plataforma está completamente libre de riesgos". A ello se suma que muchos ciberdelincuentes distribuyen sus 'apps' maliciosas mediante enlaces enviados por correo electrónico o mensajes, que redirigen a páginas de descarga fuera de las tiendas oficiales y sin ningún control de seguridad.
Siete indicadores que cualquier usuario puede revisar
ESET ha sistematizado siete señales de alerta. La primera es el número de descargas: si una aplicación supuestamente popular apenas cuenta con usuarios, "conviene desconfiar", porque las 'apps' fraudulentas suelen tener poca actividad o una presencia reciente en las tiendas. La segunda son las reseñas: los comentarios de otros usuarios pueden revelar fallos extraños, publicidad invasiva o problemas de seguridad; tampoco deben tomarse como garantía las valoraciones numerosas pero repetitivas o excesivamente genéricas.
El tercer indicador es el diseño: muchas 'apps' maliciosas copian logotipos, colores y elementos visuales de los servicios que imitan, pero presentan pequeños errores gráficos que las delatan. El cuarto es verificar que la aplicación realmente existe: no todos los servicios disponen de 'app' oficial, por lo que la compañía recomienda acudir a la web oficial de la empresa y comprobar los enlaces legítimos de descarga antes de instalar nada. El quinto es revisar el texto y la descripción: faltas de ortografía, traducciones deficientes o descripciones poco profesionales siguen siendo características frecuentes de las aplicaciones fraudulentas.
El sexto indicador es la identidad del desarrollador: los creadores legítimos suelen contar con otras aplicaciones publicadas o una trayectoria visible. "Si el creador de la 'app' es desconocido o no tiene historial, conviene extremar las precauciones", advierte Albors. El séptimo, y uno de los más reveladores, son los permisos solicitados: una aplicación de linterna no necesita acceder a los contactos, ni una calculadora debería pedir permiso para gestionar llamadas. "Cuando una aplicación pide acceso a funciones que no tienen relación con su propósito, puede existir un riesgo de seguridad", advierte la compañía.
Si ya la has instalado, actúa rápido
ESET también orienta sobre cómo actuar cuando el problema se detecta después de la instalación. Señales como un aumento repentino del consumo de batería o de datos móviles, publicidad constante, bloqueos frecuentes o la aparición de aplicaciones desconocidas pueden indicar que el dispositivo ha sido comprometido.
Josep Albors recomienda, en esos casos, comprobar si existen cargos económicos no autorizados, mensajes enviados sin conocimiento del usuario o comportamientos anómalos del teléfono. La acción inmediata es eliminar la aplicación sospechosa y analizar el dispositivo con soluciones de seguridad. ESET aconseja igualmente mantener actualizado el sistema operativo y activar la autenticación en dos pasos siempre que sea posible.
"En muchos casos, el éxito de estos ataques no depende de técnicas sofisticadas, sino de pequeños descuidos o de actuar con rapidez sin revisar ciertos detalles. Dedicar unos segundos a comprobar una aplicación antes de instalarla puede evitar consecuencias importantes", concluye Albors.
