Consejos prácticos para la ciberseguridad de tu teléfono celular

La virtualidad es la nueva realidad. Así como existen riesgos en el hogar –los mismos que se tratan de prevenir con servicios de cámara de vigilancia, compañías de seguridad y cercos eléctricos, entre otros ejemplos–, el mundo digital requiere también de sus protecciones. Hoy en día los peligros salieron de los computadores de escritorio o notebooks, y expandieron sus fronteras a los dispositivos móviles. En periodo de pandemia, ya para abril de 2020 se calculaba que el incremento de los ciberdelitos en un teléfono celular había sido de un 40% con respecto a 2019. Y para el total del año, se presume que número incrementó.

“A lo mejor, en el espectro tangible, tenemos mayor concepción de que nos puede pasar algo y es por eso que coloco rejas en mí ventana, doble llave a la puerta, vigilancia y pareciera ser que hay más claridad de esto, pero no de los peligro del mundo virtual”, dice el comisario Danic Maldonado, de la Brigada Investigadora del Cibercrimen Metropolitana de la Policía de Investigaciones (PDI). “Nuestro mundo digital es como un Castillo y no se puede pretender que, por tener una puerta de acero, alguien no intente entrar. Hay que poner murallas, alrededor hay que tener una fosa con cocodrilos y un tipo que tire flechas. La idea es protegerse y tener cómo combatirlo desde antes”, añade Hugo Galilea, socio director de la empresa de soluciones tecnológicas y de recuperación de datos Kepler.

Uno de los ataques más recurrentes, y que ha aumentado en este último año, dice Maldonado, es el phishing. Este consiste en enviar un documento, email o mensaje de texto haciéndose pasar por una empresa o un tercero, entre otros, con el fin que las personas caigan en su trampa y entreguen información privada correspondiente a contraseñas de redes sociales, o diversos códigos que pueden afectar la privacidad.

Conocidos son los casos en que, a través de un SMS, supuestas instituciones bancarias piden a los usuarios actualizar sus datos, advertían la posibilidad de bloqueo de sus cuentas, vencimiento en las tarjetas de coordenadas e iban acompañados por un link que los enviaba a un sitio externo, de características similares a las del banco, y les sustraían su información. “Normalmente estos mensajes actúan con estímulos que te obligan a actuar rápidamente, que representan un peligro o tienen un premio muy grande. ‘Hazlo hoy, porque solo así te podremos depositar’, por ejemplo”, añade Galilea, de Kepler.

“Lo que están haciendo es enviarte a una plataforma que, en este caso, simula ser de un banco o red social para robarte las credenciales. Es una especie de hackeo, pero no al sistema informático, sino a la persona”, dice el comisario de la PDI. Luego, añade el analista forense informático, se da otra situación cuando se desarrollan códigos maliciosos que son capaces de decodificar alguna actividad específica, como leer las cookies de navegación almacenadas y credenciales. “Hay muchas personas que, por un tema de comodidad, deciden ocupar el formulario de autoguardado, donde aseguran usuarios y contraseñas. Pero hay códigos maliciosos que tienen la capacidad de leer esto”, afirma.

Como las denuncias de ciberdelitos son estacionarias y dependen del periodo del año, hay épocas en que en la PDI, Carabineros y la Fiscalía registran más o menos casos afectados. Uno de los que ha ido al alza en los últimos meses es el del SIM Swapping, por el que los usuarios sufren la suplantación de sus teléfonos móviles. En este, una persona desconocida emite otro chip haciéndose pasar por alguien y luego que hayan obtenido los datos personales se contactan con uno. En una llamado o mensaje dicen que se les envió ‘por error’ un SMS y piden que se les reenvíe. “Básicamente, te pillan desprevenido y envías el número para que entren a tu WhatsApp y, por ejemplo, lo transfieran a otro equipo”, dice Maldonado, quien ha tomado al menos cuatro de estas denuncias en la última semana.

Un equipo puede ser intervenido por malware, un código malicioso, o incluso puede venir así desde fábrica. Así lo advierte Fernando Lagos, fundador de Nivel4 Cybersecurity, empresa dedicada a la ciberseguridad. En estos casos, lo que se pretende es espiar a los usuarios, mas no es una situación recurrente. En el caso de ser intervenido por un malware, donde se presume hay un fin económico detrás, un usuario puede notar que su equipo fue afectado si es que comienza a funcionar de manera extraña, hay aplicaciones que dejan de responder e incluso acusan inicio de sesión en otros dispositivos o llegan correos electrónicos alertando accesos en ubicaciones geográficas no correspondientes.

Algunos sitios o aplicaciones que tienen estos servicios, y que pueden funcionar a través de un código o aplicación de doble autenticación que se le entrega a los usuarios son Amazon, Gmail, Facebook, Twitter, Snapchat, entre otros. Si bien existen también alertas “físicas” en los teléfonos móviles, como el agotamiento de la batería, aumento de temperatura, entre otras, afirma que estas “no le sirven tanto al delincuente porque se acusa a sí mismo”.

Todos los equipos de teléfonos móviles, sean Android, iOS u otro, son vulnerables y existen diversos peligros. Algunos de ellos son las mismas aplicaciones. Lagos dice que hay que tener seguridad de descargar aplicativos directamente de las tiendas de los dispositivos, para que así estas sean verificadas. “Y aún así en Apple tienen más filtros, porque ellos son solo un desarrollador y, por ejemplo, de Android hay muchos y se les pasa más de algún error”, dice el especialista.

Esto es relevante, añade el comisario Maldonado, porque “cuando la gente no quiere comprar algo, descarga un archivo APK –un instalador de la aplicación para Android, saltándose el conducto de la Play Store– y quizás se logre descargar bien, pero este traiga solamente un fragmento que trate de robarte información y el delincuente logró su objetivo”. “Ha sido un boom el ataque a través de aplicaciones y hackeos. Ha crecido un 60% de un año a otro, porque estas son oportunidades nuevas y es importante que, si bajas juegos o Apps, les des exclusivamente los permisos que van a utilizar”, suma Hugo Galilea, de Kepler.

Galilea, también consejero de Alianza Chilena de Ciberseguridad, afirma que dentro de los mismos videojuegos descargados o en visitas a sitios web, pueden aparecer avisos con la intención de redireccionar a los usuarios a sitios externos o instaladores no confiables. “En todas esas páginas que ofrecen cosas que no debieran ser gratis y lo hacen, de alguna manera estás pagando por los servicios que estás tomando. Si alguien hostea películas en Internet y las estás viendo gratis, esa persona paga los servidores de alguna manera. Y una de las formas tradicionales es la de robarte a ti información o usarte como contacto para empresas que compran esas bases de dato”, advierte Galilea.

Como las ventanas emergentes no son siempre eficiente con los usuarios, porque fácilmente algunas pueden cerrarse, hay desarrolladores que insertan falsas opciones de cierre o dinámicas. Por ejemplo, hay sitios que dan la alternativa de cerrar un aviso o promoción, pero exigen cerrar la ventana en más de un intento.

Los especialistas concuerdan en que un teléfono de alta gama puede traer protección incluida y, en caso de no ser así, son capaces de soportar la instalación de una. “Si es de baja gama, puede entorpecer mucho el funcionamiento normal y por eso la mayoría no lo tiene. Más importante que tener un antivirus, es ser consciente de cuáles son las acciones que ponen en riesgo mi seguridad en Internet”, dice Galilea, quien afirma que, en caso de recibir documentos a través de correo electrónico o alguna aplicación de mensajería, primero el usuario debe comprobar su procedencia con una “segunda verificación”, como una llamada al remitente.

Lagos apoya la idea y dice que, en estos casos, “todo pasa por el usuario”, porque hay veces en que se instalan aplicativos de protección y hay quienes deciden de todas maneras conceder permisos adicionales a aplicaciones dudosas. “Si viene un desconocido y lo dejas entrar, es lo mismo a no tener nada”, dice el fundador de Nivel4.

Por lo general, las mismas empresas que desarrollan antivirus para los computadores portátiles y de escritorio tienen su versión para dispositivos móviles. En el caso de Android, la revista PCMag, una de las más importantes en el área, recomendaron para este 2021 Bitdefender Total Security, Kaspersky Security Cloud, Norton 360 Deluxe, McAfee AntiVirus Plus, Avast Security, entre otros. Según el medio británico de tecnología TechRadar, los nombres para dispositivos iOS se repiten, pero se suman Avira Mobile Security, Lookout, TrendMicro, F-Secure Safe, entre otros. “Empresas como esas son lo gigantes internacionales en el tema, pero no representan una seguridad en su totalidad. En informática siempre es así y nada estará suficientemente protegido. Lo único realmente seguro sería tener un teléfono aislado de toda red y que no te conectes nunca, pero eso es poco realista”, explica Danic Maldonado, Comisario de la Brigada de Cibercrimen Metropolitana.

La mejor recomendación es tener instalado algún sistema de protección, para así prevenir acciones maliciosas. La Ley N°19.223, que castiga los delitos informáticos y que tipifica las acciones que constituyen estos actos, se refiere, básicamente, al acceso indebido. En la ley no se especifica la forma de acceso a la información, pero si un tercero entra a cuentas ajenas y visualiza datos privados, ya se constituye un delito. Lo mismo sucede si cambia una contraseña de Facebook, correo electrónico, entre otras, y también es denunciable, pero por sabotaje informático. Los intentos de ingreso por un externo no están tipificados y solo se considera si es que han podido acceder a datos que no les pertenecen.