A veces me pregunto cuánto riesgo corro si me roban el celular. La pérdida material no me afectaría mucho; con casi tres años de vida, mi equipo ya cumplió su misión. Sin embargo, es el contenido que está adentro del dispositivo lo que me preocupa. Tengo varias aplicaciones que están vinculadas, de alguna u otra manera, a mis cuentas bancarias.
Mi inquietud no es para menos. Para nadie es un misterio que uno de los males más grandes que afecta a nuestro país es la delincuencia. Según datos de Osiptel, en Perú se reportan en promedio 4.737 teléfonos al día como robados. Estos teléfonos son vendidos en el mercado negro; pero antes de que eso suceda, los delincuentes pueden intentar acceder al sistema y a las cuentas bancarias de las víctimas.
MIRA: Ciberseguridad: tres estafas impulsadas por inteligencia artificial a tener en cuenta
No siempre lo logran. Dependerá de las habilidades del cibercriminal y de las herramientas que tenga a su disposición. Lamentablemente, en ocasiones los malhechores logran su cometido. En las redes sociales abundan testimonios de personas que aseguran haber sufrido el desfalco de sus cuentas bancarias después de que les robaran el equipo.
Cualquiera podría estar expuesto, incluso no solo por un robo; en algún descuido podríamos perder el teléfono móvil. Por lo tanto, resulta crucial conocer el modo en que opera un delincuente y las medidas que debemos adoptar para resguardarnos de manera óptima.
Los expertos en ciberseguridad coinciden en que, si bien una persona no tiene la culpa de que le roben, muchas veces la poca protección de los celulares facilita el trabajo del delincuente.
Querámoslo reconocer o no, hoy en día, la mayoría de nosotros dependemos de estos dispositivos para mucho más que hacer llamadas. Llegamos a almacenar información muy valiosa, tanto personal como laboral. Es nuestra responsabilidad saber a qué estamos expuestos si nuestra información cae en manos de inescrupulosos.
Pantalla de desbloqueo, una puerta que no es infranqueable
El sentido común nos indica que lo primero que todos deberíamos hacer al adquirir un celular es activar el bloqueo de pantalla. No hacerlo sería como dejar la puerta de nuestra vivienda abierta las 24 horas del día.
Sin embargo, esta capa de seguridad no es invulnerable. Una persona con los conocimientos necesarios podría sortearla. Tampoco se necesita una maestría en programación para lograrlo, incluso en YouTube hay videos que explican cómo hacerlo.
MIRA: Ataques DDoS: ¿qué son y por qué financiarlos podría costar hasta cientos o miles de dólares por día?
“La contraseña que se establece en el teléfono móvil protege el acceso al dispositivo únicamente desde su pantalla, sin extender necesariamente esta protección a la conexión con otros dispositivos, como una PC”, señala Sergio Azahuanche, consultor de ciberseguridad senior de Marsh Advisory, a El Comercio.
“Un bloqueo como tal puede ser burlado mediante técnicas avanzadas que involucran la conexión del dispositivo a una computadora con un ‘crackeador’. Estos programas básicamente permiten saltar ese control”, agrega.
Azahuanche enfatiza que esto también depende del modelo de celular. Generalmente, este proceso se realiza en celulares Android y es menos probable que se lleve a cabo en un iPhone.
“Una vez superado el bloqueo de pantalla, y con la ayuda de ciertos programas, no solo es posible acceder al almacenamiento masivo, sino que también se puede acceder a la información de cada aplicación”.
Hay otras formas de ingresar al dispositivo. Mario Micucci, security researcher en ESET Latinoamérica, menciona que “existen técnicas de ataque conocidos como de fuerza bruta, en las cuales el atacante intenta ‘iniciar sesión’ en el celular”.
“Hablamos de contraseñas de cuatro caracteres, en general, o de ocho en los celulares más avanzados. Un ciberdelincuente podría intentar automáticamente iniciar sesión generando varias combinaciones posibles”.
Mecanismos de desbloqueo como el Touch ID (huella dactilar) o el Face ID (reconocimiento facial), además de ser más convenientes al no requerir memorizar ninguna combinación ni perder tiempo ingresando una clave, ofrecen una mayor protección.
Vulnerabilidades a la vista
Una vez que el delincuente accede al sistema del equipo, intentará rastrear como un sabueso cualquier material que le pueda ser útil, como una foto del DNI de la víctima, una imagen de la tarjeta de débito o crédito, correos electrónicos o conversaciones en aplicaciones de mensajería donde se mencionen datos sensibles. Para esto, utiliza software que le ayuda a encontrar la información específica que busca.
Si el malhechor tiene más conocimientos, estará atento a las vulnerabilidades que puedan tener los sistemas del celular y las aplicaciones. ¿Qué es una vulnerabilidad? Es una fragilidad en un sistema informático, no necesariamente un error. Es una especie de punto débil que, si alguien lo identifica, podría aprovechar en su beneficio.
MIRA: Más de 7 mil peruanos no saben que tienen más líneas móviles a su nombre
Según Azahuanche, algunas vulnerabilidades permiten que el cibercriminal acceda a información vital, como las credenciales de una aplicación. Estas vulnerabilidades pueden encontrarse en la propia aplicación o en el sistema operativo del dispositivo. No es necesario tener las credenciales bancarias; con el acceso al correo podría ser suficiente.
“Ciertas vulnerabilidades permiten acceder al contenido ‘secreto’, como las credenciales que están en el aplicativo. Cuando uno ingresa al correo no tiene que estar iniciando sesión a cada momento, muchas veces la clave está en el código de la aplicación, y los ciberdelincuentes sí saben cómo obtenerla”.
“Ojo, esa es una mala de programación propia del aplicativo, que los desarrolladores van corrigiendo con las actualizaciones”, puntualiza el especialista de Marsh.
Como usuarios, no podemos evitar la existencia de vulnerabilidades, pero sí podemos reducir el riesgo de encontrarnos con ellas. El mejor consejo es mantener siempre nuestros celulares actualizados.
A menudo escuchamos o leemos noticias sobre actualizaciones de Android, WhatsApp, Facebook u otros softwares. Estas actualizaciones no solo cambian el diseño y mejoran la funcionalidad, sino que también modifican la arquitectura corrigiendo errores y vulnerabilidades de las aplicaciones.
“Muchas veces, por pereza o desconocimiento, los usuarios no actualizan el sistema operativo, y esto es crucial. Hay sistemas operativos que quedan obsoletos y susceptibles a vulnerabilidades que los atacantes pueden aprovechar para explotar y acceder al teléfono y sus aplicaciones”, dice Micucci de Eset.
Tener un celular antiguo también podría ser problemático. Por lo general, las marcas brindan actualizaciones a sus teléfonos durante un tiempo determinado, después del cual dejan de ofrecer soporte. En el argot tecnológico, a los dispositivos sin soporte se les llama obsoletos. Aunque el dispositivo siga funcionando, ya no recibirá actualizaciones para su sistema ni sus aplicaciones; es decir, estará más expuesto a fallos y vulnerabilidades en su arquitectura, que los delincuentes podrían aprovechar.
En el caso de Apple, sus iPhones suelen recibir soporte durante unos seis años. Recientemente se informó que varios modelos de la marca dejarán de recibir soporte en 2023, lo que significa que solo los modelos superiores al iPhone X seguirán actualizándose. En los teléfonos Android, el tiempo varía según la marca, pero suele oscilar entre dos y cuatro años.
MIRA: Mis contraseñas y datos personales fueron filtrados en internet: ¿qué debo hacer?
Teniendo en cuenta estos aspectos, optar por un modelo de celular con características menos avanzadas pero que siga recibiendo soporte resulta en una elección más segura en comparación con invertir en un dispositivo de mayor costo que ya no recibirá actualizaciones o que está a punto de volverse obsoleto.
Ingeniería social, un método antiguo pero muy usado
Hay que ser claro. No necesariamente el ciberdelincuente va a poder burlar la seguridad del celular, encontrar una vulnerabilidad, hallar las credenciales bancarias y robarnos. Es una posibilidad, cuya probabilidad puede variar en función de las buenas prácticas de seguridad que los usuarios mantengan en sus dispositivos.
De hecho, según Micucci, en estos casos “estadísticamente lo más habitual es la técnica de la ingeniería social”. Con la poca o mucha información que el delincuente obtenga, intentará contactar a la víctima para aprovechar su desesperación y tratar de engañarla.
Según el sitio web de IBM, “la ingeniería social manipula a las personas para que compartan información que no deberían compartir, descarguen software que no deberían descargar, visiten sitios web que no deberían visitar, envíen dinero a delincuentes o cometan otros errores que comprometan sus activos o su seguridad personal o empresarial”.
El criminal podría utilizar tácticas como realizar llamadas telefónicas o enviar correos electrónicos fraudulentos, haciéndose pasar por la empresa fabricante del teléfono móvil que fue robado. A través de estas comunicaciones engañosas, podrían solicitar a la víctima que proporcione sus credenciales personales bajo el pretexto de acceder a la ubicación actual del dispositivo o bloquearlo de forma remota. Además, el delincuente también podría fingir ser una entidad confiable, como una institución financiera, con el propósito de obtener información confidencial y sensible de la persona afectada.
¿Qué medidas tomar para protegernos?
Hemos analizado diversas formas en que un ladrón podría burlar la seguridad de nuestro dispositivo móvil y acceder a su información después de robárnoslo. Teniendo en cuenta lo expuesto, existen medidas que podemos considerar para mejorar la seguridad de nuestro equipo. Lo mejor de todo es que son acciones sencillas de realizar y que podrían proteger nuestros activos financieros. Algunas de estas recomendaciones ya las hemos mencionado previamente. Los especialistas con los que hemos hablado para este artículo han proporcionado estas sugerencias:
MIRA: Ciberseguridad: Perú es uno de los países más afectados por el phishing en el último año
• Es fundamental activar el bloqueo de pantalla. Las contraseñas numéricas y alfanuméricas pueden ser superadas con mayor facilidad. Es preferible utilizar otros métodos como el Touch ID o Face ID.
• Mantener actualizado el sistema operativo de nuestro celular y las aplicaciones instaladas es esencial, ya que esto ayuda a evitar vulnerabilidades.
• Por lo general, las empresas dejan de brindar soporte a sus dispositivos después de dos a cuatro años en el caso de Android, y seis años en el caso de los iPhone. No recibir soporte significa que los sistemas quedan más expuestos a fallos y vulnerabilidades, que los delincuentes podrían aprovechar.
• Agregar un factor de autenticación adicional a las aplicaciones aumenta la seguridad. Desde los ajustes del celular, podemos activar el Bloqueo de aplicaciones para que se nos solicite la huella digital cada vez que las abrimos. Esto es especialmente recomendable para aplicaciones bancarias, correo electrónico, aplicaciones de mensajería, redes sociales e incluso la galería, con el fin de bloquear el acceso a nuestra información para los intrusos.
• Encriptar el teléfono móvil protegerá la información almacenada. Si un ladrón intenta acceder a los datos desde una PC externa, no podrá hacerlo. La encriptación es una función que se puede activar desde los ajustes del sistema.
• Cambiar el PIN de la tarjeta SIM es otra medida adicional. Los ladrones de celulares no solo buscan los dispositivos, sino también las tarjetas SIM. Cuando alguien coloca nuestra tarjeta SIM en un nuevo teléfono, puede acceder a nuestra información personal, como correo o cuentas de aplicaciones bancarias. Para evitar esto, podemos establecer una clave PIN para la SIM. Esta configuración también la encontramos en los ajustes. Las operadoras móviles también ofrecen su propio PIN de seguridad.
• También es recomendable utilizar, en la medida de lo posible, un segundo factor de autenticación externo, como un correo electrónico que no esté vinculado al equipo.
• Mantener activas las notificaciones de nuestras aplicaciones bancarias nos permite conocer los movimientos que se realizan en nuestras cuentas.
• Utilizar una buena solución de seguridad –los famosos antivirus– nos ayudará a identificar correos o mensajes maliciosos que intentan obtener información sensible.
• Es importante también hacer copias de seguridad de los datos más importantes, como archivos, fotos y contactos. Muchos teléfonos ofrecen la opción de formateo remoto, lo que nos permite borrar toda la información y restaurar el dispositivo a su estado original. Si tenemos una copia de seguridad, podremos formatear el dispositivo sin preocuparnos por la pérdida de datos.
Estas recomendaciones dificultarán en gran medida el acceso de un delincuente a nuestra información.
Sergio Azahuanche recalca que, en caso de sufrir el robo de nuestro celular, la medida prioritaria es bloquear nuestras tarjetas bancarias y desafiliarnos de la banca móvil. Al hacerlo, cortamos todas las posibilidades de que el ladrón acceda a nuestras cuentas. Cuanto antes lo hagamos, mejor. Para bloquear una tarjeta, generalmente basta con llamar al banco y seleccionar la opción de Bloqueo. Incluso un tercero puede hacerlo simplemente con nuestro número de DNI.
Después de esto, podemos contactar a nuestra operadora telefónica para bloquear el chip y el equipo. También es recomendable cambiar la contraseña del correo con el que iniciamos sesión en el teléfono robado. Finalmente, debemos presentar una denuncia ante las autoridades.