"Técnicas cada vez más sofisticadas", informa el propio Banco de España ante los constantes fraudes derivados de mensajes que seguramente hayas recibido durante el último año. Se está recurriendo incluso a falsas huellas dactilares impresas en silicona.
Por suerte, la mayoría de los móviles de la compañía ya cuentan con un antivirus preinstalado. Es importante dar uso efectivo al mismo, mantener las aplicaciones actualizadas y no dejarse engañar: la mejor manera de combatir estas técnicas de fraude comienza por entenderlas. Estas son las once técnicas más comunes que utilizan los ciberdelincuentes para robar los datos de tu Xiaomi, Redmi o POCO.
SIM swapping
Cada vez es más común utilizar nuestro smartphone como vínculo para la verificación de dos pasos. Es cómodo y rápido, ya que un simple código generado al momento protege a la vez que resulta sencillo de entender.
Pero este modelo no es infalible ante la duplicación de la tarjeta SIM, que no busca sino apoderarse de la línea del usuario original para ir solicitando datos, cambiando contraseñas y controlando todos los servicios asociados a dicho terminal.
Con una SIM clonada otro usuario puede recibir dichos mensajes de verificación y aprovecharse para secuestrar la cuenta de WhatsApp o, por ejemplo, validar uno de esos préstamos preconcedidos o dejar a cero la tarjeta de crédito en cuestión de horas.
Smishing
Este ataque no es sino una de las muchas estrategias de ingeniería social que existen. La palabra deriva de una contracción entre SMS y fishing. Los viejos mensajes de texto están más vivos que nunca, pero por las razones equivocadas.
Si los primeros pirateos en hardware y software no eran sino exploits de ingeniería inversa para conocer cómo funcionaba algo y alterarlo, la ingeniería social busca alimentarse del miedo de las personas, acoso, desconcierto o simple duda para sacarle beneficio.
La fórmula es cada vez más compleja: los atacantes suplantan la identidad de personas de autoridad, empresas u organizaciones, aportan algún dato verídico junto a alguno falso y redirigen a portales fraudulentos o simplemente recaban datos para explotarlos.
SMS Spoofing
Otra forma de spam e ingeniería social aún más compleja, ya que se utilizan modelos de comunicación sobre el cual se cambian algunos datos. Una alerta de mensaje puede parecer venir de SHEIN, Uber o TikTok y ser una herramienta de scammer.
Los mensajes fraudulentos que imitan ser empresas de logística, indicando un número de parcela o de pedido que no ha podido ser entregado serían un buen ejemplo: "Nuevo mensaje de voz", "Tu código de verificación es [enlace]", "Este es tu pick para recoger el pedido".
El último modelo de mensajes imitan estar remitidos por Caixabank, Banco Santander o BBVA e informan de que nuestra cuenta ha sido cerrada o bloqueada debido a actualizaciones de seguridad. Curiosa ironía, ya que es fácil caer en la trampa en un simple hilo de mensajes y acabar revelando nuestros verdaderos datos para que la cuenta sea vulnerada.
Muchos de estos mensajes se cuelan como oficiales, ya que previamente conocen la entidad financiera con la que trabajas. La URL y extensión del enlace al que te dirigen o las posibles faltas de ortografía son indicadores clave para detectar estas estafas.
Vishing
El vishing no es sino otro modelo de ingeniería social mediante llamadas telefónicas. Menos usado —al ser mas invasivo— pero no por ello menos efectivo, los ciberdelincuentes comienzan informándote de un bloqueo de cuenta, de la necesidad de comprobar algún dato "por seguridad" o técnicas similares que desembocan en una sustracción de tus verdaderos datos.
Phishing
El phising es la definición general de toda ingeniería social que consiste en la suplantación de identidad, ya sea de un usuario para con un banco o de un banco para el usuario.
Por supuesto, el phishing de los últimos años es más complejo y puede simplemente intentar recabar datos para una intrusión futura o lograr de manera efectiva dirigirnos a algún servidor que descargue de manera automática un archivo adjunto infectado con software malicioso y, por tanto, dejar nuestro smartphone Xiaomi completamente vulnerado.
Minado de criptodivisas
Utilizar la potencia de cálculo de tu Xiaomi, Redmi o POCO para minar alguna criptomoneda está mal. Pero que aplicaciones como Crackonosh y BluStealer instalen un keylogger para robarnos datos de nuestros inicios de sesión en servicios para después vendérselos a terceros está peor.
¿Por qué? El primer ataque solo ralentiza el rendimiento del terminal, el segundo termina convirtiendo el smartphone en un bot desde el cual el ciberdelincuente accede a cualquier servicio y lo secuestra, desde la cuenta de Netflix hasta la bancaria. Si comienzas a recibir más spam de la cuenta es posible que alguien haya filtrado tus datos.
Adware y fleeceware
El adware viene a ser la versión general de lo anterior: si las aplicaciones falsas son peligrosas pero relativamente fáciles de detectar con una mínima experiencia, el adware es más complicado, ya que puede incluso alojarse sobre aplicaciones legales, conocidas o incluso sobre algunas en uso, previamente instaladas.
Por otro lado, muchas de las aplicaciones gratuitas que encontramos en portales no son sino fleeceware, es decir, herramientas para recopilar toda la información posible y después exigir algún tipo de suscripción, de cuota mensual o anual. Otros incluso cuentan con una cuota fija desde el momento que descargas el archivo de instalación.
No es necesario que se trate de grandes cantidades, pero cuando intentes desinstalarla te pedirá que para hacerlo pagues. Y es en el momento de pagar en el cual se hacen con el control de nuestros datos bancarios, al llevarse a cabo mediante una pasarela de pago no cifrada.
Sextorsión (y otras formas de extorsión digital)
Hace algunos años se hizo famoso Varenyky, un virus que se colaba desde un mensaje de SPAM, secuestraba parte de la información del móvil, tomaba capturas del contenido que veías e incluso podía grabarte a través de una simple concesión de permisos en una app.
Este spambot utilizaba para ello el software libre FFmpeg y la consecuencia llegaba luego, cuando comenzabas a recibir mensajes de chantaje indicando que las búsquedas más privadas y espinosas serían difundidas en público, a menos que pagaras. Esta es una forma, como tantas otras, de sextorsión y extorsión digital.
Malware y virus
Software espía (spyware), troyanos bancarios, descargadores de malware o clásicos virus que solo buscan corromper datos —es decir, hacer daño, sin necesidad de un lucro indirecto—, etcétera: existe todo un ecosistema de herramientas para perjudicar a tu móvil.
El malware no juega a las adivinanzas, sino que ataca por fuerza bruta, de manera más o menos sofisticada, instalando pequeños exploits o simplemente infectando aplicaciones previamente instaladas cuyos agujeros de seguridad serán aprovechados.
Ransomware
Esta forma de vulneración, una vieja conocido que se hizo inmensamente popular debido al WannaCry —un programa que atacó de manera global a miles de equipos, de forma simultánea— está más viva que nunca en pleno 2022.
Si bien no se trata exactamente de un virus informático, estos criptogusanos infectan y secuestran equipos mediante encriptación numérica. Después, mediante un switch, el secuestrador puede liberar tu móvil, o usarlo como nodo para bloquear otros.
¿El resultado? Si quieres volver a usar tu Xiaomi y, más importante, proteger y no ver revelados los datos privados de su interior, debes acometer un rescate económico. Los ciberdelincuentes suelen exigir estos pagos en criptomonedas: existen cientos de criptodivisas a las que es prácticamente imposible seguirles el rastro, incluso crear carteras ad hoc, así que la fórmula sigue funcionando.