Alertan de un fallo de seguridad en los teléfonos Android

La seguridad de Android, el sistema operativo más utilizado en los móviles europeos, y propiedad de Google, se ha visto comprometida en los últimos días. Así lo avisa la Oficina de Seguridad del Internauta (OSI), organismo dependiente del Ministerio de Asuntos Económicos y Transformación Digital.

La OSI hace referencia al último boletín publicado por Android, este mismo mes de agosto, en el que reconoce fallos de seguridad de «severidad crítica y alta» que afectan a este sistema operativo tan extendido en los smartphones de los consumidores. «Estas vulnerabilidades podrían permitir a un ciberdelincuente la escalada de privilegios y causar una denegación de servicio o la ejecución remota de código», explican desde la entidad.

El más grave de estos problemas es una vulnerabilidad de seguridad crítica «en el componente del sistema que podría conducir a la ejecución remota de código a través de Bluetooth sin necesidad de privilegios de ejecución adicionales». Por lo tanto, los usuarios que tengan móviles con las versiones de Android 10, 11, 12 y 12L están expuestos a que un ciberdelincuente pueda acceder al contenido de sus dispositivos para ejecutarlos de forma remota e incluso para causar una denegación de servicio, conocida como DoS, con el objetivo de impedir que el propietario del teléfono pueda acceder a su contenido.

La solución es actualizar el dispositivo. Desde el boletín de seguridad de agosto publicado por Android se ha habilitado un enlace desde el que es posibe verificar y actualizar la versión del móvil. Los expertos aconsejan siempre mantener actualizados los dispositivos electrónicos con la última versión para hacer más robusta su seguridad.

Estos son 10 consejos para protegernos del cibercrimen en general y reforzar nuestra ciberseguridad en cualquier dispositivo:

Helena Rifà advierte que, aunque se trata de un consejo habitual, la vulnerabilidad aumenta en la situación actual y se hace necesario minimiza riesgos. «Debemos contar con contraseñas seguras, no solo para acceder a nuestros correos o aplicaciones sensibles como las bancarias, sino también para cuando las claves se establecen por defecto, por ejemplo, en las conexiones wifi, passwords que debemos evitar mantener», precisa la directora del máster interuniversitario de Seguridad de las Tecnologías de la Información y las Comunicaciones de la UOC.

David Megías, director del IN3, insiste en que no es lo mismo utilizar las redes para un uso lúdico que manejar datos sensibles de una empresa desde casa. Megías recomienda consultar portales oficiales con información detallada en ciberseguridad, como la propia Oficina de Seguridad del Internauta (OSI). «Hace falta más formación práctica para los usuarios domésticos a fin de que puedan conocer qué opciones tienen para protegerse frente a los riesgos», indica el experto.

Por ejemplo, el 'phising' consiste en la suplantación de organismos o empresas para solicitar datos personales, de gran valor en el mercado negro. «El objetivo puede ser desde vender bases de datos con direcciones de correo electrónico hasta incluso conseguir datos bancarios, si son capaces de que los usuarios las revelen», apunta David Megías.

El 'ransomware o software de secuestro' incluye un enlace que, al clicarlo, inicia una descarga e inutiliza el dispositivo. Para recuperarlo exigen un rescate económico.

El email solo suele utilizarse para campañas de publicidad masiva, no para pedir información personal. «Las entidades nunca nos pedirán datos por medio de un mensaje electrónico con un sencillo responder aquí, ya que la información sensible no se envía nunca de esta forma», refuerza Helena Rifà.

Según David Megías, una de las mejores maneras de asegurarse de ello es revisar si los dominios de las direcciones de correo son los habituales, tales como .es en el caso de un organismo del Estado, en lugar de .com o .org. «Incluso hay direcciones maliciosas que tienen unos códigos numéricos largos en sus usuarios. A veces, si revisamos los nombres que acompañan a las direcciones sospechosas no nos parecen peligrosas hasta que comprobamos cómo es el email que nos contacta, con un formato alfanumérico muy extraño», precisa el investigador.

Los expertos aseguran que los filtros de los servidores que impiden la llegada de mensajes no deseados o maliciosos funcionan correctamente la mayoría de las veces. Pero pueden fallar y que permitan el acceso a la bandeja de entrada. Supone de nuevo una apuesta por la probabilidad de los delicuentes. «Debemos ser conscientes de que este tipo de ataques se organizan pensando en un elevado número de usuarios», apunta Megías.

Las aplicaciones de markets oficiales, como Google Play o Apple Store, ofrecen la garantía de haber sido revisadas y ser seguras, en principio. No ocurre lo mismo fuera de ellos. «A veces, la misma curiosidad con la que navegamos por internet nos hace encontrar contenidos o webs con datos interesantes, como sobre la evolución del coronavirus en tiempo real. Nos indican a continuación que existe una aplicación que podemos descargar para obtener más información, app que ingenuamente descargamos, instalamos y con la que damos permisos adicionales a acciones maliciosas que pueden afectar de manera grave nuestros dispositivos», ejemplifica Helena Rifà.

«Uno de los principales riesgos para las empresas son los datos que manejan los equipos. Durante estos días, los trabajadores acceden a informaciones sensibles de sus empresas desde casa con los ordenadores de sus domicilios, que en muchos casos no se ajustan a los estándares de ciberseguridad fijados por las organizaciones, como ocurre con los dispositivos que usan en sus oficinas», indica Megías.

Según ambos expertos, una precacución muy importante reside en no hacer copias si no es necesario de información de trabajadores, clientes o de la actividad profesional. Si se realizan guardarlas siempre de forma temporal y excepcional. También recomiendan evitar dispositivos que están fuera de la red de nuestra organización o empresa, ya que no disponen de las medidas de seguridad y los protocolos. Megiás y Rifà ponen como ejemplo sensible los datos personales y bancarios con los que trabajan los departamentos de recursos humanos de las empresas.

Detrás de bulos o noticias falsas propagadas por la red, se pueden ocultar acciones maliciosas, advierten ambos expertos. «Antes de difundir según qué contenidos sensibles debemos estar alerta, consultar fuentes fiables y no amplificar lo que no esté contrastado», opina David Megías. Para ambos investigadores, webs con nombres muy evidentes, con coronavirus en su URL, o campañas de apoyo colectivo pueden esconder el ciberdelito. La gran norma que hay que seguir siempre es «desconfiar de lo que no conocemos y de aquello de lo que no hemos podido comprobar la autenticidad», concluyen.

• Temas
• Ciberseguridad