¿Cuánto riesgo se corre si nos roban el celular? La principal preocupación es la tenencia de aplicaciones bancarias.
Dependerá de las habilidades del cibercriminal y de las herramientas que tenga a su disposición. Lamentablemente, en ocasiones los delincuentes logran su cometido. En las redes sociales abundan testimonios de personas que aseguran haber sufrido el desfalco de sus cuentas bancarias después de que les robaran el teléfono.
Los expertos en ciberseguridad coinciden en que, si bien una persona no tiene la culpa de que le roben, muchas veces la poca protección de los celulares facilita el trabajo del delincuente.
LEA MÁS: Un año del hackeo a Hacienda: crónica del ataque que sometió a Costa Rica
Pantalla de desbloqueo, una puerta que no es infranqueable
El sentido común nos indica que lo primero que todos deberíamos hacer al adquirir un celular es activar el bloqueo de pantalla. No hacerlo sería como dejar la puerta de nuestra vivienda abierta las 24 horas del día.
El Face ID y Touch ID son métodos más seguros que el patrón alfanumérico.
Sin embargo, esta capa de seguridad no es invulnerable. Una persona con los conocimientos necesarios podría sortearla. Tampoco se necesita una maestría en programación para lograrlo, incluso en YouTube hay videos que explican cómo hacerlo.
LEA MÁS: ¿Qué puede hacer si ‘hackearon’ su empresa?
“La contraseña que se establece en el teléfono móvil protege el acceso al dispositivo únicamente desde su pantalla, sin extender necesariamente esta protección a la conexión con otros dispositivos, como una PC”, señala Sergio Azahuanche, consultor de ciberseguridad senior de Marsh Advisory, a El Comercio.
“Un bloqueo como tal puede ser burlado mediante técnicas avanzadas que involucran la conexión del dispositivo a una computadora con un ‘crackeador’. Estos programas básicamente permiten saltar ese control”, agrega.
Azahuanche enfatiza que esto también depende del modelo de celular. Generalmente, este proceso se realiza en celulares Android y es menos probable que se lleve a cabo en un iPhone.
“Una vez superado el bloqueo de pantalla, y con la ayuda de ciertos programas, no solo es posible acceder al almacenamiento masivo, sino que también se puede acceder a la información de cada aplicación”.
Hay otras formas de ingresar al dispositivo. Mario Micucci, security researcher en ESET Latinoamérica, menciona que “existen técnicas de ataque conocidos como de fuerza bruta, en las cuales el atacante intenta ‘iniciar sesión’ en el celular”.
“Hablamos de contraseñas de cuatro caracteres, en general, o de ocho en los celulares más avanzados. Un ciberdelincuente podría intentar automáticamente iniciar sesión generando varias combinaciones posibles”.
Mecanismos de desbloqueo como el Touch ID (huella dactilar) o el Face ID (reconocimiento facial), además de ser más convenientes al no requerir memorizar ninguna combinación ni perder tiempo ingresando una clave, ofrecen una mayor protección.
Vulnerabilidades a la vista
Una vez que el delincuente accede al sistema del equipo, intentará rastrear como un sabueso cualquier material que le pueda ser útil, como una foto de la identificación de la víctima, una imagen de la tarjeta de débito o crédito, correos electrónicos o conversaciones en aplicaciones de mensajería donde se mencionen datos sensibles. Para esto, utiliza software que le ayuda a encontrar la información específica que busca.
Si el malhechor tiene más conocimientos, estará atento a las vulnerabilidades que puedan tener los sistemas del celular y las aplicaciones. ¿Qué es una vulnerabilidad? Es una fragilidad en un sistema informático, no necesariamente un error. Es una especie de punto débil que, si alguien lo identifica, podría aprovechar en su beneficio.
Según Azahuanche, algunas vulnerabilidades permiten que el cibercriminal acceda a información vital, como las credenciales de una aplicación. Estas vulnerabilidades pueden encontrarse en la propia aplicación o en el sistema operativo del dispositivo. No es necesario tener las credenciales bancarias; con el acceso al correo podría ser suficiente.
“Ciertas vulnerabilidades permiten acceder al contenido ‘secreto’, como las credenciales que están en el aplicativo. Cuando uno ingresa al correo no tiene que estar iniciando sesión a cada momento, muchas veces la clave está en el código de la aplicación, y los ciberdelincuentes sí saben cómo obtenerla”.
“Ojo, esa es una mala de programación propia del aplicativo, que los desarrolladores van corrigiendo con las actualizaciones”, puntualiza el especialista de Marsh.
Como usuarios, no podemos evitar la existencia de vulnerabilidades, pero sí podemos reducir el riesgo de encontrarnos con ellas. El mejor consejo es mantener siempre nuestros celulares actualizados.
Los cibercriminales puden aprovechar vulnerabilidades en los sistemas y aplicaciones.
Tener un celular antiguo también podría ser problemático. Por lo general, las marcas brindan actualizaciones a sus teléfonos durante un tiempo determinado, después del cual dejan de ofrecer soporte. En el argot tecnológico, a los dispositivos sin soporte se les llama obsoletos. Aunque el dispositivo siga funcionando, ya no recibirá actualizaciones para su sistema ni sus aplicaciones; es decir, estará más expuesto a fallos y vulnerabilidades en su arquitectura, que los delincuentes podrían aprovechar.
En el caso de Apple, sus iPhones suelen recibir soporte durante unos seis años. Recientemente se informó que varios modelos de la marca dejarán de recibir soporte en 2023, lo que significa que solo los modelos superiores al iPhone X seguirán actualizándose. En los teléfonos Android, el tiempo varía según la marca, pero suele oscilar entre dos y cuatro años.
Teniendo en cuenta estos aspectos, optar por un modelo de celular con características menos avanzadas pero que siga recibiendo soporte resulta en una elección más segura en comparación con invertir en un dispositivo de mayor costo que ya no recibirá actualizaciones o que está a punto de volverse obsoleto.
Ingeniería social, un método antiguo pero muy usado
Hay que ser claro. No necesariamente el ciberdelincuente va a poder burlar la seguridad del celular, encontrar una vulnerabilidad, hallar las credenciales bancarias y robarnos. Es una posibilidad, cuya probabilidad puede variar en función de las buenas prácticas de seguridad que los usuarios mantengan en sus dispositivos.
De hecho, según Micucci, en estos casos “estadísticamente lo más habitual es la técnica de la ingeniería social”. Con la poca o mucha información que el delincuente obtenga, intentará contactar a la víctima para aprovechar su desesperación y tratar de engañarla.
Los ataques de phishing se usan desde hace años.
Según el sitio web de IBM, “la ingeniería social manipula a las personas para que compartan información que no deberían compartir, descarguen software que no deberían descargar, visiten sitios web que no deberían visitar, envíen dinero a delincuentes o cometan otros errores que comprometan sus activos o su seguridad personal o empresarial”.
El criminal podría utilizar tácticas como realizar llamadas telefónicas o enviar correos electrónicos fraudulentos, haciéndose pasar por la empresa fabricante del teléfono móvil que fue robado. A través de estas comunicaciones engañosas, podrían solicitar a la víctima que proporcione sus credenciales personales bajo el pretexto de acceder a la ubicación actual del dispositivo o bloquearlo de forma remota. Además, el delincuente también podría fingir ser una entidad confiable, como una institución financiera, con el propósito de obtener información confidencial y sensible de la persona afectada.
¿Qué medidas tomar para protegernos?
Hemos analizado diversas formas en que un ladrón podría burlar la seguridad de nuestro dispositivo móvil y acceder a su información después de robárnoslo. Teniendo en cuenta lo expuesto, existen medidas que podemos considerar para mejorar la seguridad de nuestro equipo. Lo mejor de todo es que son acciones sencillas de realizar y que podrían proteger nuestros activos financieros. Algunas de estas recomendaciones ya las hemos mencionado previamente. Los especialistas con los que hemos hablado para este artículo han proporcionado estas sugerencias:
- Es fundamental activar el bloqueo de pantalla. Las contraseñas numéricas y alfanuméricas pueden ser superadas con mayor facilidad. Es preferible utilizar otros métodos como el Touch ID o Face ID.
- Mantener actualizado el sistema operativo de nuestro celular y las aplicaciones instaladas es esencial, ya que esto ayuda a evitar vulnerabilidades.
- Agregar un factor de autenticación adicional a las aplicaciones aumenta la seguridad. Desde los ajustes del celular, podemos activar el Bloqueo de aplicaciones para que se nos solicite la huella digital cada vez que las abrimos. Esto es especialmente recomendable para aplicaciones bancarias, correo electrónico, aplicaciones de mensajería, redes sociales e incluso la galería, con el fin de bloquear el acceso a nuestra información para los intrusos.
- Encriptar el teléfono móvil protegerá la información almacenada. Si un ladrón intenta acceder a los datos desde una PC externa, no podrá hacerlo. La encriptación es una función que se puede activar desde los ajustes del sistema.
- Cambiar el PIN de la tarjeta SIM es otra medida adicional. Los ladrones de celulares no solo buscan los dispositivos, sino también las tarjetas SIM. Cuando alguien coloca nuestra tarjeta SIM en un nuevo teléfono, puede acceder a nuestra información personal, como correo o cuentas de aplicaciones bancarias. Para evitar esto, podemos establecer una clave PIN para la SIM. Esta configuración también la encontramos en los ajustes. Las operadoras móviles también ofrecen su propio PIN de seguridad.
- También es recomendable utilizar, en la medida de lo posible, un segundo factor de autenticación externo, como un correo electrónico que no esté vinculado al equipo.
- Mantener activas las notificaciones de nuestras aplicaciones bancarias nos permite conocer los movimientos que se realizan en nuestras cuentas.
- Utilizar una buena solución de seguridad –los famosos antivirus– nos ayudará a identificar correos o mensajes maliciosos que intentan obtener información sensible.
- Es importante también hacer copias de seguridad de los datos más importantes, como archivos, fotos y contactos. Muchos teléfonos ofrecen la opción de formateo remoto, lo que nos permite borrar toda la información y restaurar el dispositivo a su estado original. Si tenemos una copia de seguridad, podremos formatear el dispositivo sin preocuparnos por la pérdida de datos.
Estas recomendaciones dificultarán en gran medida el acceso de un delincuente a nuestra información.
Sergio Azahuanche recalca que, en caso de sufrir el robo de nuestro celular, la medida prioritaria es bloquear nuestras tarjetas bancarias y desafiliarnos de la banca móvil. Al hacerlo, cortamos todas las posibilidades de que el ladrón acceda a nuestras cuentas. Cuanto antes lo hagamos, mejor.
También es recomendable cambiar la contraseña del correo con el que iniciamos sesión en el teléfono robado.