OpiniónSeguridad

El secuestro de dispositivos móviles: la gran amenaza

"Mario García, Director General de Check Point para Españá y Portugal, analiza por qué el ransomware móvil se ha convertido actualmente en la mayor amenaza para la seguridad móvil, y cómo los usuarios pueden protegerse de este tipo de malware".

Mario García, Director General de Check Point para España y Portugal
Mario García, Director General de Check Point para España y Portugal

La imitación es una de las formas más rápidas de aprendizaje. Este es el motivo por el que el malware móvil está evolucionando con tanta celeridad, ya que con frecuencia imita los ataques que ya se han testado en el mundo del PC y han demostrado su eficacia. El ransomware móvil está siguiendo esta línea y busca replicar el gran éxito que ha cosechado su variante para PCs extorsionando tanto a individuos como a organizaciones. Así que no es de extrañar que el número de variantes de ransomware móvil detectado en el primer trimestre de 2016 haya crecido un 45% con respecto al cuarto trimestre de 2015*.

Al igual que las familias que se dirigen a PC, el ransomware móvil se ha vuelto también cada vez más complejo y malicioso en su funcionamiento. Los primeros tipos de ransomware móvil eran ‘bloqueadores de pantalla’, que mostraban alertas enormes y que hacían imposible una interacción normal con el dispositivo, muy similar al ransomware que bloquea la pantalla del PC. Este tipo de ransomware móvil, que se vio por primera vez en 2013, se hacía pasar por un software antivirus e informaba a las víctimas de que su dispositivo estaba infectado y les exigía que compraran una versión completa del software para ‘desinfectar’ el dispositivo y retomar su uso normal.

En 2014 se detectó el primer ransomware móvil que cifraba los archivos, de nuevo tras el éxito probado del malware del tipo ‘cryptolocker’ de Windows. La variante más reciente de ransomware móvil es el Pin Locker, que surgió en el año 2015. Un ejemplo de este tipo es el malware llamado PornDroid, que se hace pasar por un jugador de pornografía, y engaña al usuario para obtener privilegios de administrador. Una vez que dispone de ellos, el malware cambia los códigos de seguridad de los usuarios, bloqueándoles el acceso a sus dispositivos y mostrando un mensaje de rescate. Desde Check Point hemos llevado a cabo una investigación detallada sobre cómo trabaja este tipo de ransomware, y hemos encontrado una variante que había infectado a decenas de miles de dispositivos, y cuyas víctimas habían llegado a pagar entre 200 y 500 dólares para desbloquear sus datos y recuperar el control de sus dispositivos.

Android, pero también iOS

El motivo principal por el que actualmente el ransomware móvil se dirige casi exclusivamente a los dispositivos Android, es principalmente porque los dispositivos iOS necesitan tener hecho ‘jailbreak’ con el fin de descargar aplicaciones de fuentes que no sean la App Store de Apple, haciendo que sea más difícil su infección. De hecho solo ha habido un caso en el que los usuarios extorsionados fueran de iOS: en 2015, los atacantes robaron credenciales para iniciar sesión en cuentas de usuarios de iCloud y de forma remota bloquearon los dispositivos y exigieron rescates para liberarlos. En relación a este tema, cabe destacar también que, en marzo de 2016, fue descubierta la primera ransomware orientada a ordenadores Mac de Apple, denominada KeRanger, por lo que cabe esperar que pronto veamos más variantes de ransomware dirigidas a dispositivos iOS.

Abuso de privilegios

En la actualidad, el ransomware móvil se centra en bloquear a los usuarios y no permitirles el acceso a su dispositivo, debido a que los sistemas operativos móviles impiden al malware el acceso a todas las áreas de memoria o almacenamiento. Sin embargo, el incremento del abuso de privilegios referenciados se ha convertido claramente en el siguiente paso en la evolución de ransomware, utilizando técnicas para obtener privilegios de acceso ‘root’, que dan el control completo del teléfono o tableta infectados. La mayoría de los métodos para ‘rootear’ el dispositivo se apoyan en la explotación de vulnerabilidades, ya sea del sistema operativo, del hardware o de aplicaciones individuales. Por desgracia, estas vulnerabilidades se han generalizado: en los últimos seis meses, más de la mitad de los parches de Android lanzados por Google son para asegurar los dispositivos frente al incremento del abuso de privilegios.

Cómo protegernos de estas amenazas

Cabe destacar cuatro consejos a tener en cuenta para protegernos de estos ataques:

- Evitar la obtención de privilegios: En primer lugar, el principio clave para garantizar la seguridad de dispositivos móviles es no ‘rootear’ en el caso de dispositivos Android y no realizar jailbreak, en el caso de iOS; en otras palabras, evitar obtener privilegios elevados deliberadamente que podrían dejar la puerta abierta a que los cibercriminales puedan infectar nuestro dispositivo con un ransomware.

- Instalar una solución robusta de seguridad: También sería conveniente que las empresas seleccionaran una solución de gestión de dispositivos móviles (MDM) - pero todos los MDM no son iguales. Algunos son capaces de saber cuándo un teléfono se ha ‘rooteado’ deliberadamente por un usuario o cuando ha sido ‘rooteado’ por malware, pero hay algunos malware más avanzados que pueden incluso camuflarse para no ser descubiertos.

- Inspeccionar antes de descargar: Un enfoque más eficaz es poner en cuarentena e inspeccionar las aplicaciones sospechosas o archivos adjuntos en la nube, antes de descargarlos al dispositivo. La solución de prevención de amenazas móvil debe utilizar un número de componentes que trabajen juntos para responder a las vías de ataque más comunes. Los dispositivos deben ser analizados continuamente para descubrir las vulnerabilidades del sistema y comportamientos sospechosos. Además, cualquier aplicación descargada debe ser inspeccionada por el sistema de firmas para el malware conocido y también debe ser analizado en detalle su comportamiento.

- Realizar copias de seguridad: Por otra parte, tampoco hay que olvidarse de los pasos más simples, tales como hacer copias de seguridad periódicamente de los datos del dispositivo de modo que si resulta infectado, podamos rescatar los archivos sin necesidad de pagar por ellos. En todo caso, si el móvil ha sido secuestrado, el consejo es evitar intentar descifrarlo por nuestra cuenta y llevarlo a un experto en seguridad.

En última instancia, cuando se trata de ransomware móvil, la realidad es que la prevención es, con mucho, la mejor protección.

Computing 816