Comparte:
Ciberseguridad
30 de agosto de 2012

Apple, Smishing y Seguridad

Apple, Smishing y Seguridad

Apple, Smishing y Seguridad

Escrito por , 30/08/2012
Leía una noticia esta semana que hacía referencia al descubrimiento de un fallo importante en Apple iOS detectado por un investigador y programador de jailbreaks (proceso de eliminación de limitaciones impuestas por Apple en el Sistema Operativo iOS). El fallo en cuestión tiene que ver con la gestión de SMS que realiza el iOS, concretamente se ha descubierto que es posible modificar el teléfono de destino al contestar a un SMS de forma totalmente transparente para el usuario. De esta manera podríamos estar enviando datos personales a un destino no adecuado en el que podrían ser utilizados de forma fraudulenta.
La respuesta de Apple, mientras corrigen la vulnerabilidad, es que se utilice su plataforma iMessage, que permite el envío de mensajes entre dispositivos de la marca. No obstante esta respuesta ha quedado corta para los millones de usuarios de la marca de la manzana, puesto que no es posible enviar mensajes desde dicha plataforma a dispositivos de otras marcas. Así se antoja necesario utilizar plataformas como joyn o whatsapp.
En mi opinión este caso destapa dos “falsas creencias” que merece la pena analizar brevemente:

“No hay virus/vulnerabilidades para iOS”

Esta absurda creencia está basada en que históricamente no ha habido tantos ataques contra plataformas iOS como contra Windows. No obstante hace ya años que esta tendencia ha cambiado de forma directamente proporcional a la base instalada de dispositivos Apple, que ya está por encima de los 400 millones, suponiendo un objetivo muy atractivo para “los malos”. Así hemos tenido el reciente caso de Flashback, un troyano que ha infectado a más de 500.000 usuarios de MACs y ha permitido sustraer contraseñas, datos personales, etc. a muchos usuarios que no tenían instalado Antivirus (lo curioso del troyano es que comprobaba  la existencia de antivirus y, en caso de tenerlo, no se instalaba). Poniendo de manifiesto la necesidad de protección y obligando a Apple a cambiar su política de comunicación respecto a la seguridad.

Artículo relacionado: Se acerca el invierno… 3 claves en el reinado de iPhone y iPad

“Los SMS son seguros”

Si el Phishing es una técnica de estafa basada en el uso del correo electrónico, la variante del Smishing utiliza la misma ingeniería social pero basada en el SMS.  El envío de SMS, por definición de la arquitectura que lo soporta, es complejo de “falsear” y resulta costoso para realizar envíos masivos. Sin embargo son ya bastantes los casos detectados de Smishing a nivel mundial en los últimos 6 años.
Y es que a pesar de lo costoso de esta técnica (comparada con el phishing tradicional) tiene una ventaja para los que intentan hacer uso fraudulento de él: los usuarios (al menos en España) otorgan al SMS un nivel de confianza muy elevado, a diferencia del email donde estamos “escarmentados” y no es tan sencillo que piquemos.
Así, con una buena ingeniería social basada en datos reales (por ejemplo datos obtenidos por un troyano de tu equipo tales como: la URL del banco que visitas, tu nº de teléfono, nombre, DNI,… – presentes en muchos formularios web -) no es complicado recibir un sms del estilo: “Estimado Diego Rodríguez (DNI XXXXXX). Desde www.TuBancoXX.com queremos agradecer tu fidelidad y hacerte entrega del Kit de Sartenes Cocínalotodo. Para ello entra en www.cocinalotodo.com. TuBancoGuay” e, incauto de mi si accediera, podría estar descargando un troyano o, peor aún, rellenando algún formulario con datos personales para su uso fraudulento.
En definitiva, son tiempos en los que la picaresca ha pasado de la calle (“El timo de la estampita”, “El Tocomocho”,…) a la red y debemos estar preparados sea cual sea el canal y la plataforma que utilicemos para comunicarnos.
Imagen: Flickr de jm3

Sobre el autor

Diego Rodríguez Herrero

Diego Rodríguez Herrero

Ingeniero Informático por la UAM y MBA por el Instituto de Empresa; soy un apasionado de la tecnología... pero no en su vertiente friki (pocos me habrán visto "compilar un Linux" o "trastear con la velocidad del procesador"). Lo que realmente me apasiona es el análisis y divulgación de la forma en la que las nuevas tecnologías pueden ayudar a los negocios (sea cual sea el tamaño o el sector) a hacer precisamente eso: NEGOCIO.
Ver todos sus artículos »