Curso sobre Seguridad Móvil

Riesgos y amenazas asociados al uso de equipos móviles

ESET Latinoamérica | info@eset-la.com | www.eset-la.com

Índice
Introducción .........................................................................................................................................................................................2
Códigos maliciosos para móviles ......................................................................................................................................................3
Troyanos SMS .......................................................................................................................................................................................3
Troyanos tipo bot .................................................................................................................................................................................4
Troyanos que roban información (Spyware) ........................................................................................................................................5
Aplicaciones Potencialmente Indeseables (PUA) .................................................................................................................................5
Síntomas de una infección en dispositivos móviles ..............................................................................................................................5
Phishing y fraudes electrónicos (scam).............................................................................................................................................6
Spam y mensajes no solicitados .......................................................................................................................................................8
Robo o extravío físico del equipo .....................................................................................................................................................8
Conexiones inalámbricas Wi-Fi y Bluetooth inseguras .....................................................................................................................8
Vulnerabilidades ...............................................................................................................................................................................8
Códigos QR maliciosos ......................................................................................................................................................................9
El usuario y su incidencia en ataques informáticos ..........................................................................................................................9
Bring Your Own Device (BYOD): El uso de los dispositivos personales en la empresa ......................................................................9
Conclusión ..........................................................................................................................................................................................10

Introducción
Curso sobre Seguridad Móvil – Riesgos y amenazas asociados al uso de equipos móviles 3

Partiendo por la premisa que el objetivo de todo ciberdelincuente es la obtención de rédito económico, resulta lógico
que los dispositivos móviles se hayan transformado en blanco de amenazas informáticas. En esta línea, ataques como
códigos maliciosos, códigos QR falsos, phishing, fraudes (scam), el robo o extravío del equipo, conexiones inalámbricas
inseguras, entre otros, hacen que sea necesario adoptar medidas de protección en dispositivos móviles, tanto desde
el aspecto tecnológico como de educación y concientización.

El presente módulo tiene como objetivo explicar el funcionamiento y alcance de las distintas amenazas informáticas
capaces de afectar a usuarios de dispositivos móviles. Es importante destacar que en algunos casos, estas pueden
funcionar independiente del SO del equipo, por lo tanto, comprender este fenómeno es importante para cualquier
usuario de plataformas móviles.

Códigos maliciosos para móviles

El primer tipo de amenaza informática para dispositivos móviles que se explicará en este módulo son los códigos
maliciosos. De forma similar al malware para computadores, los códigos maliciosos para teléfonos inteligentes y
tabletas son todas aquellas aplicaciones diseñadas para causarle algún perjuicio al usuario y el entorno informático.
Dependiendo de determinadas característica que exhibe un malware, se les suele clasificar en troyanos, es decir,
aplicaciones que ocultan su objetivo principal y que por lo general, son camufladas como juegos, programas para
acceder a servicios bancarios, y otro tipo de software. Dentro de dicha categoría se encuentran los troyanos SMS,
troyanos tipo bot y troyanos que roban información (Spyware). A continuación, se detalla en qué consiste cada tipo
de código malicioso:

Troyanos SMS
Son el tipo de troyano para dispositivos móviles más común en la actualidad. De acuerdo al informe “Tendencias 2013:
Vertiginoso crecimiento de malware para móviles”, los troyanos SMS corresponden al 40% de los códigos maliciosos
que son desarrollados para plataformas móviles. En términos sencillos, este tipo de amenaza busca suscribir a la
víctima a números de mensajería SMS Premium sin el consentimiento explícito del usuario. La siguiente infografía
muestra el funcionamiento de los troyanos SMS:

Infografía 1 Funcionamiento Troyanos SMS

Curso sobre Seguridad Móvil – Riesgos y amenazas asociados al uso de equipos móviles 4

Tal como puede apreciarse en la infografía, el primer paso para que un usuario inadvertido resulte infectado por un
troyano SMS es descargar la amenaza a través de un repositorio alternativo o, en algunos casos, incluso del legítimo.
Una vez que el código malicioso es instalado (1), procede a enviar un mensaje a un número SMS Premium (2). Tanto
el mensaje enviado como el que se recibe (3) una vez que se concreta la suscripción, son filtrados por el troyano para
evitar que la víctima se percate de la situación (4). Dependiendo del malware, los mensajes SMS Premium continúan
enviándose cada cierto período de tiempo, lo que provoca un gasto de saldo o cuenta en la línea telefónica de la
víctima (5). Finalmente el ciberdelincuente logra obtener rédito económico a través de todo este procedimiento (6).

Es importante destacar que existen muchos servicios SMS Premium que son legítimos y en los que se le envía un
mensaje de confirmación al usuario antes de finalizar la suscripción, sin embargo, los troyanos SMS interfieren con la
operación normal de este tipo de infraestructura para registrar a la víctima sin su consentimiento.

Troyano SMS Boxer afecta nueve países de América Latina

En la mayoría de los casos, los troyanos SMS suelen afectar una cantidad limitada de países debido a que los números
de mensajería SMS Premium suelen ser distintos de acuerdo a cada nación. Esto provoca, por ejemplo, que un troyano
SMS diseñado para afectar a usuarios de Chile no pueda funcionar adecuadamente en Argentina. No obstante, los
cibercriminales desarrollaron un malware capaz de afectar a 63 países de los cuales nueve son de América Latina.
Para lograr este objetivo, el troyano SMS Boxer detecta el país de la víctima utilizando los códigos numéricos de
identificación por país (MCC) y operador (MNC). Una vez que Boxer ha determinado la nación y la compañía prestadora
del servicio móvil de la víctima, procede a suscribirla a números SMS Premium. La siguiente tabla muestra la lista de
códigos MCC y números Premium de los países de Latinoamérica que afecta esta amenaza:

País N° SMS Premium Código MCC

Argentina 22588 722
Brasil 44844 724
Chile 3210 730
Perú 2447 716
Panamá 1255 714
Nicaragua 1255 710
Honduras 1255 708
Guatemala 1255 704
México 37777 334
Tabla 1 Países, números Premium y MCC que afecta Boxer

De acuerdo a la investigación realizada por ESET Latinoamérica, Boxer fue propagado de forma camuflada como juegos
de última generación (Sim City Deluxe Free, Need for Speed Shift, Assassin’s Creed y algunos accesorios para Angry
Birds) con el objetivo de llamar la atención al usuario y seducirlo para que instale la amenaza. Para profundizar sobre
esta investigación se recomienda consultar el documento “Troyano SMS Boxer”.

Troyanos tipo bot

Corresponden al 32% de las amenazas que se desarrollan para plataformas móviles. Son códigos maliciosos que buscan
comprometer un dispositivo móvil para convertirlo en zombie, de forma similar a los troyanos que lo hacen en las
computadoras. Estas amenazas facilitan que los cibercriminales puedan manipular de forma remota los equipos de las
víctimas para interceptar y enviar mensajes (SMS), obtener información sensible como códigos de identificación (MMC
y MNC), entre otros datos. En la actualidad, algunos códigos maliciosos para computadores como Zeus y SpyEye han
evolucionado para afectar a otros sistemas operativos como Android, BlackBerry, Symbian y Windows Mobile.
Asimismo, Carberp, que es un sofisticado troyano para Windows, también cuenta con una variante diseñada
específicamente para la plataforma de Google. Tanto Zitmo (Zeus-in-the-mobile), Spitmo (SpyEye-in-the-mobile) y
Citmo (Carberp-in-the-mobile) funcionan como un complemento para las variantes diseñadas para Windows. El
objetivo que persigue el ciberdelincuente en este caso es vulnerar los sistemas de doble autenticación que
Curso sobre Seguridad Móvil – Riesgos y amenazas asociados al uso de equipos móviles 5

implementan ciertas empresas y entidades financieras. De este modo, un atacante puede, por ejemplo, infectar el
computador de la víctima con Carberp y el teléfono inteligente con Citmo.
Posteriormente, el atacante podrá robar dinero de cuentas bancarias interceptando los mensajes SMS de validación
que algunos sistemas de doble autenticación envían y que contienen una clave numérica aleatoria que debe ser
ingresada antes de poder continuar. Dicho sistema de autenticación mitiga considerablemente el impacto de
amenazas que roban contraseñas, sin embargo, y pese a que este método de robo es más difícil de implementar por
parte del ciberdelincuente, algunos troyanos bot pueden vulnerar la doble autenticación. Para profundizar sobre los
sistemas de doble autenticación se recomienda la lectura del documento “¿El fin de las contraseñas? La autenticación
simple cada vez más amenazada”.

Troyanos que roban información (Spyware)

Los troyanos con capacidad de robar información corresponden al 28% restante de las amenazas que se desarrollan
para sistemas operativos móviles. A diferencia de los troyanos tipo bot, esta clase de malware no permite el control
remoto por parte del atacante, no obstante, roban información como fotografías, contactos, códigos de identificación
MMC y MNC, mensajes de texto SMS, entre otro tipo de información. Todos los datos robados suelen ser enviados a
un servidor remoto que el ciberdelincuente utiliza para perpetrar la operación. Por otro lado, la información robada
suele estar relacionada con el comportamiento de los usuarios, es decir, mientras las personas almacenen más
información sensible mayor será la probabilidad de que los ciberdelincuentes desarrollen amenazas diseñadas
específicamente para sustraerla. En esta línea, y de acuerdo a una encuesta realizada por ESET Latinoamérica, el 58%
de los usuarios latinoamericanos almacena contraseñas en su smartphone.

Aplicaciones Potencialmente Indeseables (PUA)

La sigla PUA es el acrónimo anglosajón de “Potentially Unwanted Application”, es decir, aplicaciones potencialmente
indeseables. De forma similar a las PUA para computadores, las variantes para plataformas móviles suelen formar
parte de otros programas legítimos y su instalación se explicita en el contrato de licencia que el usuario debe aceptar
para utilizar el software. Se han detectado aplicaciones con característica de PUA para sistemas operativos mobile
que, por ejemplo, muestran publicidad1 en la barra de notificaciones pese a que el programa se encuentre cerrado.
En la mayoría de los casos, basta remover el software del dispositivo para que el componente PUA sea eliminado del
sistema. La publicación “Aplicaciones Potencialmente Indeseables (PUA)” contiene más información sobre este tipo
de programas.
Por otro lado, las Aplicaciones Potencialmente Peligrosas, es decir, aquellas aplicaciones diseñadas para realizar
acciones que pueden poner en peligro el dispositivo del usuario (programas de acceso remoto, keyloggers, entre otros)
en determinadas circunstancias, también suelen ser clasificadas como PUA.

Síntomas de una infección en dispositivos móviles

Debido a que el objetivo principal de los ciberdelincuentes es la obtención de rédito económico, la mayoría de las
amenazas diseñadas para dispositivos móviles no presentan síntomas explícitos para evitar levantar la sospecha por
parte de la víctima. Pese a esto, existen algunos comportamientos que podrían indicar que un dispositivo está
infectado. A continuación, se muestra una tabla con los síntomas que pueden indicar la presencia de un código
malicioso para plataformas mobile:

Síntomas Posible causa

1 Un ejemplo de adware que presenta este comportamiento es Android/Waps.E.

Curso sobre Seguridad Móvil – Riesgos y amenazas asociados al uso de equipos móviles 6

1) Cargos extraños en la cuenta o gasto Troyanos SMS: gran cantidad de malware para
excesivo de saldo. Android está diseñado para suscribir a la víctima a
números de mensajería SMS Premium.

2) Comportamientos inesperados como la Malware: algunos códigos maliciosos solicitan

apertura y cierre de aplicaciones, envío de varios permisos para lograr obtener el control del
mensajes extraños y llamadas teléfono inteligente.
internacionales no realizadas.

3) Aparición de aplicaciones no instaladas Malware: códigos maliciosos como

por el usuario. Android/MMarketPay descargan e instalan
aplicaciones sin el consentimiento de la víctima.

4) Consumo excesivo de datos. Malware/otros: la mayoría del malware mobile se

comunica con servidores remotos para enviar
información del usuario. Un consumo
desmesurado de datos en redes 3G/4G podría
indicar la presencia de una infección.
Tabla 2 Posibles síntomas de infección en dispositivos móviles

Si el usuario observa uno o más síntomas de los mencionados anteriormente, es posible que el teléfono inteligente
esté infectado con algún código malicioso. En esta situación, lo recomendable es instalar una solución de seguridad
para móviles y realizar un análisis del dispositivo en busca de malware con el fin de poder desinfectarlo de cualquier
amenaza encontrada. Más información puede ser consultada en la publicación 4 posibles síntomas de una infección
en Android.

Phishing y fraudes electrónicos (scam)

El phishing es una amenaza informática a través de la cual los cibercriminales suplantan a una entidad de confianza,
como un banco u otra empresa, para robar información de la víctima. Por lo general, el phishing se suele propagar
mediante un correo electrónico en el que se le indica al destinatario que deberá entregar determinados datos; de lo
contrario, se amedrenta al usuario indicándole que su cuenta o servicio podría presentar problemas.
Si se considera que prácticamente todos los dispositivos móviles cuentan con un cliente para acceder a cuentas de
correo electrónico, y que también incluyen navegadores capaces de visualizar sitios estándar, este tipo de amenaza
informática puede afectar a un usuario inadvertido de tecnología mobile. Dicha posibilidad aumenta todavía más si se
considera que de acuerdo a un estudio realizado por Trusteer, los usuarios de teléfonos móviles son tres veces más
propensos a ser víctimas de ataques de phishing que los usuarios de escritorio. Esto según los resultados que arrojó
el análisis de varios registros (logs) de servidores web que albergan ataques de esta naturaleza.
Curso sobre Seguridad Móvil – Riesgos y amenazas asociados al uso de equipos móviles 7

La siguiente captura corresponde a un phishing “tradicional” que intenta vulnerar la doble autenticación y que se
visualiza correctamente en un teléfono inteligente:

Imagen 1 Phishing "tradicional" visualizado en teléfono inteligente

Como puede observarse, tanto el correo como el sitio fraudulento son correctamente visualizados en un teléfono
inteligente, por lo tanto, los phishing son amenazas capaces de afectar a los usuarios de tecnología móvil si no se
adoptan las medidas de seguridad adecuadas. Asimismo, también existen ataques de phishing que requieren
interacción telefónica para poder concretar el robo, es decir, utilizan el teléfono celular como una herramienta más
para poder llevar a cabo el robo de dinero.

Por su parte, los fraudes electrónicos o scam también son amenazas que suelen llegar a través de correo electrónico.
A diferencia del phishing, los scam utilizan premios falsos para seducir a la potencial víctima. En el texto es común
observar que los atacantes solicitan datos personales del usuario y una suma de dinero que debe depositarse antes
de poder cobrar el premio (dicha suma suele ser considerablemente más alta que el monto solicitado a pagar). Al
tratarse de amenazas que utilizan el correo electrónico y sitios web para operar, ambos ataques pueden afectar a
usuarios de dispositivos móviles de igual modo que a una persona que utiliza un computador de escritorio o notebook..

Smishing
También existen ataques de phishing diseñados y adaptados específicamente para usuarios de equipos móviles. Este
tipo de amenaza llega a través de mensajes de texto (SMS) y se le clasifica como Smishing (conjunción de SMS y
Phishing).

Vishing
Conjunción de Voice y Phishing. Son fraudes informáticos cometidos mediante la tecnología Voz sobre IP, es decir, a
través de un llamado telefónico. En estos casos, el cibercriminal solicita información sensible como el número de la
tarjeta de crédito de la víctima, a la que se le pide que lo ingrese a través del teclado del dispositivo móvil.

El documento “Vishing y SMiShing: Mutaciones fraudulentas” contiene más información sobre ambas modalidades de
ataques para usuarios mobile.
Curso sobre Seguridad Móvil – Riesgos y amenazas asociados al uso de equipos móviles 8

Spam y mensajes no solicitados

Se trata del correo electrónico no solicitado y que es enviado de forma masiva a varios destinatarios. Aunque no
necesariamente son maliciosos, los correos electrónicos basura pueden resultar molestos e interrumpen al usuario en
momentos inadecuados. Asimismo, en el caso de dispositivos móviles, el spam puede representar un inconveniente
mayor puesto que se consumen más datos y batería de forma innecesaria. Además, los mensajes de texto y multimedia
(SMS y MMS respectivamente) son canales de comunicación que posibilitan la recepción de contenido indeseado. En
otras ocasiones, los SMS han sido utilizados para propagar masivamente mensajes no solicitados que buscaban
suscribir al usuario a números de mensajería Premium.

Robo o extravío físico del equipo

Debido a que los dispositivos móviles acompañan al usuario prácticamente a cualquier lugar, la posibilidad de que se
pierdan o sean robados es bastante alta. De acuerdo a una encuesta realizada por ESET Latinoamérica, a más del 58%
de los usuarios de América Latina le han robado su teléfono móvil. Frente a este tipo de situaciones, la pérdida del
equipo no es el mayor inconveniente, la preocupación pasa por la información sensible almacenada en el aparato que
puede ser obtenida por terceros. Asimismo, en el caso de que el usuario no cuente con un respaldo de los datos,
recuperar esa información podría complicarse, más si son documentos de autoría propia.

Conexiones inalámbricas Wi-Fi y Bluetooth inseguras

Una de las particularidades de los dispositivos móviles es la capacidad de conexión a diferentes redes inalámbricas
para navegar por Internet o para compartir recursos como impresoras, archivos, etc. En esta línea, una de las
tecnologías más utilizadas por los usuarios son las conexiones inalámbricas Wi-Fi. Debido a su facilidad de uso e
implementación en varios lugares como hoteles, casas, oficinas, cafés, restaurantes, entre otros, es común que las
personas se conecten a este tipo de redes con el objetivo de consultar el correo electrónico, visitar sitios web y redes
sociales, realizar transferencias bancarias, etc. Aunque esto supone una comodidad, una conexión Wi-Fi insegura
puede poner en riesgo la integridad de la información del usuario. En este sentido, aquellas redes que no están
protegidas por una contraseña y que no implementan ningún tipo de cifrado son susceptibles a ataques como sniffing
o robo de paquetes, más si las redes son de acceso público. En dichos escenarios, un cibercriminal podría interceptar
el tráfico de red para robar información sensible como credenciales de acceso. Asimismo, un atacante puede montar
una red Wi-Fi fraudulenta que utilice el mismo nombre de punto de acceso (AP) que otra conexión con el objetivo de
realizar acciones maliciosas.

Con respecto a la tecnología Bluetooth, esta facilita la conexión a Internet utilizando otro dispositivo como también la
posibilidad de compartir archivos entre usuarios que se encuentran físicamente cercanos. Pese a que algunos
teléfonos vienen con esta función desactivada, mantener activado el Bluetooth no solo consume más batería, sino
también expone al usuario a riesgos de seguridad como la posibilidad de que un código malicioso utilice una conexión
de este tipo para propagarse de un equipo hacia otro. Además, desde que se implementó esta tecnología, se han
descubierto vulnerabilidades que atentan en contra de la seguridad del usuario 2.

Vulnerabilidades
Una vulnerabilidad es un agujero de seguridad a través de la cual un atacante puede comprometer un sistema.
Dependiendo de la gravedad de una vulnerabilidad, un ciberdelincuente puede ejecutar un código de forma arbitraria,
obtener más privilegios que los de un usuario estándar, provocar denegaciones de servicio, entre otras potenciales
acciones maliciosas.
Debido a que tanto las aplicaciones para dispositivos móviles como los SO son programas informáticos, ambos son
susceptibles a poseer vulnerabilidades. En este sentido, existen agujeros de seguridad que han afectado a una amplia
gama de teléfonos HTC, y otros modelos específicos como el Samsung Galaxy SII y SIII. En el primer caso, algunos

2 Más información disponible en Wikipedia – Seguridad del Bluetooth.

Curso sobre Seguridad Móvil – Riesgos y amenazas asociados al uso de equipos móviles 9

equipos de la marca taiwanesa tanto Android como Windows Phone, facilitan el robo de información como mensajes,
historial de navegación y transacciones variantes producto de diversas vulnerabilidades. En el caso de los equipos
Samsung antes mencionados, el agujero de seguridad permite que un tercero obtenga acceso a la memoria física y
pueda escalar privilegios. Por otro lado, el sistema operativo Android y aplicaciones móviles de Facebook, LinkedIn,
Dropbox, Instagram, entre otras, también han sido víctimas de vulnerabilidades que ponen en riesgo la seguridad del
usuario.

Códigos QR maliciosos
Los QR (Quick Response) son un tipo de código de barras en dos dimensiones que facilitan el acceso a sitios web y otro
tipo de información. Debido a su facilidad de uso y a la proliferación de diversos teléfonos inteligentes, muchas
empresas de marketing e incluso algunos supermercados, utilizan esta tecnología para que las personas puedan
acceder rápidamente a varios recursos como la compra de productos en línea. Con tan solo apuntar la cámara de un
dispositivo móvil se puede leer este tipo de código de barras, sin embargo, con la misma facilidad, un atacante puede
utilizar un código QR con propósitos maliciosos como dirigir al usuario hacia la descarga de malware o sitios de
phishing.

El usuario y su incidencia en ataques informáticos

Dentro de un sistema de protección informático los usuarios son considerados como el eslabón más débil al momento
de evitar que un cibercriminal pueda robar información sensible. De forma analógica a lo que sucede con una persona
que maneja un automóvil de forma irresponsable, e independiente de que el auto posea la última tecnología de punta
como frenos ABS, airbag, etc., lo más probable es que se tenga un accidente con consecuencias graves. Lo mismo
sucede con los sistemas informáticos, si el usuario no adopta un comportamiento adecuado, es altamente probable
que dicho equipo sea comprometido por un atacante.
Varias de las amenazas que se trataron durante este curso pueden ser mitigadas considerablemente si el usuario se
concientiza sobre la Seguridad de la Información. En esta línea, todas las acciones enmarcadas dentro de la educación
del usuario deberán contemplar el uso adecuado y seguro de dispositivos móviles tanto en ambientes hogareños como
corporativos.

Bring Your Own Device (BYOD): El uso de los dispositivos personales en la

empresa
El fenómeno BYOD (Bring Your Own Device o Tráiga su propio dispositivo) consiste en la utilización de dispositivos
como notebooks, teléfonos inteligentes y tabletas que son propiedad del usuario en ambientes corporativos. Pese
a que esta tendencia permite una mayor flexibilidad al facilitar que un empleado pueda trabajar desde cualquier lugar
y utilizando el equipo de su elección, también atenta en contra de la Seguridad de la Información en caso que no se
adopten los resguardos necesarios. A continuación, se muestra un esquema que contempla una postura segura frente
a BYOD:
Curso sobre Seguridad Móvil – Riesgos y amenazas asociados al uso de equipos móviles 10

Si se Si se
permite, prohíbe,
gestionarlo. controlarlo.
Adoptar
postura
frente al
BYOD

Esquema 1 Postura definida frente al BYOD

Desde ESET Latinoamérica se considera que cada empresa debe decidir de forma separada si implementar o prohibir
este fenómeno, no obstante, es recomendable que las compañías adopten una postura concreta frente a BYOD. De
no hacerlo, la organización o entidad se expone a amenazas que de otro modo podrían ser mitigadas. En este sentido,
si se adopta BYOD, la empresa deberá gestionar todos los aspectos relacionados al uso seguro de dispositivos móviles.
En caso contrario, es imprescindible que se controle la prohibición de BYOD dentro de un entorno corporativo. Para
profundizar sobre esta temática se recomienda la lectura del artículo "Retos de seguridad para las empresas a partir
de BYOD".

Conclusión
A lo largo de este módulo se explicaron las distintas amenazas informáticas capaces de afectar a usuarios y plataformas
móviles. Es importante destacar que de todos los ataques existentes, algunos como el phishing “tradicional” son
capaces de afectar de igual modo a un usuario de tecnología móvil. Asimismo, y pese a que la mayoría de los códigos
maliciosos para dispositivos mobile son creados específicamente para Android, todos los usuarios pueden poner en
riesgo su información de no adoptar las medidas de seguridad necesarias. Por consiguiente, el próximo módulo tiene
como objetivo detallar los aspectos necesarios para poder proteger correctamente un teléfono inteligente o tableta.