Es increíble cómo el ingenio de muchos hackers puede llevarlos a idear nuevas maneras de engañar a los usuarios. Recientemente se ha descubierto que para los hackers es posible modificar los iconos de nuestro Android para dirigirnos a aplicaciones o sitios web que en realidad no son a los que queremos ir, consiguiendo así que introduzcamos nuestra contraseña, creyendo que es seguro, y facilitándosela a los hackers.
Esta técnica que los hackers podrían utilizar para engañar a los usuarios se denomina phising. Más allá de los medios técnicos que se necesiten para llevar a cabo una acción de phising, esta práctica consiste en engañar a una persona, haciéndola creer que está en un lugar en el que en realidad no está. Por ejemplo, podríamos copiar la página de una entidad bancaria a la perfección, haciendo creer a la persona que está en la página web de su banco. Esta introduce los datos de acceso como si fuera a acceder a su cuenta. En ese momento, el hacker ya tiene los datos que esa persona ha utilizado, y lo único que tiene que hacer es acudir a la página real de la entidad bancaria correspondiente, introducir esos datos, y tendrá la posibilidad de gestionar esa cuenta bancaria.
FireEye descubre la vulnerabilidad
Pues bien, algo parecido es lo que se puede conseguir en Android. Han sido los investigadores de FireEye los que se han dado cuenta de que hay una manera muy sencilla de engañar a los usuarios, y que todo se limita a modificar los iconos de las aplicaciones que tenemos en nuestro smartphone. Sin darnos cuenta, podríamos estar instalando una aplicación que fuera capaz de modificar los iconos de nuestro smartphone, y de esa forma engañarnos. ¿Cómo funciona el sistema? Tal y como hemos explicado. Nosotros instalamos una aplicación que, entre otras funciones, que nosotros podríamos no conocer, es capaz de modificar los iconos. Ahora, la aplicación modifica un icono, y lo modifica por uno de una entidad bancaria, como podría ser, por ejemplo, «laCaixa». El usuario, cliente de laCaixa, y con la aplicación de esta entidad bancaria instalada, busca el icono rápidamente, ve el logo, y pulsa en él. La página que aparece podría ser igual que la de la entidad bancaria, y nosotros nos limitaríamos a escribir nuestros datos de acceso, al no darnos cuenta de que nos encontramos en una aplicación que no es de «laCaixa». Este es solo un ejemplo de lo que podría ocurrir con aplicaciones capaces de cambiar los iconos, y en qué consistiría el engaño.
Los permisos no son alarmantes
Además, FireEye indica que los permisos que solicitaría una aplicación capaz de cambiar los iconos no serían nada alarmantes para el usuario, pues serían considerados como normales en Android. Solo aparecerían permisos de «Lectura de Ajustes» y «Escritura de Ajustes», permisos que son básicos en muchas aplicaciones y que no extrañarían a ningún usuario.
Dispositivos vulnerables
FireEye se ha puesto manos a la obra y ha comprobado si sería posible modificar los iconos en cualquier smartphone o tablet de hoy en día, y ha demostrado que así es. Entre los tablets, nos encontramos dos, el Nexus 7 con Android 4.4.2 y el Nexus 7 con CyanogenMod 4.4.2. En los dos se han podido cambiar los iconos con aplicaciones que solo contaban con los dos mencionados permisos. En lo que respecta a los smartphones, hablamos del Samsung Galaxy S4 con Android 4.3, y del HTC One con Android 4.4.2, lo que nos indica que es posible modificar los iconos hasta en los smartphones de gama más alta, y con el software más actualizado.
Google ha lanzado un parche
Eso sí, Google ya ha lanzado un parche para solucionar este problema de seguridad, y lo ha enviado a los fabricantes, para que estos puedan actualizar los smartphones y tablets, y mejorar la seguridad. No obstante, FireEye ha confirmado que algunos fabricantes están actuando de una manera muy lenta para actualizar los smartphones y tablets, aunque no han querido especificar qué fabricantes son. Sea como sea, siempre habrá que tener muy presente que, aunque no hay que alarmarse, siempre hay que utilizar el sentido común al utilizar los sistemas electrónicos cuando se trata de gestiones de nuestra cuenta bancaria.